(1) Der Abschlussprüfer hat im Rahmen der Beurteilung nach § 11 Absatz 2 Nummer 5 und 6 insbesondere darzustellen und zu beurteilen, ob die organisatorischen, personellen und technischen Vorkehrungen zur Sicherstellung der Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit der bankaufsichtlich relevanten Daten angemessen sind und wirksam umgesetzt werden. Insbesondere ist einzugehen auf 1. das Informationsrisikomanagement, 2. das IT-Sicherheitsmanagement, 3. den IT-Betrieb, 4. die Verfahren der Anwendungsentwicklung und -pflege sowie 5. die technischen und betrieblichen Verfahren bei einem Notfall.
(2) Werden externe IT-Ressourcen eingesetzt, so erstrecken sich die vorgenannten Berichtspflichten auch auf diese IT-Ressourcen sowie deren Einbindung im berichtspflichtigen Institut.