(1) Der Prüfer hat im Rahmen der Beurteilung nach § 12 Absatz 2 Nummer 7 darzustellen, ob die organisatorischen, personellen und technischen Vorkehrungen zur Sicherstellung der Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit der aufsichtlich relevanten Daten nach Artikel 21 Absatz 2 der Delegierten Verordnung (EU) 2017/565 angemessen sind und wirksam umgesetzt werden. Dabei hat er insbesondere auf den IT-Betrieb einzugehen. Im Rahmen der Beurteilung der Notfallplanung nach § 12 Absatz 2 Nummer 6 hat er insbesondere auf die technischen und betrieblichen Verfahren bei einem Notfall einzugehen.
(2) Werden externe IT-Dienstleister, externe Rechner oder Speicherplätze eingesetzt, so erstrecken sich die vorgenannten Pflichten des Prüfers auch auf diese IT-Ressourcen sowie deren Einbindung in das berichtspflichtige Wertpapierinstitut.