Suis-je une banque au titre de NIS 2 ?
Les établissements de crédit sont énumérés au secteur 3 de l'annexe I de NIS 2. L'article 4 de NIS 2 renvoie ensuite les obligations substantielles de cybersécurité et de notification d'incidents à DORA. L'obligation d'enregistrement au titre de l'article 27 auprès de votre autorité nationale demeure dans tous les cas.
La version courte
Les banques relèvent du champ d'application de NIS 2. Le secteur 3 de l'annexe I énumère les « établissements de crédit » tels que définis à l'article 4(1) du règlement (UE) n° 575/2013 (CRR). Si vous êtes un Kreditinstitut au sens du CRR, vous êtes à l'intérieur du périmètre de NIS 2.
Mais l'article 4 de NIS 2 est une clause de lex specialis. Lorsqu'un acte sectoriel de l'UE impose des obligations de cybersécurité et de notification d'incidents au moins équivalentes, les obligations substantielles de NIS 2 s'effacent. DORA (règlement (UE) 2022/2554) a été rédigé précisément à cette fin. Ainsi, l'article 21 (mesures de gestion des risques) et l'article 23 (notification des incidents importants) au titre de NIS 2 ne s'appliquent pas aux entités financières soumises à DORA. Les chapitres équivalents de DORA s'appliquent à la place.
La dérogation n'est pas totale. L'article 27 de NIS 2 (enregistrement auprès de l'autorité nationale aux fins de la connaissance de la situation au niveau de l'UE) reste applicable. Le BSI conserve votre inscription au registre du §33 BSIG. La Commission et l'ENISA conservent leur vue à l'échelle de l'UE sur les entités relevant du champ d'application, même lorsque les obligations substantielles résident dans un autre règlement.
NIS 2 annexe I secteur 3 + article 4 (directive (UE) 2022/2555)
Credit institutions as defined in Article 4, point (1), of Regulation (EU) No 575/2013 of the European Parliament and of the Council. [Annex I, Sector 3, Banking] / Where sector-specific Union legal acts require essential or important entities to adopt cybersecurity risk-management measures or to notify significant incidents, and where those requirements are at least equivalent in effect to the obligations laid down in this Directive, the relevant provisions of this Directive, including the provisions on supervision and enforcement laid down in Chapter VII, shall not apply to such entities. [Article 4(1)]
L'annexe I place les banques dans le champ d'application. L'article 4 retire ensuite la substance lorsqu'un acte sectoriel est au moins équivalent dans ses effets. L'article 4 ne retire pas l'enregistrement. L'article 27 de NIS 2 continue de lier.
DORA (règlement (UE) 2022/2554)
This Regulation lays down uniform requirements concerning the security of network and information systems supporting the business processes of financial entities... in order to achieve a high common level of digital operational resilience.
DORA est l'acte sectoriel qui déclenche l'article 4 de NIS 2. Il s'agit d'un droit de l'UE directement applicable. Il couvre la gestion des risques liés aux TIC, la notification des incidents liés aux TIC, les tests de résilience opérationnelle numérique, le risque lié aux tiers TIC et le partage d'informations. Ensemble, ces chapitres sont réputés équivalents dans leurs effets aux articles 21 et 23 de NIS 2, de sorte que ces articles de NIS 2 s'effacent pour les entités soumises à DORA.
§28 BSIG + mise en œuvre nationale de DORA
§28 BSIG operationalises the Article 4 NIS 2 lex specialis rule in German law. BaFin supervises DORA compliance for German credit institutions. The BSI still maintains the §33 BSIG registry that implements Article 27 NIS 2.
Deux autorités allemandes comptent ici. La BaFin assure la surveillance substantielle (mesures de gestion des risques, notification des incidents au titre de DORA). Le BSI détient l'inscription au registre du §33 au titre de l'article 27 de NIS 2. Les deux sont des obligations réelles. Aucune ne remplace l'autre.
Êtes-vous un établissement de crédit au sens de l'article 4(1) du CRR ?
