NIS 2 vs DORA: Jak vlastně funguje výjimka pro finanční sektor
Článek 4 NIS 2 předává finanční subjekty DORA, pokud jde o řízení rizik, hlášení incidentů a dohled. Článek 27 NIS 2 na tomto seznamu není. Banky, platební instituce, ústřední protistrany a poskytovatelé služeb souvisejících s kryptoaktivy se stále registrují u BSI podle § 33 BSIG.
Dva regulátoři, jedna výjimka, jedna povinnost, která přežívá
Nařízení (EU) 2022/2554 (DORA) vstoupilo v použitelnost 17. ledna 2025 a pokrývá kolem dvaceti kategorií finančních subjektů, od bank a pojišťoven po poskytovatele služeb souvisejících s kryptoaktivy a obchodní platformy. Pro vše, co DORA již reguluje, vytlačuje článek 4 NIS 2 odpovídající články NIS 2. To je pravidlo lex specialis a stojí v centru každé konverzace o tom, jak se finanční firmy mapují vůči NIS 2.
Vytlačení je úzké. Článek 4 odst. 2 NIS 2 uvádí přesně, které články NIS 2 ustupují, když je sektorově specifický akt alespoň rovnocenný v účinku. Seznam pokrývá článek 21 (opatření řízení rizik), článek 23 (hlášení incidentů) a kapitolu VII (dohled a vymáhání). Článek 27 (registrace) na seznamu není. Ani ustanovení o působnosti v příloze I, která vkládají bankovnictví a infrastrukturu finančních trhů do NIS 2 vůbec na začátku.
Praktický výsledek pro německou banku, platební instituci licencovanou BaFin nebo ústřední protistranu: podstata pochází z DORA, dohled v Německu sedí u BaFin a Bundesbank, ale subjekt se stále registruje u BSI prostřednictvím portálu podle § 33 BSIG. Jeden regulátor v registru. Jiný regulátor u všeho, co je v provozu důležité.
Směrnice NIS 2, článek 4 odst. 1 a odst. 2
Pokud sektorově specifické právní akty Unie vyžadují, aby zásadně významné nebo významné subjekty přijaly opatření k řízení rizik v oblasti kybernetické bezpečnosti nebo aby oznamovaly významné incidenty, a pokud jsou tyto požadavky alespoň rovnocenné v účinku povinnostem stanoveným v této směrnici, příslušná ustanovení této směrnice, včetně ustanovení o dohledu a vymáhání stanoveného v kapitole VII, se na tyto subjekty nepoužijí.
Dvě podmínky jsou naskládány: musí existovat sektorově specifický akt Unie a jeho požadavky musí být alespoň rovnocenné v účinku. Teprve pak ustupují články 21, 23 a kapitola VII. Článek 27 v tomto seznamu nápadně chybí, a proto se nadále uplatňuje.
Nařízení (EU) 2022/2554 (DORA)
Články 5 až 17 (řízení rizik IKT), články 17 až 23 (hlášení incidentů souvisejících s IKT), články 24 až 27 (testování digitální provozní odolnosti), články 28 až 44 (řízení rizik IKT třetích stran), článek 45 (ujednání o sdílení informací).
DORA je nařízení, použitelné přímo v každém členském státě od 17. ledna 2025. Pro subjekty v jeho působnosti je to soubor pravidel, který vyplňuje prostor, který by jinak zaujímaly články 21 a 23 NIS 2. Věcným pravidlem kybernetické bezpečnosti je DORA, nikoli provedení NIS 2 prostřednictvím BSIG.
Článek 27 NIS 2 a § 33 BSIG
Členské státy zajistí, aby zásadně významné a významné subjekty předkládaly příslušným orgánům tyto informace: název subjektu, adresu a aktuální kontaktní údaje, příslušný sektor a podsektor podle přílohy I nebo II a seznam členských států, v nichž subjekt poskytuje služby.
Článek 27 NIS 2 ukládá registraci u vnitrostátního příslušného orgánu. V Německu § 33 BSIG směruje toto na registrační portál BSI. Článek 4 se článku 27 nedotýká. DORA má vlastní registr u evropských orgánů dohledu, ale ten nenahrazuje vnitrostátní registr NIS 2. Finanční subjekty proto žijí v obou.
