Sono una banca ai sensi della NIS 2?
Gli enti creditizi sono elencati nel settore 3 dell'Allegato I della NIS 2. L'Articolo 4 NIS 2 rinvia poi gli obblighi sostanziali di cibersicurezza e di notifica degli incidenti a DORA. L'obbligo di registrazione di cui all'Articolo 27 presso la tua autorità nazionale resta in piedi in ogni caso.
La versione breve
Le banche rientrano nell'ambito della NIS 2. Il settore 3 dell'Allegato I elenca gli "enti creditizi" quali definiti all'Articolo 4(1) del Regolamento (UE) n. 575/2013 (CRR). Se sei un Kreditinstitut ai sensi del CRR, sei all'interno del perimetro della NIS 2.
Ma l'Articolo 4 NIS 2 è una clausola di lex specialis. Laddove un atto UE settoriale specifico stabilisca obblighi di cibersicurezza e di segnalazione degli incidenti almeno equivalenti, gli obblighi sostanziali della NIS 2 cedono il passo. DORA (Regolamento (UE) 2022/2554) è stato scritto esattamente per questo scopo. Pertanto l'Articolo 21 (misure di gestione del rischio) e l'Articolo 23 (notifica degli incidenti significativi) ai sensi della NIS 2 non si applicano ai soggetti finanziari assoggettati a DORA. Si applicano invece i capi equivalenti di DORA.
Lo scorporo non è totale. L'Articolo 27 NIS 2 (registrazione presso l'autorità nazionale ai fini della consapevolezza situazionale a livello UE) continua ad applicarsi. Il BSI mantiene la tua iscrizione nel registro di cui al §33 BSIG. La Commissione e l'ENISA mantengono la loro visione a livello UE di chi rientra nell'ambito, anche quando gli obblighi sostanziali risiedono in un altro regolamento.
NIS 2 Allegato I settore 3 + Articolo 4 (Direttiva (UE) 2022/2555)
Enti creditizi quali definiti all'Articolo 4, punto (1), del Regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio. [Allegato I, settore 3, Settore bancario] / Qualora atti giuridici settoriali dell'Unione impongano a soggetti essenziali o importanti di adottare misure di gestione del rischio di cibersicurezza o di notificare gli incidenti significativi, e qualora tali requisiti siano almeno equivalenti negli effetti agli obblighi previsti dalla presente direttiva, le pertinenti disposizioni della presente direttiva, comprese le disposizioni in materia di vigilanza ed esecuzione di cui al Capo VII, non si applicano a tali soggetti. [Articolo 4(1)]
L'Allegato I include le banche nell'ambito. L'Articolo 4 scorpora poi la sostanza quando un atto settoriale specifico è almeno equivalente negli effetti. L'Articolo 4 non scorpora la registrazione. L'Articolo 27 NIS 2 vincola comunque.
DORA (Regolamento (UE) 2022/2554)
Il presente regolamento stabilisce requisiti uniformi concernenti la sicurezza dei sistemi informatici e di rete a supporto dei processi aziendali dei soggetti finanziari... al fine di conseguire un livello comune elevato di resilienza operativa digitale.
DORA è l'atto settoriale specifico che attiva l'Articolo 4 NIS 2. È diritto UE direttamente applicabile. Copre la gestione del rischio ICT, la segnalazione degli incidenti connessi alle ICT, i test di resilienza operativa digitale, il rischio derivante da terzi ICT e la condivisione delle informazioni. Insieme tali capi sono considerati equivalenti negli effetti agli Articoli 21 e 23 NIS 2, sicché tali articoli NIS 2 cedono il passo a DORA per i soggetti assoggettati a DORA.
§28 BSIG + attuazione nazionale di DORA
Il §28 BSIG rende operativa nel diritto tedesco la regola di lex specialis dell'Articolo 4 NIS 2. La BaFin vigila sulla conformità a DORA per gli enti creditizi tedeschi. Il BSI mantiene comunque il registro di cui al §33 BSIG che attua l'Articolo 27 NIS 2.
Qui rilevano due autorità tedesche. La BaFin detiene la vigilanza sostanziale (misure di gestione del rischio, segnalazione degli incidenti ai sensi di DORA). Il BSI detiene l'iscrizione nel registro di cui al §33 ai sensi dell'Articolo 27 NIS 2. Entrambi sono obblighi reali. Nessuno dei due sostituisce l'altro.
