§ 10a ZahlPrüfbV IT-Systeme

(1) Der Abschlussprüfer hat im Rahmen der Beurteilung nach § 10 Absatz 2 Satz 1 und 2 Nummer 3 insbesondere darauf einzugehen, ob die organisatorischen, personellen und technischen Vorkehrungen zur Sicherstellung der Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit der aufsichtlich relevanten Daten angemessen sind und wirksam umgesetzt werden. Dabei ist insbesondere gesondert einzugehen auf

1.

das IT-Sicherheitsmanagement, welches jedenfalls auch den Umgang mit sensiblen Zahlungsdaten im Sinne des § 1 Absatz 26 des Zahlungsdiensteaufsichtsgesetzes beinhaltet,

2.

die technischen und betrieblichen Verfahren bei einem Notfall, einschließlich der Regelungen zur Geschäftsfortführung im Krisenfall, sowie

3.

die Beherrschung schwerer Betriebs- oder Sicherheitsvorfälle einschließlich des Umgangs mit sicherheitsbezogenen Kundenbeschwerden.

(2) Werden externe IT-Ressourcen eingesetzt, so erstrecken sich die vorgenannten Berichte auch auf diese IT-Ressourcen einschließlich deren Einbindung in das Institut.