ESMA-001
initial
needs_review
Governance & Organisation
IKT-Governance und Organisationspflichten (MiFID II)
Wertpapierfirmen verankern IKT-Risikomanagement in der Unternehmensfuehrung und erfuellen die organisatorischen Anforderungen nach MiFID II und MAIT.
- Sollzustand
- IKT-Governance ist im Organisationshandbuch dokumentiert, IKT-Risiken sind im Risikomanagementprozess integriert.
Umsetzungsschritte
-
IKT-Organisationsrichtlinie nach MiFID II Art. 16 (Organisationspflichten) erstellen.
-
IKT-Risikomanagement in das institutseigene Risikomanagementsystem integrieren.
-
Compliance-Funktion mit IKT-Kontrollaufgaben betrauen.
Nachweise
- Organisationshandbuch mit IKT-Governance
- Risikomanagement-Richtlinie mit IKT-Risikoabschnitt
- Compliance-Bericht mit IKT-Prüfungen
MAIT:
MAIT 1.1, MAIT 1.2
MiFID/EMIR:
MiFID II Art. 16, 24, Delegierte Verordnung 2017/565 Art. 21–30
DORA: DORA Art. 4–8 (IKT-Governance, Risikomanagementrahmen)
MaRisk: MaRisk AT 4.3.1, AT 7.2
ESMA-002
initial
needs_review
Governance & Organisation
IKT-Risikomanagement und Kontrollsystem
Ein angemessenes IKT-Kontrollsystem stellt die Integrität, Verfügbarkeit und Sicherheit der Handelssysteme und Kundenvermoegen sicher.
- Sollzustand
- IKT-Kontrollsystem ist dokumentiert, Kontrollen werden regelmäßig auf Wirksamkeit geprüft.
Umsetzungsschritte
-
IKT-Kontrollmatrix mit Kontrollzielen und -frequenzen erstellen.
-
Regelmaessige Kontrollprüfungen (mindestens jährlich) durchführen.
-
Kontrollergebnisse im Compliance-Bericht dokumentieren.
Nachweise
- IKT-Kontrollmatrix
- Kontrollprüfungsnachweise
- Compliance-Bericht mit IKT-Kontrollergebnissen
MAIT:
MAIT 2.1, MAIT 2.2
MiFID/EMIR:
MiFID II Art. 16 (Organisationspflichten)
DORA: DORA Art. 5–8 (IKT-Risikomanagement)
MaRisk: MaRisk AT 7.2, BT 2.1
ESMA-003
initial
needs_review
Operative Resilienz
Handelssystemresilienz und Geschaeftsfortfuehrung
Handelssysteme und Handelsinfrastruktur sind gegen IKT-Ausfaelle geschützt und koennen innerhalb definierter Fristen wiederhergestellt werden.
- Sollzustand
- Business-Continuity-Plan für Handelssysteme implementiert, regelmäßig getestet und dokumentiert.
Umsetzungsschritte
-
Business-Impact-Analyse (BIA) für Handelssysteme und Zahlungsdienstleistungen durchführen.
-
BCP für Handelssysteme mit definierten RTO/RPO erstellen und testen.
-
Ausweichkapazitaeten für kritische Handelssysteme vorhalten.
Nachweise
- BIA für Handelssysteme
- BCP-Testbericht (mindestens jährlich)
- Nachweis der Ausweichkapazitaeten
MAIT:
MAIT 3.1, MAIT 3.2
MiFID/EMIR:
MiFID II Art. 16 (Organisationspflichten), Delegierte Verordnung 2017/565 Art. 30 (BCM)
DORA: DORA Art. 11–13 (IKT-Notfallmanagement, BCM)
MaRisk: MaRisk AT 8.1 (Notfallmanagement)
ESMA-004
initial
needs_review
Third-Party-Risk & Auslagerung
IKT-Auslagerung bei Wertpapierfirmen
Auslagerungen von IKT-Dienstleistungen bei Wertpapierfirmen werden gemaess ESMA-Auslagerungsleitlinien und DORA gesteuert.
- Sollzustand
- Auslagerungsregister gefuehrt, wesentliche Auslagerungen genehmigt, Dienstleister-Monitoring aktiv.