DORA, ne článek 21 NIS 2
Řízení rizik IKT, rizika třetích stran, testování odolnosti a klasifikace incidentů se řídí články 5 až 44 DORA. Opatření podle článku 21 NIS 2 (deset kategorií podle § 30 BSIG v Německu) se na subjekty v působnosti DORA neuplatní. Tam, kde DORA mlčí, NIS 2 mezeru rovněž nevyplňuje: výjimka je o tom, který akt vládne, nikoli o vrstvení obou.
BSI podle § 33 BSIG, žádné vytlačení
Článek 27 NIS 2 stojí mimo seznam podle článku 4. Vnitrostátní registr výjimku přežívá. Banka nebo platební instituce licencovaná BaFin se registruje u BSI prostřednictvím portálu podle § 33, předkládá klasifikaci sektoru, kontaktní údaje a rozsahy IP adres a aktualizuje ve lhůtách, které platí pro každý jiný subjekt v působnosti. Neregistrace má vlastní sankční dráhu.
BaFin a Bundesbank, ne BSI
Kapitola VII NIS 2 (dohled a vymáhání) je pro finanční subjekty vytlačena. Článek 46 DORA určuje stávající finanční dohledové orgány jako příslušné orgány. V Německu to znamená BaFin a Deutsche Bundesbank pro bankovní a platební záležitosti, s evropskými orgány dohledu (EBA, ESMA, EIOPA) koordinujícími na úrovni EU. BSI není provozním dohledovým orgánem pro podstatu DORA.
Lex specialis je úzký, ne plošný
Článek 4 vytlačuje pouze ty články NIS 2, které jmenuje. Registrace podle článku 27, působnost podle přílohy I a II a definice sektorů se nadále uplatňují. Banka se nestává nesubjektem NIS 2. Stává se subjektem NIS 2 řízeným DORA, pokud jde o věcné části. Rozdíl je důležitý, když přijdou na řadu registrační lhůty, reklasifikace sektoru nebo oznámení o přeshraničních službách.
Rovnocenný v účinku, ne totožný v textu
Článek 4 odst. 1 NIS 2 nastavuje laťku na rovnocenný v účinku. DORA nemusí reprodukovat článek 21 slovo od slova. Musí pokrýt stejnou půdu ve stejné hloubce. Bod odůvodnění 28 NIS 2 potvrzuje, že DORA byla navržena tak, aby tuto laťku splnila. V praxi Evropská komise zacházela s DORA jako s plně rovnocennou, ale test sedí v textu a byl by právní kotvou v jakémkoli sporu o mezeru.
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht)
Vedoucí příslušný orgán pro DORA v Německu podle článku 46 DORA. Dohlíží na řízení rizik IKT, hlášení incidentů a ujednání o rizicích třetích stran pro banky, platební instituce, pojišťovny, investiční firmy a poskytovatele služeb souvisejících s kryptoaktivy. Stávající oběžníky BAIT, VAIT, KAIT a ZAIT se sladí s články 5 až 17 DORA.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Provozuje registrační portál podle § 33 BSIG. Přijímá registraci finančních subjektů, i když nedohlíží na podstatu DORA. BSI rovněž působí jako vnitrostátní CSIRT podle článku 10 NIS 2 a poskytuje dobrovolnou podporu. Dělicí čára: registrace a služby CSIRT u BSI, podstata a dohled u BaFin a Bundesbank.
EBA, ESMA, EIOPA a ECB
Evropské orgány dohledu vydaly regulační technické normy DORA pro řízení rizik IKT, klasifikaci incidentů, registry rizik třetích stran a dohled nad kritickými poskytovateli služeb IKT třetích stran. ECB dohlíží na významné úvěrové instituce v rámci jednotného mechanismu dohledu a uplatňuje DORA v rámci tohoto mandátu. Výjimka podle článku 4 NIS 2 je to, co umožňuje, aby tato naskládaná dohledová struktura fungovala bez dvojí regulace.
Mýtus: DORA nahrazuje NIS 2 zcela pro finanční subjekty.
DORA nahrazuje článek 21, článek 23 a kapitolu VII. Nenahrazuje článek 27 (registrace), ustanovení o působnosti v příloze I a II ani mechanismy spolupráce v kapitole IV. Registr podle § 33 BSIG zůstává. Banka, která registraci vynechá, čelí samostatné sankci za neregistraci, nikoli vymáhacímu spisu pouze podle DORA.