Le secteur bancaire de NIS 2 utilise la définition du CRR. Un Kreditinstitut reçoit des dépôts ou d'autres fonds remboursables du public et octroie des crédits pour son propre compte. Si vous êtes agréé par la BaFin / la BCE en tant qu'établissement de crédit, vous correspondez. Les établissements de paiement, les établissements de monnaie électronique et les entreprises d'investissement ont leurs propres tests de champ d'application au titre du secteur 4 de NIS 2 (infrastructures des marchés financiers) ou de DORA.
Les articles 21 + 23 de NIS 2 remplacés par DORA
L'article 4 de NIS 2 transfère les obligations substantielles. Le chapitre II de DORA (gestion des risques liés aux TIC) remplace l'article 21 de NIS 2. Le chapitre III de DORA (notification des incidents liés aux TIC) remplace l'article 23 de NIS 2. Les RTS et ITS de DORA définissent le détail technique sur lequel la BaFin exerce sa surveillance. Vous exploitez un seul cadre de gestion des risques au titre de DORA, pas deux.
L'enregistrement au titre de l'article 27 de NIS 2 reste applicable
L'article 27 de NIS 2 oblige les entités essentielles et importantes à fournir à leur autorité nationale un ensemble défini de données (nom, adresse, secteur, point de contact, plages d'adresses IP le cas échéant). DORA ne remplace pas cela. Le BSI gère le registre du §33 BSIG pour l'Allemagne. Les banques s'y enregistrent au même titre que toute autre entité relevant du champ d'application. Mises à jour dans un délai de deux semaines au titre de l'article 27(2).
Le test d'équivalence (article 4(1) de NIS 2)
L'article 4 ne déroge que lorsque l'acte sectoriel est « au moins équivalent dans ses effets » aux obligations pertinentes de NIS 2. DORA a été spécifiquement conçu pour satisfaire à ce test. Le considérant 28 de NIS 2 et le chapitre relatif au champ d'application de DORA lui-même en confirment l'adéquation. Si un futur acte sectoriel se révélait insuffisant, le test d'équivalence échouerait et les obligations de NIS 2 redeviendraient applicables. Cela ne s'est pas produit jusqu'à présent pour les banques.
L'enregistrement est informationnel, non substantiel
L'article 27 de NIS 2 se situe en dehors de la dérogation car il sert un objectif différent. Les obligations substantielles (articles 21 et 23) régissent le comportement. L'obligation d'enregistrement (article 27) donne à l'ENISA et à la Commission une image complète à l'échelle de l'UE des entités relevant du régime. Cette image doit inclure également les entités soumises à DORA, sinon la carte de surveillance présente des trous. La Commission conserve délibérément cette visibilité.
BaFin (autorité de surveillance DORA)
La BaFin surveille la conformité à DORA pour les établissements de crédit allemands. Gestion des risques liés aux TIC, rapports d'incidents majeurs liés aux TIC (article 19 de DORA), programme de tests de résilience opérationnelle numérique, risque lié aux tiers TIC y compris les prestataires tiers critiques de services TIC. C'est là que se situe la surveillance opérationnelle des banques.
BSI (registre du §33 BSIG)
Le BSI tient le registre mettant en œuvre l'article 27 de NIS 2 en Allemagne. Les banques s'y enregistrent même si leurs obligations substantielles relèvent de DORA. Le BSI ne double pas la surveillance de la substance. Il conserve l'inscription, échange des données avec la Commission et l'ENISA, et reste le point de contact pour les obligations de l'article 27.
BCE / MSU et Bundesbank
Pour les établissements importants relevant du mécanisme de surveillance unique, la BCE assure la surveillance principale (DORA est intégré à ce cycle de surveillance). Pour les établissements moins importants, la BaFin et la Bundesbank assurent la conduite. La Bundesbank gère la collecte continue des données de surveillance. Aucune de ces couches ne modifie le rôle distinct du BSI au titre du registre de l'article 27.
