(1) Ein Zahlungsdienstleister hat angemessene Risikominderungsmaßnahmen und Kontrollmechanismen zur Beherrschung der operationellen und der sicherheitsrelevanten Risiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten einzurichten, aufrechtzuerhalten und anzuwenden. Dies umfasst wirksame Verfahren für die Behandlung von Störungen im Betriebsablauf, auch zur Aufdeckung und Klassifizierung schwerer Betriebs- und Sicherheitsvorfälle. Für Zahlungsdienstleister im Sinne des § 1 Absatz 1 Satz 1 Nummer 1, 2 oder Nummer 3 gelten die Sätze 1 und 2 unbeschadet der Vorschriften in Kapitel II der Verordnung (EU) 2022/2554. (2) Ein Zahlungsdienstleister hat der Bundesanstalt einmal jährlich eine aktuelle und umfassende Bewertung der operationellen und sicherheitsrelevanten Risiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten und hinsichtlich der Angemessenheit der Risikominderungsmaßnahmen und Kontrollmechanismen, die er zur Beherrschung dieser Risiken ergriffen hat, zu übermitteln. Die Bundesanstalt kann gegenüber einem Zahlungsdienstleister festlegen, dass die Übermittlung der Bewertung nach Satz 1 in kürzeren Zeitabständen zu erfolgen hat.

Kurz erklärt

• Zahlungsdienstleister müssen Maßnahmen zur Risikominderung und Kontrolle von operationellen und sicherheitsrelevanten Risiken einrichten und anwenden.
• Sie müssen effektive Verfahren zur Behandlung von Störungen im Betriebsablauf entwickeln, einschließlich der Erkennung und Klassifizierung schwerer Vorfälle.
• Die Vorschriften gelten für bestimmte Zahlungsdienstleister, unabhängig von anderen EU-Vorgaben.
• Einmal jährlich müssen Zahlungsdienstleister der Bundesanstalt eine umfassende Bewertung ihrer Risiken und der getroffenen Maßnahmen übermitteln.
• Die Bundesanstalt kann verlangen, dass diese Bewertungen in kürzeren Abständen erfolgen.