Jsem banka podle NIS 2?
Úvěrové instituce jsou uvedeny v příloze I sektoru 3 NIS 2. Článek 4 NIS 2 pak odkládá hmotné povinnosti v oblasti kybernetické bezpečnosti a ohlašování incidentů na nařízení DORA. Registrační povinnost podle článku 27 u vašeho národního orgánu zůstává tak jako tak v platnosti.
Krátká verze
Banky spadají do působnosti NIS 2. Příloha I sektor 3 uvádí „úvěrové instituce“ ve smyslu článku 4(1) nařízení (EU) č. 575/2013 (CRR). Pokud jste Kreditinstitut podle CRR, jste uvnitř perimetru NIS 2.
Článek 4 NIS 2 je však ustanovením typu lex specialis. Tam, kde sektorově specifický akt EU stanoví alespoň rovnocenné povinnosti v oblasti kybernetické bezpečnosti a ohlašování incidentů, hmotné povinnosti NIS 2 ustupují. Nařízení DORA (nařízení (EU) 2022/2554) bylo napsáno přesně k tomuto účelu. Článek 21 (opatření řízení rizik) a článek 23 (oznámení významného incidentu) podle NIS 2 se tedy nevztahují na finanční subjekty podléhající DORA. Místo nich platí rovnocenné kapitoly DORA.
Výjimka není úplná. Článek 27 NIS 2 (registrace u národního orgánu pro situační přehled na úrovni EU) stále platí. BSI ponechává váš záznam v registru podle §33 BSIG. Komise a ENISA si zachovávají celounijní přehled o tom, kdo spadá do působnosti, i když hmotné povinnosti žijí v jiném nařízení.
NIS 2 příloha I sektor 3 + článek 4 (směrnice (EU) 2022/2555)
Úvěrové instituce ve smyslu článku 4 bodu 1 nařízení Evropského parlamentu a Rady (EU) č. 575/2013. [Příloha I, sektor 3, Bankovnictví] / Pokud sektorově specifické právní akty Unie vyžadují, aby zásadní nebo důležité subjekty přijaly opatření k řízení rizik kybernetické bezpečnosti nebo oznamovaly významné incidenty, a pokud jsou tyto požadavky alespoň rovnocenné svým účinkem povinnostem stanoveným v této směrnici, příslušná ustanovení této směrnice, včetně ustanovení o dozoru a vymáhání stanovených v kapitole VII, se na takové subjekty nepoužijí. [Článek 4(1)]
Příloha I řadí banky do působnosti. Článek 4 pak vyjímá podstatu, je-li sektorově specifický akt alespoň rovnocenný svým účinkem. Článek 4 nevyjímá registraci. Článek 27 NIS 2 stále zavazuje.
DORA (nařízení (EU) 2022/2554)
Toto nařízení stanoví jednotné požadavky týkající se bezpečnosti sítí a informačních systémů podporujících podnikové procesy finančních subjektů... za účelem dosažení vysoké společné úrovně digitální provozní odolnosti.
DORA je sektorově specifický akt, který spouští článek 4 NIS 2. Je přímo použitelným právem EU. Pokrývá řízení rizik IKT, ohlašování incidentů souvisejících s IKT, testování digitální provozní odolnosti, riziko třetích stran v oblasti IKT a sdílení informací. Tyto kapitoly dohromady se považují za rovnocenné svým účinkem článkům 21 a 23 NIS 2, takže tyto články NIS 2 u subjektů podléhajících DORA ustupují.
§28 BSIG + národní implementace DORA
§28 BSIG operacionalizuje pravidlo lex specialis z článku 4 NIS 2 v německém právu. BaFin dozoruje soulad s DORA u německých úvěrových institucí. BSI nadále vede registr podle §33 BSIG, který provádí článek 27 NIS 2.
