Settore bancario ai sensi della NIS 2
L'allegato I settore 4, l'interazione dell'articolo 4 con DORA e l'obbligo di registrazione che non scompare.
Panoramica
Gli enti creditizi e parti dell'infrastruttura del mercato finanziario si collocano nell'allegato I settore 4 della direttiva (UE) 2022/2555 (NIS 2). Sulla carta la direttiva si applica a essi. In pratica la maggior parte degli obblighi operativi è letta congiuntamente al Digital Operational Resilience Act, il regolamento (UE) 2022/2554 (DORA).
L'articolo 4 NIS 2 è la clausola di raccordo. Ove un atto dell'Unione settoriale imponga obblighi di gestione del rischio ICT o di notifica degli incidenti almeno equivalenti alla NIS 2, le misure e le regole di notifica della NIS 2 cedono il passo. Per le banche e un insieme definito di entità finanziarie, DORA è quell'atto. L'articolo 21 (misure di sicurezza) e l'articolo 23 (notifica degli incidenti) della NIS 2 sono soppiantati dagli equivalenti di DORA.
Un obbligo ai sensi della NIS 2 non è soppiantato dall'articolo 4: l'obbligo di registrazione di cui all'articolo 27. Gli Stati membri continuano a raccogliere un elenco di entità essenziali e importanti, banche incluse. In Germania si tratta dell'iscrizione di cui al §33 BSIG nel registro del BSI. Il livello della direttiva mantiene intatto il computo anche dove DORA gestisce i controlli.
Direttiva (UE) 2022/2555, allegato I, settore 4 Settore bancario
Enti creditizi quali definiti all'articolo 4, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio.
L'allegato I settore 4 copre gli enti creditizi ai sensi del CRR. La voce successiva, allegato I settore 5, copre le infrastrutture del mercato finanziario (sedi di negoziazione e controparti centrali). Insieme formano il perimetro bancario e finanziario all'interno della NIS 2.
Direttiva (UE) 2022/2555, articolo 4(1)
Qualora atti giuridici settoriali dell'Unione impongano a soggetti essenziali o importanti di adottare misure di gestione dei rischi di cybersicurezza o di notificare incidenti significativi, e qualora tali requisiti siano almeno equivalenti negli effetti agli obblighi previsti dalla presente direttiva, le pertinenti disposizioni della presente direttiva, comprese le disposizioni in materia di vigilanza ed esecuzione di cui al capo VII, non si applicano a tali soggetti.
Questo è l'interruttore della lex specialis. Le autorità europee di vigilanza e la Commissione hanno confermato che il regolamento DORA (UE) 2022/2554 soddisfa il test di equivalenza per le entità finanziarie rientranti nell'ambito. Gli articoli 21 e 23 NIS 2 cedono il passo per tali entità. Il resto della direttiva resta in vigore.
Direttiva (UE) 2022/2555, articolo 27
Gli Stati membri impongono ai soggetti essenziali e importanti di trasmettere alle autorità competenti le seguenti informazioni ... entro il 17 aprile 2025, e successivamente senza indugio e comunque entro due settimane dalla data della modifica.
L'articolo 27 è la clausola di registrazione. Non è elencato nell'esclusione dell'articolo 4. In Germania il §33 BSIG lo attua con un registro del BSI. Le banche presentano la registrazione anche quando i loro obblighi di sicurezza e di notifica sono disciplinati da DORA.
Sei nell'allegato I
Se la tua entità è un ente creditizio ai sensi dell'articolo 4, punto 1), del regolamento (UE) n. 575/2013, ti collochi nell'allegato I settore 4. Le soglie dimensionali di cui all'articolo 2 NIS 2 decidono ancora se sei essenziale o importante. Una piccola Sparkasse o una piccola banca cooperativa non è automaticamente fuori ambito, perché le entità finanziarie attivano le deroghe settoriali di cui all'articolo 2(2).
DORA gestisce i controlli e la notifica
Le misure di sicurezza dell'articolo 21 e la notifica degli incidenti dell'articolo 23 ai sensi della NIS 2 sono soppiantate per le entità finanziarie rientranti nell'ambito. La gestione del rischio ICT, il rischio ICT di terzi, la notifica degli incidenti gravi e i test di resilienza seguono il regolamento (UE) 2022/2554 e i suoi atti delegati.
La registrazione dell'articolo 27 sopravvive
La registrazione come entità essenziale o importante è un obbligo della direttiva che non è soppiantato da DORA. In Germania si applica l'iscrizione di cui al §33 BSIG presso il BSI. Gli aggiornamenti entro due settimane da qualsiasi modifica seguono ancora la regola della direttiva.
La lex specialis è ristretta, non totale
L'articolo 4 NIS 2 disattiva solo le parti della NIS 2 che hanno un equivalente nell'atto settoriale. Per DORA si tratta del livello della sicurezza operativa e della notifica degli incidenti. Le disposizioni al di fuori di questo perimetro, inclusa la registrazione e l'architettura di vigilanza per le entità non soppiantate, restano collegate alla NIS 2.
