Art. 61 Änderungen der Verordnung (EU) Nr. 909/2014 | DORA regulation | DORA

This article is an amending provision, modifying Article 45 of Regulation (EU) No 909/2014, which governs Central Securities Depositories (CSDs).

The amendments integrate DORA's ICT requirements into the existing CSD framework, essentially carving out ICT risk management from the general operational risk provisions of the CSD regulation and redirecting it to DORA.

CSDs must now identify and minimise operational risks using ICT tools managed in accordance with DORA, and their business continuity and disaster recovery plans must explicitly include ICT-specific continuity and recovery plans as required by DORA.

Notably, ESMA is tasked with developing technical standards covering non-ICT operational risks only, with ICT risk now firmly within DORA's domain.

Important points:

As a CSD, identify sources of operational risk and minimise their impact through ICT tools, processes and policies managed in accordance with DORA.
Establish, implement and maintain a business continuity policy and disaster recovery plan — including ICT-specific plans under DORA — covering all securities settlement systems you operate, ensuring full recovery of transactions and participants' positions.
ESMA is required to develop regulatory technical standards covering operational risks other than ICT risk, reflecting the clean separation between DORA and the CSD regulation.

Artikel 45 der Verordnung (EU) Nr. 909/2014 wird wie folgt geändert:

Absatz 1 erhält folgende Fassung:
Ein Zentralverwahrer ermittelt Quellen des internen und externen operationellen Risikos und hält deren Auswirkungen durch den Einsatz angemessener IKT-Tools, Verfahren und Strategien, die gemäß der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates(⁴²) eingerichtet und verwaltet werden, sowie durch alle anderen relevanten angemessenen Instrumente, Kontrollen und Verfahren für andere Arten operationeller Risiken, auch für alle von ihm betriebenen Wertpapierliefer- und -abrechnungssysteme, so gering wie möglich.
Absatz 2 wird gestrichen;
Absätze 3 und 4 erhalten folgende Fassung:
Für die von ihm erbrachten Dienstleistungen und jedes von ihm betriebene Wertpapierliefer- und -abrechnungssystem legt ein Zentralverwahrer eine angemessene Geschäftsfortführungsleitlinie sowie einen Notfallwiederherstellungsplan, einschließlich einer IKT-Geschäftsfortführungsleitlinie und IKT-Reaktions- und Wiederherstellungspläne, die gemäß der Verordnung (EU) 2022/2554 eingerichtet werden, fest, die er anwendet und befolgt, um bei Ereignissen, die ein beträchtliches Risiko einer Beeinträchtigung des Geschäftsbetriebs bergen, das Aufrechterhalten der Dienstleistungen, die rasche Wiederherstellung des Geschäftsbetriebs und die Erfüllung seiner Pflichten zu gewährleisten.
Der Plan nach Absatz 3 muss eine Wiederherstellung aller Geschäfte und Positionen der Teilnehmer zum Zeitpunkt der Störung ermöglichen, damit die Teilnehmer eines Zentralverwahrers ihre Tätigkeiten in sicherer Weise fortsetzen und Lieferungen und Abrechnungen zum geplanten Termin vornehmen können; hierzu gehört auch die Vorsorge, dass kritische IT-Systeme nach der Störung wieder in Betrieb genommen werden können, so wie in Artikel 12 Absätze 5 und 7 der Verordnung (EU) 2022/2554 vorgesehen.“
Absatz 6 erhält folgende Fassung:
Ein Zentralverwahrer ermittelt, überwacht und managt die Risiken, die von wichtigen Teilnehmern an den von ihm betriebenen Wertpapierliefer- und -abrechnungssystemen sowie von Dienstleistern und Versorgungsbetrieben, anderen Zentralverwahrern oder anderen Marktinfrastrukturen für seinen Geschäftsbetrieb ausgehen könnten. Er unterrichtet die zuständige Behörde sowie die betreffenden Behörden auf Verlangen über alle solchermaßen ermittelten Risiken. Er unterrichtet die zuständige Behörde sowie die betreffenden Behörden ferner unverzüglich über alle Störfälle infolge dieser Risiken, die nicht im Zusammenhang mit dem IKT-Risiko auftreten.“
Absatz 7 Unterabsatz 1 erhält folgende Fassung:
Die ESMA arbeitet in enger Abstimmung mit den Mitgliedern des ESZB Entwürfe technischer Regulierungsstandards aus, in denen die operationellen Risiken nach den Absätzen 1 und 6 — mit Ausnahme von IKT-Risiken — sowie die Verfahren zur Prüfung, Bewältigung oder Minimierung dieser Risiken einschließlich der Geschäftsfortführungsleitlinien und der Notfallsanierungspläne nach den Absätzen 3 und 4 sowie der Verfahren zu ihrer Beurteilung präzisiert werden.“