(1) Der Prüfer hat insbesondere darzustellen und zu beurteilen, ob die organisatorischen, personellen und technischen Vorkehrungen zur Sicherstellung der Integrität, Authentizität und Verfügbarkeit der aufsichtlich relevanten Daten angemessen sind und wirksam umgesetzt werden.
(2) Werden externe IT-Ressourcen eingesetzt, so erstrecken sich die Berichtspflichten nach Absatz 1 auch auf diese IT-Ressourcen sowie deren Einbindung im berichtspflichtigen Unternehmen.