DORA remplace entièrement NIS 2. Nous n'avons rien à faire au titre de NIS 2.
L'article 4 de NIS 2 ne déroge qu'aux obligations substantielles (article 21 gestion des risques, article 23 notification des incidents). L'article 27 (enregistrement) ne figure pas sur cette liste. Le BSI vous attend toujours dans le registre du §33 BSIG. Le défaut d'enregistrement crée une violation de NIS 2 même lorsque votre programme DORA est en parfait état.
Nous relevons de DORA uniquement. Le BSI ne nous réglemente pas.
Le BSI ne surveille pas votre cadre de gestion des risques. La BaFin le fait. Mais le BSI gère bien le registre du §33 BSIG qui met en œuvre l'article 27 de NIS 2, et vous y figurez. Les changements d'adresse, les changements de point de contact, les reclassifications sectorielles vont toujours au BSI dans le délai de deux semaines de l'article 27(2).
Nous sommes une petite banque, nous sommes donc hors du champ d'application de NIS 2.
Le secteur bancaire est l'un des secteurs où les seuils de taille de NIS 2 peuvent être écartés par des dispositions « quelle que soit la taille » et par un champ d'application supplémentaire national (annexe II « Sonstige kritische Einrichtungen »). La logique de taille propre à DORA s'applique indépendamment. Ne présumez pas être hors champ d'application sans vérifier en parallèle le test sectoriel du CRR, les dérogations « quelle que soit la taille » de NIS 2 et le chapitre relatif au champ d'application de DORA.
La substance au titre de DORA, l'enregistrement auprès du BSI. Une Sparkasse ou une Volksbank allemande typique ne met pas en place un cadre parallèle au titre de l'article 21 de NIS 2. Le chapitre de DORA relatif à la gestion des risques liés aux TIC couvre le même terrain à la même profondeur. Le cycle de notification des incidents majeurs liés aux TIC au titre de l'article 19 de DORA couvre la même boucle d'incidents importants que l'article 23 de NIS 2 aurait exigée, simplement selon le calendrier et le modèle de DORA.
Côté enregistrement, la banque dépose une fois auprès du BSI au titre du §33 BSIG, met à jour dans un délai de deux semaines au titre de l'article 27(2) lorsque les données de contact ou la classification sectorielle changent, et conserve une note interne d'une page expliquant la dérogation de l'article 4 de NIS 2 pour que le prochain superviseur ou auditeur n'ait pas à la rejuger. Cette note coûte un après-midi à rédiger et économise l'équivalent de deux cycles d'audit en conversations délicates.
La vérification d'applicabilité distingue le champ d'application substantiel (obligations des articles 21 et 23) du champ d'application limité à l'enregistrement (obligation de l'article 27). Une banque obtient un résultat limité à l'enregistrement avec un renvoi vers DORA. Le résultat est une note prête à coller que votre chef de projet DORA et votre organe de direction peuvent tous deux approuver.
Lorsque les exigences se recoupent, nous mettons l'obligation en correspondance avec son équivalent DORA plutôt que de vous demander de la satisfaire deux fois. Le flux de travail du registre du §33 BSIG reste sur la plateforme, y compris le cycle de mise à jour de deux semaines au titre de l'article 27(2). Le volet substantiel DORA reste avec la BaFin et votre outillage existant de gestion des risques liés aux TIC.
- Directive (UE) 2022/2555 (NIS 2), annexe I secteur 3, article 4, article 27 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement (UE) 2022/2554 (DORA), article 1 champ d'application et chapitres II + III — eur-lex.europa.eu/eli/reg/2022/2554/oj
- Règlement (UE) n° 575/2013 (CRR), article 4(1) — eur-lex.europa.eu/eli/reg/2013/575/oj
- Loi sur le BSI (BSIG), §28 (lex specialis) et §33 (registre) tels que modifiés par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- Orientations de la BaFin sur la mise en œuvre de DORA pour les établissements de crédit — bafin.de