Sei un ente creditizio ai sensi dell'Articolo 4(1) CRR?
Il settore bancario della NIS 2 utilizza la definizione del CRR. Un Kreditinstitut raccoglie depositi o altri fondi rimborsabili dal pubblico e concede crediti per proprio conto. Se sei autorizzato dalla BaFin / BCE come ente creditizio, rientri. Gli istituti di pagamento, gli istituti di moneta elettronica e le imprese di investimento hanno proprie verifiche di ambito ai sensi del settore 4 NIS 2 (infrastrutture dei mercati finanziari) o di DORA.
Articoli 21 + 23 NIS 2 sostituiti da DORA
L'Articolo 4 NIS 2 trasferisce gli obblighi sostanziali. Il Capo II di DORA (gestione del rischio ICT) sostituisce l'Articolo 21 NIS 2. Il Capo III di DORA (segnalazione degli incidenti connessi alle ICT) sostituisce l'Articolo 23 NIS 2. Le RTS e ITS di DORA definiscono il dettaglio tecnico rispetto al quale la BaFin vigila. Gestisci un unico quadro di gestione del rischio ai sensi di DORA, non due.
La registrazione di cui all'Articolo 27 NIS 2 continua ad applicarsi
L'Articolo 27 NIS 2 obbliga i soggetti essenziali e importanti a fornire alla propria autorità nazionale un insieme definito di dati (denominazione, indirizzo, settore, punto di contatto, intervalli di indirizzi IP ove applicabile). DORA non sostituisce questo obbligo. Il BSI gestisce il registro di cui al §33 BSIG per la Germania. Le banche vi si registrano insieme a tutti gli altri soggetti nell'ambito. Aggiornamenti entro due settimane ai sensi dell'Articolo 27(2).
La verifica di equivalenza (Articolo 4(1) NIS 2)
L'Articolo 4 scorpora solo laddove l'atto settoriale specifico sia "almeno equivalente negli effetti" ai pertinenti obblighi della NIS 2. DORA è stato concepito specificamente per superare tale verifica. Il considerando 28 NIS 2 e lo stesso capo sull'ambito di DORA ne confermano la corrispondenza. Se un futuro atto settoriale risultasse carente, la verifica di equivalenza fallirebbe e gli obblighi NIS 2 tornerebbero ad applicarsi. Finora ciò non è accaduto per le banche.
La registrazione è informativa, non sostanziale
L'Articolo 27 NIS 2 si colloca al di fuori dello scorporo perché serve a uno scopo diverso. Gli obblighi sostanziali (Articoli 21 e 23) disciplinano il comportamento. L'obbligo di registrazione (Articolo 27) fornisce all'ENISA e alla Commissione un quadro completo a livello UE di chi rientra nel regime. Tale quadro deve includere anche i soggetti assoggettati a DORA, altrimenti la mappa di vigilanza presenta lacune. La Commissione mantiene tale visibilità intenzionalmente.
BaFin (autorità di vigilanza DORA)
La BaFin vigila sulla conformità a DORA per gli enti creditizi tedeschi. Gestione del rischio ICT, le segnalazioni di gravi incidenti ICT (Articolo 19 DORA), il programma di test di resilienza operativa digitale, il rischio derivante da terzi ICT inclusi i fornitori terzi critici di servizi ICT. È qui che risiede la vigilanza operativa per le banche.
BSI (registro §33 BSIG)
Il BSI mantiene il registro che attua l'Articolo 27 NIS 2 in Germania. Le banche vi si registrano anche se i loro obblighi sostanziali ricadono sotto DORA. Il BSI non duplica la vigilanza sulla sostanza. Mantiene l'iscrizione, scambia dati con la Commissione e l'ENISA e resta il punto di contatto per gli obblighi di cui all'Articolo 27.
BCE / SSM e Bundesbank
Per gli enti significativi nell'ambito del Meccanismo di vigilanza unico, la BCE assume la vigilanza principale (DORA è inserita in tale ciclo di vigilanza). Per gli enti meno significativi, guidano la BaFin e la Bundesbank. La Bundesbank gestisce la raccolta continua dei dati di vigilanza. Nessuno di questi livelli modifica il distinto ruolo del BSI di registro ai sensi dell'Articolo 27.
