¿Soy un banco conforme a NIS 2?
Las entidades de crédito figuran en el Anexo I sector 3 de NIS 2. El Artículo 4 NIS 2 remite después los deberes sustantivos de ciberseguridad y notificación de incidentes a DORA. El deber de registro del Artículo 27 ante su autoridad nacional permanece en pie en todo caso.
La versión corta
Los bancos están dentro del ámbito de NIS 2. El Anexo I sector 3 enumera las 'entidades de crédito' tal como se definen en el Artículo 4(1) del Reglamento (UE) n.º 575/2013 (CRR). Si es un Kreditinstitut conforme al CRR, está dentro del perímetro de NIS 2.
Pero el Artículo 4 NIS 2 es una cláusula de lex specialis. Cuando un acto sectorial específico de la UE establece deberes de ciberseguridad y notificación de incidentes al menos equivalentes, las obligaciones sustantivas de NIS 2 se hacen a un lado. DORA (Reglamento (UE) 2022/2554) se redactó precisamente para esto. Así que el Artículo 21 (medidas de gestión de riesgos) y el Artículo 23 (notificación de incidentes significativos) de NIS 2 no se aplican a las entidades financieras sujetas a DORA. En su lugar se aplican los capítulos equivalentes de DORA.
La exclusión no es total. El Artículo 27 NIS 2 (registro ante la autoridad nacional para el conocimiento de la situación a nivel de la UE) sigue aplicándose. El BSI mantiene su entrada en el registro del §33 BSIG. La Comisión y ENISA mantienen su panorámica de toda la UE de quién está dentro del ámbito, incluso cuando los deberes sustantivos residen en otro reglamento.
NIS 2 Anexo I sector 3 + Artículo 4 (Directiva (UE) 2022/2555)
Entidades de crédito tal como se definen en el artículo 4, punto 1, del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo. [Anexo I, Sector 3, Banca] / Cuando actos jurídicos sectoriales de la Unión exijan a las entidades esenciales o importantes adoptar medidas para la gestión de riesgos de ciberseguridad o notificar incidentes significativos, y cuando esos requisitos sean al menos equivalentes en sus efectos a las obligaciones establecidas en la presente Directiva, las disposiciones pertinentes de la presente Directiva, incluidas las disposiciones sobre supervisión y ejecución establecidas en el capítulo VII, no se aplicarán a dichas entidades. [Artículo 4(1)]
El Anexo I sitúa a los bancos en el ámbito. El Artículo 4 absorbe después la sustancia cuando un acto sectorial específico es al menos equivalente en sus efectos. El Artículo 4 no excluye el registro. El Artículo 27 NIS 2 sigue vinculando.
DORA (Reglamento (UE) 2022/2554)
El presente Reglamento establece requisitos uniformes en relación con la seguridad de las redes y sistemas de información que sustentan los procesos de negocio de las entidades financieras... con el fin de alcanzar un nivel común elevado de resiliencia operativa digital.
DORA es el acto sectorial específico que activa el Artículo 4 NIS 2. Es Derecho de la UE directamente aplicable. Cubre la gestión de riesgos relacionados con las TIC, la notificación de incidentes relacionados con las TIC, las pruebas de resiliencia operativa digital, el riesgo de terceros TIC y el intercambio de información. En conjunto, esos capítulos se consideran equivalentes en sus efectos a los Artículos 21 y 23 NIS 2, de modo que esos artículos de NIS 2 se hacen a un lado para las entidades sujetas a DORA.
§28 BSIG + implementación nacional de DORA
El §28 BSIG operacionaliza en el Derecho alemán la regla de lex specialis del Artículo 4 NIS 2. La BaFin supervisa el cumplimiento de DORA para las entidades de crédito alemanas. El BSI sigue manteniendo el registro del §33 BSIG que implementa el Artículo 27 NIS 2.
Aquí importan dos autoridades alemanas. La BaFin ostenta la supervisión sustantiva (medidas de gestión de riesgos, notificación de incidentes conforme a DORA). El BSI ostenta la entrada de registro del §33 conforme al Artículo 27 NIS 2. Ambas son obligaciones reales. Ninguna sustituye a la otra.