Zde hrají roli dva německé orgány. BaFin drží hmotný dozor (opatření řízení rizik, ohlašování incidentů podle DORA). BSI drží záznam v registru podle §33 podle článku 27 NIS 2. Obojí jsou reálné povinnosti. Jedna druhou nenahrazuje.
Jste úvěrová instituce podle článku 4(1) CRR?
Bankovní sektor NIS 2 používá definici z CRR. Kreditinstitut přijímá vklady nebo jiné splatné prostředky od veřejnosti a poskytuje úvěry na vlastní účet. Pokud máte licenci úvěrové instituce od BaFin / ECB, sedíte v ní. Platební instituce, instituce elektronických peněz a investiční podniky mají vlastní testy působnosti podle NIS 2 sektoru 4 (infrastruktura finančního trhu) nebo podle DORA.
Články 21 + 23 NIS 2 nahrazeny nařízením DORA
Článek 4 NIS 2 předává hmotné povinnosti. Kapitola II DORA (řízení rizik IKT) nahrazuje článek 21 NIS 2. Kapitola III DORA (ohlašování incidentů souvisejících s IKT) nahrazuje článek 23 NIS 2. RTS a ITS k DORA definují technický detail, vůči němuž BaFin dozoruje. Provozujete jeden rámec řízení rizik podle DORA, nikoli dva.
Registrace podle článku 27 NIS 2 stále platí
Článek 27 NIS 2 ukládá zásadním a důležitým subjektům poskytnout svému národnímu orgánu definovaný soubor údajů (název, adresa, sektor, kontaktní místo, rozsahy IP adres, kde je to relevantní). DORA toto nenahrazuje. BSI provozuje registr podle §33 BSIG pro Německo. Banky se tam registrují vedle všech ostatních v působnosti. Aktualizace do dvou týdnů podle článku 27(2).
Test rovnocennosti (článek 4(1) NIS 2)
Článek 4 vyjímá pouze tam, kde je sektorově specifický akt „alespoň rovnocenný svým účinkem“ příslušným povinnostem NIS 2. DORA byla navržena konkrétně tak, aby tento test splnila. Recitál 28 NIS 2 a vlastní kapitola DORA o působnosti soulad potvrzují. Pokud by budoucí sektorový akt nedostačoval, test rovnocennosti by selhal a povinnosti NIS 2 by se vrátily. U bank se to zatím nestalo.
Registrace je informační, nikoli hmotná
Článek 27 NIS 2 sídlí mimo výjimku, protože slouží jinému účelu. Hmotné povinnosti (články 21 a 23) regulují chování. Registrační povinnost (článek 27) dává ENISA a Komisi úplný celounijní obraz o tom, kdo spadá do režimu. Tento obraz musí zahrnovat i subjekty podléhající DORA, jinak má dozorová mapa díry. Komise si tuto viditelnost záměrně udržuje.
BaFin (dozor nad DORA)
BaFin dozoruje soulad s DORA u německých úvěrových institucí. Řízení rizik IKT, hlášení o závažných incidentech IKT (článek 19 DORA), program testování digitální provozní odolnosti, riziko třetích stran v oblasti IKT včetně kritických poskytovatelů IKT třetích stran. Zde sídlí provozní dozor nad bankami.
BSI (registr podle §33 BSIG)
BSI vede registr provádějící článek 27 NIS 2 v Německu. Banky se tam registrují, i když jejich hmotné povinnosti spadají pod DORA. BSI podstatu nedozoruje dvakrát. Vede záznam, vyměňuje data s Komisí a ENISA a zůstává kontaktním místem pro povinnosti podle článku 27.
ECB / SSM a Bundesbank
U významných institucí v rámci jednotného mechanismu dohledu přebírá vedoucí dohled ECB (DORA je zařazena do tohoto dozorového cyklu). U méně významných institucí vedou BaFin a Bundesbank. Bundesbank zajišťuje průběžný sběr dozorových dat. Žádná z těchto vrstev nemění samostatnou roli BSI v registru podle článku 27.
