Bankovnictví podle NIS 2
Příloha I odvětví 4, interakce článku 4 s DORA a registrační povinnost, která nezmizí.
Přehled
Úvěrové instituce a části infrastruktury finančního trhu sedí v příloze I odvětví 4 směrnice (EU) 2022/2555 (NIS 2). Na papíře se na ně směrnice vztahuje. V praxi se většina provozních povinností čte společně s aktem o digitální provozní odolnosti, nařízením (EU) 2022/2554 (DORA).
Článek 4 NIS 2 je přemosťovací klauzule. Tam, kde odvětvově specifický akt Unie ukládá povinnosti řízení rizik IKT nebo hlášení incidentů, které jsou alespoň rovnocenné NIS 2, ustupují opatření a pravidla hlášení NIS 2. Pro banky a vymezenou množinu finančních subjektů je tímto aktem DORA. Článek 21 (bezpečnostní opatření) a článek 23 (hlášení incidentů) NIS 2 jsou nahrazeny ekvivalenty v DORA.
Jedna povinnost podle NIS 2 není článkem 4 nahrazena: registrační povinnost v článku 27. Členské státy stále shromažďují seznam nezbytných a důležitých subjektů, včetně bank. V Německu jde o zápis podle § 33 BSIG v registru BSI. Vrstva směrnice zachovává počet nedotčený i tam, kde kontroly řídí DORA.
Směrnice (EU) 2022/2555, příloha I, odvětví 4 Bankovnictví
Úvěrové instituce ve smyslu čl. 4 bodu 1 nařízení Evropského parlamentu a Rady (EU) č. 575/2013.
Příloha I odvětví 4 pokrývá úvěrové instituce ve smyslu CRR. Další položka, příloha I odvětví 5, pokrývá infrastruktury finančního trhu (obchodní platformy a ústřední protistrany). Společně tvoří bankovní a finanční perimetr uvnitř NIS 2.
Směrnice (EU) 2022/2555, článek 4(1)
Pokud odvětvově specifické právní akty Unie vyžadují, aby nezbytné nebo důležité subjekty přijaly opatření k řízení rizik v oblasti kybernetické bezpečnosti nebo oznamovaly významné incidenty, a pokud jsou tyto požadavky alespoň rovnocenné svým účinkem povinnostem stanoveným v této směrnici, nepoužijí se na tyto subjekty příslušná ustanovení této směrnice, včetně ustanovení o dohledu a vymáhání stanoveného v kapitole VII.
Toto je přepínač lex specialis. Evropské orgány dohledu a Komise potvrdily, že nařízení DORA (EU) 2022/2554 splňuje test rovnocennosti pro finanční subjekty v rozsahu. Články 21 a 23 NIS 2 pro tyto subjekty ustupují. Zbytek směrnice zůstává v platnosti.
Směrnice (EU) 2022/2555, článek 27
Členské státy vyžadují, aby nezbytné a důležité subjekty předkládaly příslušným orgánům tyto informace ... nejpozději do 17. dubna 2025 a poté bez prodlení a v každém případě do dvou týdnů ode dne změny.
Článek 27 je registrační klauzule. Není uvedena ve výjimce podle článku 4. V Německu ji operacionalizuje § 33 BSIG registrem BSI. Banky podávají registraci, i když jsou jejich bezpečnostní a oznamovací povinnosti řízeny DORA.
Jste v příloze I
Pokud je váš subjekt úvěrovou institucí podle čl. 4 odst. 1 nařízení (EU) č. 575/2013, sedíte v příloze I odvětví 4. O tom, zda jste nezbytný nebo důležitý, stále rozhodují velikostní prahy v článku 2 NIS 2. Malá Sparkasse nebo malá družstevní banka není automaticky mimo rozsah, protože finanční subjekty spouštějí odvětvově specifická přepsání v čl. 2 odst. 2.
DORA řídí kontroly a hlášení
Bezpečnostní opatření článku 21 a hlášení incidentů podle článku 23 NIS 2 jsou pro finanční subjekty v rozsahu nahrazena. Řízení rizik IKT, riziko IKT třetích stran, hlášení velkých incidentů a testování odolnosti se řídí nařízením (EU) 2022/2554 a jeho akty v přenesené pravomoci.
Registrace podle článku 27 přežívá
Registrace jako nezbytný nebo důležitý subjekt je povinnost ze směrnice, kterou DORA nenahrazuje. V Německu se uplatní zápis podle § 33 BSIG u BSI. Aktualizace do dvou týdnů od jakékoli změny se stále řídí pravidlem směrnice.
Lex specialis je úzký, ne úplný
Článek 4 NIS 2 vypíná pouze ty části NIS 2, které mají ekvivalent v odvětvově specifickém aktu. Pro DORA je to vrstva provozní bezpečnosti a hlášení incidentů. Ustanovení mimo tuto obálku, včetně registrace a dohledové architektury pro subjekty, které nejsou nahrazeny, zůstávají připojena k NIS 2.
