Die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates sollte im Zusammenhang mit der vorliegenden Richtlinie als sektorspezifischer Rechtsakt der Union in Bezug auf Finanzunternehmen betrachtet werden.

Anstelle der Bestimmungen in der vorliegenden Richtlinie sollten die Bestimmungen der Verordnung (EU) 2022/2554 gelten, die sich auf Risikomanagement im Bereich der Informations- und Kommunikationstechnologien (IKT), das Management von IKT-bezogenen Vorfällen und insbesondere die Meldung von schwerwiegenden IKT-bezogenen Vorfällen sowie die Prüfung der digitalen Betriebsstabilität, Vereinbarungen über den Informationsaustausch und Risiken durch IKT-Drittanbieter beziehen.

Die Mitgliedstaaten sollten daher die Bestimmungen der vorliegenden Richtlinie, die sich auf Cybersicherheitsrisikomanagement und Berichtspflichten sowie Aufsicht und Durchsetzung beziehen, nicht auf Finanzunternehmen anwenden, die unter jene Verordnung fallen.

Gleichzeitig ist es wichtig, im Rahmen der vorliegenden Richtlinie eine enge Beziehung zum und den Informationsaustausch mit dem Finanzsektor aufrechtzuerhalten.

Zu diesem Zweck ist es gemäß der Verordnung (EU) 2022/2554 zulässig, dass die Europäischen Aufsichtsbehörden und die gemäß der Verordnung (EU) 2022/2554 zuständigen nationalen Behörden sich an der Tätigkeit der Kooperationsgruppe beteiligen und mit den zentralen Anlaufstellen sowie den nationalen CSIRTs und den zuständigen Behörden gemäß dieser Richtlinie Informationen austauschen und zusammenarbeiten.

Die gemäß der Verordnung (EU) 2022/2554 zuständigen Behörden sollten auch Einzelheiten über schwerwiegende IKT-bezogenen Vorfällen und, gegebenenfalls, erhebliche Cyberbedrohungen auch an die CSIRTs, die zuständigen Behörden oder an die gemäß der vorliegenden Richtlinie benannten zentralen Anlaufstellen übermitteln.

Dies lässt sich erreichen, indem ein unmittelbarer Zugang zu Meldungen von Vorfällen und ihre direkte Weiterleitung oder über eine zentrale Anlaufstelle für die Meldung von Vorfällen ermöglicht wird.

Darüber hinaus sollten die Mitgliedstaaten den Finanzsektor weiterhin in ihre Cybersicherheitsstrategien einbeziehen, und die CSIRTs können den Finanzsektor bei ihren Tätigkeiten einbeziehen.

Hinweis:

• Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Betriebsstabilität digitaler Systeme im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (siehe Seite 1 dieses Amtsblatts)