Umsetzungsschritte
-
Auslagerungsregister nach ESMA-Leitlinien (ESMA35-36-2530) fuehren.
-
Wesentliche IKT-Auslagerungen identifizieren und dokumentieren.
-
Dienstleistervertraege auf Konformitaet mit DORA Art. 28–29 prüfen.
Nachweise
- Auslagerungsregister (aktuell)
- Genehmigungsdokumentation für wesentliche Auslagerungen
- Dienstleister-Monitoring-Berichte
MAIT:
MAIT 4.1, MAIT 4.2
MiFID/EMIR:
MiFID II Art. 16 (Auslagerung), ESMA Outsourcing Guidelines ESMA35-36-2530
DORA: DORA Art. 25–29 (IKT-Drittparteienrisiko)
MaRisk: MaRisk AT 9 (Auslagerung)
ESMA-005
initial
needs_review
Integrität & Überwachung
Marktmissbrauchsüberwachung und IKT-Integrität (MAR)
Systeme zur Überwachung von Marktmissbrauch (MAR) sind technisch zuverlaessig und vor Manipulation geschützt.
- Sollzustand
- Überwachungssysteme sind dokumentiert, Zugriffe protokolliert, und die Datenintegritaet ist sichergestellt.
Umsetzungsschritte
-
Überwachungssysteme für Marktmissbrauch nach MAR Art. 16 implementieren.
-
Zugriffsprotokollierung und Aenderungsnachverfolgung für Überwachungssysteme einrichten.
-
Regelmaessige Integritätsprüfungen der Überwachungsdaten durchführen.
Nachweise
- Systemdokumentation der Überwachungssysteme
- Zugriffsprotokolle (letzte 12 Monate)
- Integritätsprüfungsberichte
MAIT:
MAIT 5.1, MAIT 5.2
MiFID/EMIR:
MAR Art. 16 (Überwachungssysteme)
DORA: DORA Art. 9 (IKT-Schutz), Art. 16 (Erkennung)
MaRisk: MaRisk BT 3.2 (Überwachung)
ESMA-006
initial
needs_review
Integrität & Überwachung
Clearing- und Abwicklungssystem-Resilienz (EMIR, CSDR)
Die IKT-Systeme für Clearing und Abwicklung sind resilient gegen Stoerungen und erfuellen die Anforderungen von EMIR und CSDR.
- Sollzustand
- Systeme für Clearing (EMIR) und Wertpapierabwicklung (CSDR) sind dokumentiert, getestet und resilient.
Umsetzungsschritte
-
Risikoanalyse für Clearing- und Abwicklungssysteme durchführen.
-
Regelmaessige Resilienztests für EMIR-kritische Systeme durchführen.
-
Abwicklungsdisziplin (CSDR Settlement Discipline) in IKT-Prozesse integrieren.
Nachweise
- Risikoanalyse für Clearing/Abwicklungssysteme
- Resilienz-Testberichte
- CSDR-Settlement-Berichte
MAIT:
MAIT 6.1, MAIT 6.2
MiFID/EMIR:
EMIR Art. 11, 18 (Risikominderung), CSDR Art. 5–7 (Settlement)
DORA: DORA Art. 11–14 (IKT-Notfallmanagement, BCM)
MaRisk: MaRisk AT 8.1 (Notfallmanagement)
ESMA-007
initial
needs_review
Informationssicherheit
IKT-Sicherheit und Datenschutz bei Wertpapierdienstleistungen
Kundenvermoegen, Handelsdaten und Transaktionsinformationen werden durch angemessene IKT-Sicherheitsmaßnahmen geschützt.
- Sollzustand
- ISMS implementiert, Kundenvermoegen getrennt verwahrt, Transaktionsdaten vor Manipulation geschützt.
Umsetzungsschritte
-
ISMS für den Wertpapierhandelsbereich implementieren.
-
Trennung von Kundenvermoegen und Institutsvermoegen (MiFID II Art. 16) in IKT-Systemen abbilden.
-
Transaktionsdaten-Integrität durch digitale Signaturen oder aehnliche Maßnahmen sicherstellen.
