La banca bajo NIS 2
El anexo I sector 4, la interacción del artículo 4 con DORA y el deber de registro que no desaparece.
Resumen
Las entidades de crédito y partes de la infraestructura del mercado financiero se sitúan en el anexo I sector 4 de la Directiva (UE) 2022/2555 (NIS 2). Sobre el papel, la directiva se les aplica. En la práctica, la mayoría de las obligaciones operativas se leen junto con el Reglamento de Resiliencia Operativa Digital, el Reglamento (UE) 2022/2554 (DORA).
El artículo 4 NIS 2 es la cláusula puente. Cuando un acto sectorial específico de la Unión imponga obligaciones de gestión de riesgos de TIC o de notificación de incidentes que sean al menos equivalentes a NIS 2, las medidas y las reglas de notificación de NIS 2 ceden. Para los bancos y un conjunto definido de entidades financieras, DORA es ese acto. El artículo 21 (medidas de seguridad) y el artículo 23 (notificación de incidentes) de NIS 2 quedan desplazados por los equivalentes de DORA.
Un deber de NIS 2 no queda desplazado por el artículo 4: el deber de registro del artículo 27. Los Estados miembros siguen recopilando una lista de entidades esenciales e importantes, incluidos los bancos. En Alemania esto es la inscripción del §33 BSIG en el registro del BSI. La capa de la directiva mantiene intacto el censo incluso cuando DORA gobierna los controles.
Directiva (UE) 2022/2555, anexo I, sector 4 Banca
Entidades de crédito según se definen en el artículo 4, punto 1, del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo.
El anexo I sector 4 cubre las entidades de crédito en el sentido del RRC. La entrada siguiente, el anexo I sector 5, cubre las infraestructuras del mercado financiero (centros de negociación y entidades de contrapartida central). Juntos forman el perímetro bancario y financiero dentro de NIS 2.
Directiva (UE) 2022/2555, artículo 4(1)
Cuando actos jurídicos sectoriales específicos de la Unión exijan a las entidades esenciales o importantes que adopten medidas de gestión de riesgos de ciberseguridad o que notifiquen incidentes significativos, y cuando esos requisitos tengan un efecto al menos equivalente al de las obligaciones establecidas en la presente Directiva, las disposiciones pertinentes de la presente Directiva, incluida la disposición sobre supervisión y ejecución establecida en el capítulo VII, no se aplicarán a tales entidades.
Este es el conmutador de lex specialis. Las Autoridades Europeas de Supervisión y la Comisión han confirmado que el Reglamento (UE) 2022/2554 DORA cumple la prueba de equivalencia para las entidades financieras dentro de su ámbito. Los artículos 21 y 23 de NIS 2 se apartan para esas entidades. El resto de la directiva sigue en vigor.
Directiva (UE) 2022/2555, artículo 27
Los Estados miembros exigirán a las entidades esenciales e importantes que presenten a las autoridades competentes la siguiente información ... a más tardar el 17 de abril de 2025 y, posteriormente, sin demora y, en todo caso, en un plazo de dos semanas a partir de la fecha del cambio.
El artículo 27 es la cláusula de registro. No figura en la exclusión del artículo 4. En Alemania, el §33 BSIG lo operativiza con un registro del BSI. Los bancos presentan el registro incluso cuando sus obligaciones de seguridad y de notificación se rigen por DORA.
Está en el anexo I
Si su entidad es una entidad de crédito según el artículo 4(1) del Reglamento (UE) n.º 575/2013, se sitúa en el anexo I sector 4. Los umbrales de tamaño del artículo 2 NIS 2 siguen decidiendo si es esencial o importante. Una pequeña Sparkasse o un pequeño banco cooperativo no queda automáticamente fuera de ámbito, porque las entidades financieras activan los anulamientos sectoriales específicos del artículo 2(2).
DORA gobierna los controles y la notificación
Las medidas de seguridad del artículo 21 y la notificación de incidentes del artículo 23 bajo NIS 2 quedan desplazadas para las entidades financieras dentro de su ámbito. La gestión de riesgos de TIC, el riesgo de TIC de terceros, la notificación de incidentes graves y las pruebas de resiliencia siguen el Reglamento (UE) 2022/2554 y sus actos delegados.
El registro del artículo 27 sobrevive
El registro como entidad esencial o importante es un deber de la directiva que DORA no desplaza. En Alemania se aplica la inscripción del §33 BSIG ante el BSI. Las actualizaciones en un plazo de dos semanas tras cualquier cambio siguen aplicando la regla de la directiva.
La lex specialis es estrecha, no total
El artículo 4 NIS 2 solo desactiva las partes de NIS 2 que tienen un equivalente en el acto sectorial específico. Para DORA eso es la capa de seguridad operativa y de notificación de incidentes. Las disposiciones fuera de ese ámbito, incluidos el registro y la arquitectura de supervisión para las entidades que no quedan desplazadas, siguen vinculadas a NIS 2.