¿Es una entidad de crédito conforme al Artículo 4(1) CRR?
El sector bancario de NIS 2 usa la definición del CRR. Un Kreditinstitut capta depósitos u otros fondos reembolsables del público y concede créditos por cuenta propia. Si tiene licencia de la BaFin / el BCE como entidad de crédito, encaja. Las entidades de pago, las entidades de dinero electrónico y las empresas de servicios de inversión tienen sus propios tests de ámbito conforme a NIS 2 sector 4 (infraestructura del mercado financiero) o a DORA.
Los Artículos 21 + 23 NIS 2 sustituidos por DORA
El Artículo 4 NIS 2 traslada los deberes sustantivos. El Capítulo II de DORA (gestión de riesgos de las TIC) sustituye al Artículo 21 NIS 2. El Capítulo III de DORA (notificación de incidentes relacionados con las TIC) sustituye al Artículo 23 NIS 2. Las RTS e ITS de DORA definen el detalle técnico frente al que supervisa la BaFin. Ejecuta un único marco de gestión de riesgos conforme a DORA, no dos.
El registro del Artículo 27 NIS 2 sigue aplicándose
El Artículo 27 NIS 2 obliga a las entidades esenciales e importantes a facilitar a su autoridad nacional un conjunto definido de datos (nombre, dirección, sector, punto de contacto, rangos de IP cuando proceda). DORA no sustituye esto. El BSI gestiona el registro del §33 BSIG para Alemania. Los bancos se registran allí junto con todos los demás incluidos en el ámbito. Actualizaciones en el plazo de dos semanas conforme al Artículo 27(2).
El test de equivalencia (Artículo 4(1) NIS 2)
El Artículo 4 solo excluye cuando el acto sectorial específico es 'al menos equivalente en sus efectos' a las obligaciones pertinentes de NIS 2. DORA se diseñó específicamente para superar ese test. El Considerando 28 NIS 2 y el propio capítulo de ámbito de DORA confirman el encaje. Si un futuro acto sectorial se quedara corto, el test de equivalencia fallaría y los deberes de NIS 2 volverían a aplicarse. Hasta ahora eso no ha ocurrido con los bancos.
El registro es informativo, no sustantivo
El Artículo 27 NIS 2 queda fuera de la exclusión porque cumple una finalidad distinta. Los deberes sustantivos (Artículos 21 y 23) regulan la conducta. El deber de registro (Artículo 27) da a ENISA y a la Comisión una imagen completa de toda la UE de quién cae bajo el régimen. Esa imagen tiene que incluir también a las entidades sujetas a DORA, de lo contrario el mapa de supervisión tendría agujeros. La Comisión mantiene esa visibilidad a propósito.
BaFin (supervisor de DORA)
La BaFin supervisa el cumplimiento de DORA para las entidades de crédito alemanas. Gestión de riesgos de las TIC, los informes de incidentes graves relacionados con las TIC (Artículo 19 DORA), el programa de pruebas de resiliencia operativa digital, el riesgo de terceros TIC incluidos los proveedores terceros críticos de TIC. Aquí es donde reside la supervisión operativa de los bancos.
BSI (registro del §33 BSIG)
El BSI mantiene el registro que implementa el Artículo 27 NIS 2 en Alemania. Los bancos se registran allí aunque sus deberes sustantivos estén bajo DORA. El BSI no duplica la supervisión de la sustancia. Mantiene la entrada, intercambia datos con la Comisión y ENISA, y sigue siendo el punto de contacto para las obligaciones del Artículo 27.
BCE / MUS y Bundesbank
Para las entidades significativas bajo el Mecanismo Único de Supervisión, el BCE asume la supervisión principal (DORA se incorpora a ese ciclo de supervisión). Para las entidades menos significativas, la BaFin y el Bundesbank llevan la batuta. El Bundesbank gestiona la recopilación continua de datos de supervisión. Ninguna de estas capas cambia el papel separado del registro del Artículo 27 que tiene el BSI.