Mýtus: DORA se vztahuje jen na banky, takže nebankovní finanční subjekty se řídí NIS 2.
Článek 2 DORA uvádí kolem dvaceti kategorií subjektů. Pojišťovny a zajišťovny, platební instituce a instituce elektronických peněz, ústřední protistrany, centrální depozitáře cenných papírů, obchodní platformy, poskytovatelé služeb souvisejících s kryptoaktivy, poskytovatelé služeb informování o účtu a další jsou všichni uvnitř DORA. Pokud je váš sektor v sektoru 3 nebo 4 přílohy I NIS 2 a zároveň v článku 2 DORA, výjimka se uplatní.
Mýtus: Dva registry znamenají podávat dvakrát stejné údaje.
Registr informací DORA u evropských orgánů dohledu pokrývá ujednání s třetími stranami v oblasti IKT (článek 28 DORA). Portál podle § 33 BSIG pokrývá identifikaci subjektu a klasifikaci sektoru. Pole se nepřekrývají. Podání obou je jedna povinnost každé, nikoli stejná povinnost dvakrát. Provozovatelé si to často pletou, protože obojí zahrnuje vepisování údajů do vládních portálů.
Pokud sedíte uvnitř subjektu licencovaného BaFin, zacházejte s DORA jako se svým každodenním pravidlovým souborem a s NIS 2 jako s registrační vrstvou. Program věcného posílení žije v článcích 5 až 17 DORA (řízení rizik) a článcích 28 až 44 (rizika třetích stran). Registrace podle § 33 BSIG je jednorázový administrativní úkol, který se obnovuje při změně kontaktních údajů. Záměna obou vede k vyplýtvanému úsilí, často k duplicitnímu mapování článku 21, o které nikdo nežádal.
Pokud sedíte uvnitř finanční skupiny, která provozuje také interní IT služby pro nefinanční dceřiné společnosti, výjimka chrání pouze finanční subjekt. Nefinanční dceřiná společnost, pokud je v působnosti přílohy I nebo II NIS 2, dluží celý soubor povinností, včetně opatření podle článku 21 a hlášení incidentů podle článku 23. Skupinové programy IKT musí být čitelné pro oba dohledové orgány. BaFin žádá o doklady podle DORA, BSI žádá o doklady podle § 30 BSIG u nefinančního subjektu.
Platforma modeluje registraci podle článku 27 NIS 2 jako prvořadou povinnost nezávislou na obsahu řízení rizik. Finanční subjekt používající platformu vidí registrační lhůty, připomínky změny kontaktních údajů a stav portálu podle § 33 BSIG, aniž by zdědil jakýkoli seznam úkolů podle článku 21 NIS 2, který nepotřebuje.
Věcná vrstva DORA je mimo působnost open-source platformy. Doporučený vzorec je: sledujte zde článek 27 NIS 2, spusťte program DORA v nástrojích sladěných s BaFin, které vaše dohledové orgány očekávají, a použijte stav registru z platformy jako auditní stopu, která dokazuje, že povinnost podle § 33 BSIG byla splněna.
- Směrnice (EU) 2022/2555 (NIS 2), článek 4 (lex specialis), článek 27 (povinnost registrace), příloha I sektor 3 (infrastruktura finančních trhů) a sektor 4 (bankovnictví)
- Nařízení (EU) 2022/2554 (DORA), články 5 až 17 (řízení rizik IKT), články 17 až 23 (hlášení incidentů), články 24 až 27 (testování odolnosti), články 28 až 44 (rizika IKT třetích stran), článek 45 (sdílení informací), článek 46 (příslušné orgány)
- BSIG (ve znění NIS2UmsuCG), § 33 (registrace), § 65 (sankce za neregistraci)
- Bod odůvodnění 28 směrnice NIS 2 o vztahu mezi NIS 2 a sektorově specifickými akty Unie
- Pokyny BaFin k uplatňování DORA a sladění oběžníků BAIT, VAIT, KAIT, ZAIT (2025)
- Regulační technické normy EBA, ESMA a EIOPA podle DORA (2024 a 2025)