El registro es un deber de la directiva, no de DORA
DORA no crea un registro al estilo de NIS 2 de entidades esenciales e importantes. El artículo 27 NIS 2 sí. Por eso los bancos aparecen en la lista del §33 BSIG aunque sus controles de TIC se lean frente a DORA. Los dos regímenes quedan cosidos en la capa de la directiva.
BaFin
La Autoridad Federal de Supervisión Financiera es la autoridad competente alemana de DORA para los bancos, las entidades de pago y otras entidades financieras dentro de su ámbito. BaFin se encarga de la supervisión del riesgo de TIC y de los informes de incidentes graves en virtud del Reglamento (UE) 2022/2554.
BSI
La Oficina Federal de Seguridad de la Información gestiona el registro del §33 BSIG que operativiza el artículo 27 NIS 2. Los bancos se registran ante el BSI a través del portal de entidades. La supervisión diaria de la ciberseguridad del banco no pasa al BSI.
BCE y el MUS
Las entidades de crédito significativas dentro del Mecanismo Único de Supervisión están supervisadas directamente por el Banco Central Europeo. Para esas entidades, la supervisión de DORA recae en el BCE y no en la autoridad nacional competente, mientras que el registro del artículo 27 NIS 2 sigue siendo una presentación nacional.
DORA sustituye a NIS 2 para los bancos, así que NIS 2 no se aplica.
El artículo 4 NIS 2 solo desplaza las partes de NIS 2 que DORA cubre de forma equivalente. El registro del artículo 27 ante la autoridad nacional no es una de esas partes. La entidad sigue apareciendo como entidad esencial o importante en el registro nacional.
Somos un banco pequeño, estamos por debajo del umbral de tamaño y fuera de ámbito.
El artículo 2(2) NIS 2 contiene anulamientos sectoriales específicos. Las entidades de crédito del anexo I sector 4 pueden entrar en ámbito con independencia del tamaño cuando los Estados miembros o la lógica sectorial lo exijan. Una pequeña Sparkasse o un banco cooperativo no está automáticamente exento.
Una vez implementado DORA, hemos terminado con NIS 2.
DORA le da los equivalentes del artículo 21 y del artículo 23. No le da el registro de la directiva, el residuo de supervisión del artículo 32 para las entidades parcialmente dentro de ámbito, ni los canales intersectoriales de intercambio sobre incidentes del capítulo IV. Estos siguen vinculados a la capa de NIS 2.
Un banco mediano en Alemania suele tener dos vías de cumplimiento en marcha. Una bajo DORA, supervisada por BaFin o por el BCE si el banco es significativo. Esa vía es titular del riesgo de TIC, el registro de terceros, la notificación de incidentes graves y las pruebas de resiliencia. La otra bajo el artículo 27 NIS 2, supervisada por el BSI, es una inscripción en el registro más actualizaciones en un plazo de dos semanas tras cualquier cambio.
Los bancos cooperativos, las Sparkassen y las entidades de crédito más pequeñas se sitúan en la misma lógica. La vía de DORA es obligatoria para ellos como entidades financieras en virtud del Reglamento (UE) 2022/2554. La inscripción del §33 BSIG se sitúa junto a ella. Tratar cualquiera de las dos vías como opcional crea una exposición que es visible desde el registro público y desde los informes de BaFin por igual.
La plataforma está construida en torno a la lógica de control de los artículos 21 y 23 NIS 2. Para una entidad financiera dentro de ámbito, esos artículos quedan desplazados por DORA, por lo que la plataforma no es el sistema de registro para la gestión de riesgos de TIC de DORA. Sigue siendo útil como compañera del registro del artículo 27, como biblioteca de políticas y evidencia, y como el lugar donde un grupo bancario documenta la capa de NIS 2 para las entidades proveedoras y del grupo que no son entidades financieras bajo DORA.
Los grupos con un perímetro mixto, por ejemplo un banco más una filial no financiera de servicios de TI en el anexo I sector 8, suelen necesitar ambos regímenes mapeados en paralelo. La plataforma está pensada para el lado de NIS 2 de ese mapa.
- Directiva (UE) 2022/2555 (NIS 2), anexo I sector 4 y artículo 4(1), EUR-Lex.
- Directiva (UE) 2022/2555 (NIS 2), deber de registro del artículo 27, EUR-Lex.
- Reglamento (UE) 2022/2554 (DORA), artículos 5 a 17 gestión de riesgos de TIC y artículos 17 a 23 notificación de incidentes, EUR-Lex.
- Reglamento (UE) n.º 575/2013 (RRC), artículo 4(1) definición de entidad de crédito, EUR-Lex.
- §33 BSIG, registro de entidades esenciales e importantes ante el BSI, gesetze-im-internet.de.
- Guía de BaFin sobre la supervisión de DORA para las entidades financieras alemanas, bafin.de.
- Banco Central Europeo, supervisión del MUS de las entidades significativas, bankingsupervision.europa.eu.