Nachweise
- ISMS-Dokumentation
- Nachweis der Vermoegenstrennung in IKT-Systemen
- Transaktionsintegritaetsprüfung
MAIT:
MAIT 7.1, MAIT 7.2
MiFID/EMIR:
MiFID II Art. 16 (Sicherheit), Delegierte Verordnung 2017/565 Art. 21
DORA: DORA Art. 9 (IKT-Schutz, Prevention)
MaRisk: MaRisk BT 3.1 (Informationssicherheit)
ESMA-008
initial
needs_review
Erkennung & Reaktion
IKT-Vorfallerkennung, Meldewesen und Offenlegung
IKT-Vorfälle werden erkannt, klassifiziert und gemaess MiFID II, MAR und DORA an die zuständige Aufsicht gemeldet.
- Sollzustand
- Vorfallerkennungsprozess implementiert, Meldeketten definiert und getestet, Offenlegungspflichten bekannt.
Umsetzungsschritte
-
SIEM/SOC-Funktion oder vergleichbare Erkennungsmaßnahmen implementieren.
-
Meldeketten an BaFin und ESMA für IKT-Vorfälle definieren.
-
Offenlegungspflichten nach MAR Art. 17 (Ad-hoc-Publizitaet) bei IKT-Vorfällen prüfen.
Nachweise
- Vorfallerkennungsverfahren
- Meldeprozess-Beschreibung
- Testnachweise für Meldeketten
MAIT:
MAIT 8.1, MAIT 8.2
MiFID/EMIR:
MiFID II Art. 16 (Organisation), MAR Art. 17 (Ad-hoc)
DORA: DORA Art. 15–19 (IKT-Vorfallerkennung und -Meldewesen)
MaRisk: MaRisk AT 8.2 (Notfalluebung)
ESMA-009
initial
needs_review
Erkennung & Reaktion
Handelsplattform-Betrieb und Marktdatenintegritaet
Handelsplattformen und Marktdatensysteme arbeiten zuverlaessig und gewaehrleisten die Datenintegritaet für die Handelsüberwachung.
- Sollzustand
- Systeme für Handelsplattform, orderabruf, -weiterleitung und Marktdaten sind dokumentiert, überwacht und resilient.
Umsetzungsschritte
-
Systematische Überwachung der Handelsplattformverfuegbarkeit einrichten.
-
Marktdatenfeeds auf Integrität und Vollständigkeit prüfen.
-
Failover-Kapazitaeten für Handelsplattformen vorhalten und testen.
Nachweise
- Verfügbarkeitsstatistiken der Handelsplattform
- Marktdaten-Integritätsprüfung
- Failover-Testberichte
MAIT:
MAIT 9.1, MAIT 9.2
MiFID/EMIR:
MiFID II Art. 47–50 (Handelsplatzanforderungen), MiFIR Art. 22–25
DORA: DORA Art. 10–14 (IKT-Schutz, BCM)
MaRisk: MaRisk AT 8.1 (Notfallmanagement)
ESMA-010
initial
needs_review
Innovation & Regulierung
KI-Governance und automatisierte Handelssysteme (MiFID II, AI Act)
Automatisierte Handelssysteme und KI-Anwendungen im Wertpapierhandel erfuellen die Anforderungen von MiFID II Art. 17 (Algorithmic Trading) und AI Act.
- Sollzustand
- Algorithmic-Trading-Systeme sind getestet, überwacht und dokumentiert. KI-Systeme sind nach AI Act klassifiziert.
Umsetzungsschritte
-
Algorithmic-Trading-Systeme nach MiFID II Art. 17 testen und zulassen.
-
KI-Use-Cases im Handel inventarisieren und nach AI Act klassifizieren.
-
Business-Continuity-Maßnahmen für automatisierte Handelssysteme definieren.
Nachweise
- Systemtests für Algorithmic-Trading
- KI-Use-Case-Inventar
- BCP-Maßnahmen für automatisierte Systeme
MAIT:
MAIT 10.1, MAIT 10.2
MiFID/EMIR:
MiFID II Art. 17 (Algorithmic Trading), AI Act (EU 2024/1689)
DORA: DORA Art. 15 (Erkennung), Art. 21 (TLPT)
MaRisk: MaRisk AT 7.2 (Risikomanagement)