La registrazione è un obbligo della direttiva, non un obbligo DORA
DORA non crea un registro in stile NIS 2 delle entità essenziali e importanti. Lo fa l'articolo 27 NIS 2. Per questo le banche compaiono nell'elenco del §33 BSIG anche se i loro controlli ICT sono letti rispetto a DORA. I due regimi sono cuciti insieme al livello della direttiva.
BaFin
L'Autorità federale di vigilanza finanziaria è l'autorità competente tedesca per DORA in relazione a banche, istituti di pagamento e altre entità finanziarie rientranti nell'ambito. La BaFin si occupa della vigilanza sul rischio ICT e delle notifiche di incidenti gravi ai sensi del regolamento (UE) 2022/2554.
BSI
L'Ufficio federale per la sicurezza informatica gestisce il registro di cui al §33 BSIG che attua l'articolo 27 NIS 2. Le banche si registrano presso il BSI attraverso il portale delle entità. La vigilanza quotidiana sulla cybersicurezza della banca non passa al BSI.
BCE e MVU
Gli enti creditizi significativi all'interno del Meccanismo di vigilanza unico sono vigilati direttamente dalla Banca centrale europea. Per tali entità la vigilanza DORA è in capo alla BCE anziché all'autorità nazionale competente, mentre la registrazione di cui all'articolo 27 NIS 2 resta una presentazione nazionale.
DORA sostituisce la NIS 2 per le banche, quindi la NIS 2 non si applica.
L'articolo 4 NIS 2 soppianta solo le parti della NIS 2 che DORA copre in forma equivalente. La registrazione ai sensi dell'articolo 27 presso l'autorità nazionale non è una di quelle parti. L'entità compare comunque come entità essenziale o importante nel registro nazionale.
Siamo una piccola banca, siamo sotto la soglia dimensionale e fuori ambito.
L'articolo 2(2) NIS 2 contiene deroghe settoriali. Gli enti creditizi nell'allegato I settore 4 possono rientrare nell'ambito a prescindere dalla dimensione ove gli Stati membri o la logica settoriale lo richiedano. Una piccola Sparkasse o banca cooperativa non è automaticamente esente.
Una volta attuato DORA abbiamo finito con la NIS 2.
DORA vi fornisce gli equivalenti dell'articolo 21 e dell'articolo 23. Non vi fornisce il registro della direttiva, il residuo di vigilanza dell'articolo 32 per le entità parzialmente nell'ambito, né i canali transettoriali di condivisione degli incidenti ai sensi del capo IV. Quelli restano collegati al livello della NIS 2.
Una banca di medie dimensioni in Germania ha di solito due binari di conformità in corso. Uno ai sensi di DORA, vigilato dalla BaFin o dalla BCE se la banca è significativa. Quel binario è titolare del rischio ICT, del registro dei terzi, della notifica degli incidenti gravi e dei test di resilienza. L'altro ai sensi dell'articolo 27 NIS 2, vigilato dal BSI, è un'iscrizione nel registro più gli aggiornamenti entro due settimane da qualsiasi modifica.
Le banche cooperative, le Sparkassen e gli enti creditizi più piccoli rientrano nella stessa logica. Il binario DORA è obbligatorio per essi in quanto entità finanziarie ai sensi del regolamento (UE) 2022/2554. L'iscrizione di cui al §33 BSIG vi si affianca. Trattare l'uno o l'altro binario come facoltativo crea un'esposizione visibile sia dal registro pubblico sia dalla rendicontazione alla BaFin.
La piattaforma è costruita attorno alla logica di controllo degli articoli 21 e 23 NIS 2. Per un'entità finanziaria rientrante nell'ambito quegli articoli sono soppiantati da DORA, quindi la piattaforma non è il sistema di riferimento per la gestione del rischio ICT di DORA. Resta comunque utile come compagno del registro dell'articolo 27, come libreria di politiche ed evidenze e come luogo in cui un gruppo bancario documenta il livello NIS 2 per i fornitori e le entità del gruppo che non sono entità finanziarie ai sensi di DORA.
I gruppi con un perimetro misto, ad esempio una banca più una controllata di servizi IT non finanziaria nell'allegato I settore 8, hanno spesso bisogno di mappare entrambi i regimi affiancati. La piattaforma è destinata al lato NIS 2 di quella mappa.
- Direttiva (UE) 2022/2555 (NIS 2), allegato I settore 4 e articolo 4(1), EUR-Lex.
- Direttiva (UE) 2022/2555 (NIS 2), articolo 27 obbligo di registrazione, EUR-Lex.
- Regolamento (UE) 2022/2554 (DORA), articoli da 5 a 17 gestione del rischio ICT e articoli da 17 a 23 notifica degli incidenti, EUR-Lex.
- Regolamento (UE) n. 575/2013 (CRR), articolo 4(1) definizione di ente creditizio, EUR-Lex.
- §33 BSIG, registrazione delle entità essenziali e importanti presso il BSI, gesetze-im-internet.de.
- Orientamenti della BaFin sulla vigilanza DORA per le entità finanziarie tedesche, bafin.de.
- Banca centrale europea, vigilanza MVU sugli enti significativi, bankingsupervision.europa.eu.