DORA sustituye a NIS 2 por completo. No tenemos que hacer nada conforme a NIS 2.
El Artículo 4 NIS 2 solo excluye las obligaciones sustantivas (Artículo 21 gestión de riesgos, Artículo 23 notificación de incidentes). El Artículo 27 (registro) no está en esa lista. El BSI sigue esperándole en el registro del §33 BSIG. Omitir el registro genera una infracción de NIS 2 incluso cuando su programa DORA esté en perfecto estado.
Somos solo-DORA. El BSI no nos regula.
El BSI no supervisa su marco de gestión de riesgos. La BaFin sí. Pero el BSI sí gestiona el registro del §33 BSIG que implementa el Artículo 27 NIS 2, y usted está en él. Los cambios de dirección, los cambios de punto de contacto y las reclasificaciones de sector siguen yendo al BSI dentro de la ventana de dos semanas del Artículo 27(2).
Somos un banco pequeño, así que estamos fuera del ámbito de NIS 2.
La banca es uno de los sectores donde los umbrales de tamaño de NIS 2 pueden quedar anulados por las disposiciones 'con independencia del tamaño' y por el ámbito nacional complementario (Anexo II 'Sonstige kritische Einrichtungen'). La propia lógica de tamaño de DORA se aplica de forma independiente. No presuponga estar fuera del ámbito sin comprobar en paralelo el test sectorial del CRR, las anulaciones 'con independencia del tamaño' de NIS 2 y el capítulo de ámbito de DORA.
Sustancia bajo DORA, registro bajo el BSI. Una Sparkasse o Volksbank alemana típica no levanta un marco paralelo del Artículo 21 NIS 2. El capítulo de gestión de riesgos de las TIC de DORA cubre el mismo terreno con la misma profundidad. El ciclo de notificación de incidentes graves relacionados con las TIC del Artículo 19 DORA cubre el mismo bucle de incidentes significativos que el Artículo 23 NIS 2 habría pedido, solo que en el calendario y la plantilla de DORA.
En el lado del registro, el banco presenta una vez ante el BSI conforme al §33 BSIG, actualiza en el plazo de dos semanas conforme al Artículo 27(2) cuando cambian los datos de contacto o la clasificación de sector, y conserva un memorándum interno de una página que explica la exclusión del Artículo 4 NIS 2 para que el próximo supervisor o auditor no tenga que volver a litigarla. Ese memorándum cuesta una tarde de redacción y ahorra el equivalente a dos ciclos de auditoría en conversaciones incómodas.
La comprobación de aplicabilidad distingue el ámbito sustantivo (deberes de los Artículos 21 y 23) del ámbito solo-registro (deber del Artículo 27). Un banco obtiene un resultado de solo-registro con una remisión a DORA. La salida es un memorándum listo para pegar que tanto su jefe de proyecto de DORA como su órgano de dirección pueden aprobar.
Cuando los requisitos se solapan, mapeamos la obligación frente al equivalente de DORA en lugar de pedirle que la cumpla dos veces. El flujo de trabajo del registro del §33 BSIG permanece en la plataforma, incluido el ciclo de actualización de dos semanas conforme al Artículo 27(2). La línea de trabajo sustantiva de DORA permanece con la BaFin y con sus herramientas existentes de gestión de riesgos de las TIC.
- Directiva (UE) 2022/2555 (NIS 2), Anexo I sector 3, Artículo 4, Artículo 27 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento (UE) 2022/2554 (DORA), Artículo 1 ámbito y Capítulos II + III — eur-lex.europa.eu/eli/reg/2022/2554/oj
- Reglamento (UE) n.º 575/2013 (CRR), Artículo 4(1) — eur-lex.europa.eu/eli/reg/2013/575/oj
- Ley del BSI (BSIG), §28 (lex specialis) y §33 (registro) en su redacción dada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
- Orientación de la BaFin sobre la implementación de DORA para entidades de crédito — bafin.de