DORA zcela nahrazuje NIS 2. Podle NIS 2 nemusíme dělat nic.
Článek 4 NIS 2 vyjímá pouze hmotné povinnosti (článek 21 řízení rizik, článek 23 oznámení incidentu). Článek 27 (registrace) na tomto seznamu není. BSI vás stále očekává v registru podle §33 BSIG. Vynechání registrace vytváří porušení NIS 2, i když je váš program DORA v dokonalém stavu.
Jsme jen pod DORA. BSI nás nereguluje.
BSI nedozoruje váš rámec řízení rizik. To dělá BaFin. BSI však provozuje registr podle §33 BSIG, který provádí článek 27 NIS 2, a vy jste v něm. Změny adresy, změny kontaktního místa a překlasifikace sektoru stále jdou na BSI v rámci dvoutýdenního okna podle článku 27(2).
Jsme malá banka, takže jsme mimo působnost NIS 2.
Bankovnictví je jedním ze sektorů, kde mohou být prahové hodnoty velikosti NIS 2 přebity ustanoveními „bez ohledu na velikost“ a národní doplňkovou působností (příloha II „Sonstige kritische Einrichtungen“). Vlastní logika velikosti DORA platí nezávisle. Nepředpokládejte mimo působnost bez kontroly testu sektoru podle CRR, přebití NIS 2 „bez ohledu na velikost“ a kapitoly DORA o působnosti souběžně.
Podstata pod DORA, registrace pod BSI. Typická německá Sparkasse nebo Volksbank nestaví paralelní rámec podle článku 21 NIS 2. Kapitola o řízení rizik IKT podle DORA pokrývá stejnou oblast ve stejné hloubce. Cyklus ohlašování závažných incidentů IKT podle článku 19 DORA pokrývá tutéž smyčku významných incidentů, kterou by si žádal článek 23 NIS 2, jen na harmonogramu a šabloně DORA.
Na straně registrace banka jednou podá záznam u BSI podle §33 BSIG, aktualizuje jej do dvou týdnů podle článku 27(2), když se změní kontaktní data nebo zařazení sektoru, a vede jednostránkovou interní zprávu vysvětlující výjimku podle článku 4 NIS 2, aby ji příští dozorový orgán nebo auditor nemusel znovu projednávat. Tato zpráva stojí odpoledne práce a ušetří ekvivalent dvou auditních cyklů trapných diskusí.
Kontrola působnosti rozlišuje hmotnou působnost (povinnosti podle článků 21 a 23) od působnosti pouze registrační (povinnost podle článku 27). Banka dostane výsledek pouze registrační s odkazem na DORA. Výstupem je zpráva připravená k vložení, kterou mohou podepsat váš projektový manažer DORA i váš řídicí orgán.
Tam, kde se požadavky překrývají, mapujeme povinnost vůči ekvivalentu DORA, místo abychom vás žádali splnit ji dvakrát. Pracovní postup registru podle §33 BSIG zůstává na platformě, včetně dvoutýdenního aktualizačního cyklu podle článku 27(2). Hmotná část pracovního proudu DORA zůstává u BaFin a u vašich stávajících nástrojů pro řízení rizik IKT.
- Směrnice (EU) 2022/2555 (NIS 2), příloha I sektor 3, článek 4, článek 27 (eur-lex.europa.eu/eli/dir/2022/2555/oj)
- Nařízení (EU) 2022/2554 (DORA), článek 1 působnost a kapitoly II + III (eur-lex.europa.eu/eli/reg/2022/2554/oj)
- Nařízení (EU) č. 575/2013 (CRR), článek 4(1) (eur-lex.europa.eu/eli/reg/2013/575/oj)
- Zákon o BSI (BSIG), §28 (lex specialis) a §33 (registr) ve znění zákona o zavedení NIS2 a posílení kybernetické bezpečnosti
- Pokyny BaFin k implementaci DORA pro úvěrové instituce (bafin.de)