Registrace je povinnost ze směrnice, ne z DORA
DORA nevytváří registr nezbytných a důležitých subjektů ve stylu NIS 2. Článek 27 NIS 2 ano. Proto se banky objevují v seznamu podle § 33 BSIG, i když se jejich kontroly IKT čtou proti DORA. Oba režimy jsou sešity na vrstvě směrnice.
BaFin
Spolkový úřad pro dohled nad finančními službami je německým příslušným orgánem pro DORA pro banky, platební instituce a další finanční subjekty v rozsahu. BaFin vyřizuje dohled nad rizikem IKT a hlášení velkých incidentů podle nařízení (EU) 2022/2554.
BSI
Spolkový úřad pro bezpečnost informací provozuje registr podle § 33 BSIG, který operacionalizuje článek 27 NIS 2. Banky se u BSI registrují prostřednictvím portálu pro subjekty. Každodenní dohled nad kybernetickou bezpečností banky se na BSI nepřesouvá.
ECB a SSM
Významné úvěrové instituce uvnitř jednotného mechanismu dohledu jsou přímo dohlíženy Evropskou centrální bankou. Pro tyto subjekty leží dohled DORA u ECB spíše než u národního příslušného orgánu, zatímco registrace podle článku 27 NIS 2 zůstává národním podáním.
DORA nahrazuje NIS 2 pro banky, takže NIS 2 neplatí.
Článek 4 NIS 2 nahrazuje pouze ty části NIS 2, které DORA pokrývá v rovnocenné formě. Registrace podle článku 27 u národního orgánu mezi ně nepatří. Subjekt se stále objevuje jako nezbytný nebo důležitý subjekt v národním registru.
Jsme malá banka, jsme pod velikostním prahem a mimo rozsah.
Článek 2(2) NIS 2 obsahuje odvětvově specifická přepsání. Úvěrové instituce v příloze I odvětví 4 mohou spadat do rozsahu bez ohledu na velikost tam, kde to vyžadují členské státy nebo odvětvová logika. Malá Sparkasse nebo družstevní banka není automaticky vyňata.
Jakmile je DORA zavedena, jsme s NIS 2 hotovi.
DORA vám dává ekvivalenty článku 21 a článku 23. Nedává vám registr ze směrnice, zbytkový dohled podle článku 32 pro subjekty částečně v rozsahu, ani kanály pro mezisektorové sdílení incidentů podle kapitoly IV. Ty zůstávají připojeny k vrstvě NIS 2.
Středně velká banka v Německu má obvykle dvě koleje shody. Jednu podle DORA, dohlíženou BaFin nebo ECB, pokud je banka významná. Tato kolej vlastní riziko IKT, registr třetích stran, hlášení velkých incidentů a testování odolnosti. Druhou podle článku 27 NIS 2, dohlíženou BSI, je zápis do registru plus aktualizace do dvou týdnů od jakékoli změny.
Družstevní banky, Sparkassen a menší úvěrové instituce sedí ve stejné logice. Kolej DORA je pro ně jako finanční subjekty podle nařízení (EU) 2022/2554 povinná. Zápis podle § 33 BSIG sedí vedle ní. Považovat kteroukoli kolej za nepovinnou vytváří expozici, která je viditelná z veřejného registru i z hlášení BaFin.
Platforma je postavena kolem logiky kontrol článku 21 a článku 23 NIS 2. Pro finanční subjekt v rozsahu jsou tyto články nahrazeny DORA, takže platforma není systémem záznamu pro řízení rizik IKT podle DORA. Stále je užitečná jako společník registru podle článku 27, knihovna politik a důkazů a místo, kde bankovní skupina dokumentuje vrstvu NIS 2 pro dodavatelské a skupinové subjekty, které nejsou finančními subjekty podle DORA.
Skupiny se smíšeným perimetrem, například banka plus nefinanční dceřiná společnost IT služeb v příloze I odvětví 8, často potřebují oba režimy namapované vedle sebe. Platforma je určena pro stranu NIS 2 této mapy.
- Směrnice (EU) 2022/2555 (NIS 2), příloha I odvětví 4 a článek 4(1), EUR-Lex.
- Směrnice (EU) 2022/2555 (NIS 2), registrační povinnost podle článku 27, EUR-Lex.
- Nařízení (EU) 2022/2554 (DORA), články 5 až 17 řízení rizik IKT a články 17 až 23 hlášení incidentů, EUR-Lex.
- Nařízení (EU) č. 575/2013 (CRR), čl. 4 odst. 1 definice úvěrové instituce, EUR-Lex.
- § 33 BSIG, registrace nezbytných a důležitých subjektů u BSI, gesetze-im-internet.de.
- Pokyny BaFin k dohledu podle DORA pro německé finanční subjekty, bafin.de.
- Evropská centrální banka, dohled SSM nad významnými institucemi, bankingsupervision.europa.eu.