DORA sostituisce interamente la NIS 2. Non dobbiamo fare nulla ai sensi della NIS 2.
L'Articolo 4 NIS 2 scorpora solo gli obblighi sostanziali (Articolo 21 gestione del rischio, Articolo 23 notifica degli incidenti). L'Articolo 27 (registrazione) non figura in tale elenco. Il BSI si aspetta comunque la tua presenza nel registro di cui al §33 BSIG. La mancata registrazione configura una violazione della NIS 2 anche quando il tuo programma DORA è in perfetto ordine.
Siamo soggetti solo a DORA. Il BSI non ci regolamenta.
Il BSI non vigila sul tuo quadro di gestione del rischio. Lo fa la BaFin. Ma il BSI gestisce il registro di cui al §33 BSIG che attua l'Articolo 27 NIS 2, e tu vi sei iscritto. Le variazioni di indirizzo, le variazioni del punto di contatto, le riclassificazioni di settore vanno comunque comunicate al BSI entro la finestra di due settimane di cui all'Articolo 27(2).
Siamo una piccola banca, quindi siamo fuori dall'ambito della NIS 2.
Il settore bancario è uno dei settori in cui le soglie dimensionali della NIS 2 possono essere superate da disposizioni "a prescindere dalle dimensioni" e dall'ambito supplementare nazionale (Allegato II "Sonstige kritische Einrichtungen"). La logica dimensionale propria di DORA si applica autonomamente. Non presumere di essere fuori dall'ambito senza verificare in parallelo la verifica settoriale del CRR, le clausole "a prescindere dalle dimensioni" della NIS 2 e il capo sull'ambito di DORA.
Sostanza ai sensi di DORA, registrazione presso il BSI. Una tipica Sparkasse o Volksbank tedesca non costruisce un quadro NIS 2 parallelo ai sensi dell'Articolo 21. Il capo sulla gestione del rischio ICT di DORA copre lo stesso terreno alla stessa profondità. Il ciclo di segnalazione dei gravi incidenti ICT di cui all'Articolo 19 DORA copre lo stesso ciclo di incidenti significativi che l'Articolo 23 NIS 2 avrebbe richiesto, solo secondo le tempistiche e il modello di DORA.
Sul versante della registrazione, la banca presenta una sola volta la domanda al BSI ai sensi del §33 BSIG, aggiorna entro due settimane ai sensi dell'Articolo 27(2) quando cambiano i dati di contatto o la classificazione settoriale, e conserva un promemoria interno di una pagina che illustra lo scorporo dell'Articolo 4 NIS 2 affinché la prossima autorità di vigilanza o auditor non debba riaprirne la discussione. Quel promemoria costa un pomeriggio per essere redatto e fa risparmiare l'equivalente di due cicli di audit in conversazioni imbarazzanti.
La verifica di applicabilità distingue l'ambito sostanziale (obblighi degli Articoli 21 e 23) dall'ambito di sola registrazione (obbligo dell'Articolo 27). Una banca ottiene un risultato di sola registrazione con un rinvio a DORA. L'output è un promemoria pronto da incollare che il tuo project manager DORA e il tuo organo di direzione possono entrambi approvare.
Laddove i requisiti si sovrappongono, mappiamo l'obbligo rispetto all'equivalente DORA anziché chiederti di soddisfarlo due volte. Il flusso di lavoro del registro di cui al §33 BSIG resta sulla piattaforma, incluso il ciclo di aggiornamento di due settimane di cui all'Articolo 27(2). Il flusso di lavoro sostanziale di DORA resta in capo alla BaFin e ai tuoi strumenti esistenti di gestione del rischio ICT.
- Direttiva (UE) 2022/2555 (NIS 2), Allegato I settore 3, Articolo 4, Articolo 27 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento (UE) 2022/2554 (DORA), Articolo 1 ambito e Capi II + III — eur-lex.europa.eu/eli/reg/2022/2554/oj
- Regolamento (UE) n. 575/2013 (CRR), Articolo 4(1) — eur-lex.europa.eu/eli/reg/2013/575/oj
- Legge sul BSI (BSIG), §28 (lex specialis) e §33 (registro) come modificati dalla legge di attuazione della NIS2 e di rafforzamento della cibersicurezza
- Orientamenti della BaFin sull'attuazione di DORA per gli enti creditizi — bafin.de