NIS 2 a DORA: jak faktycznie działa wyłączenie sektora finansowego
Artykuł 4 NIS 2 przekazuje podmioty finansowe do DORA w zakresie zarządzania ryzykiem, zgłaszania incydentów i nadzoru. Artykuł 27 NIS 2 nie znajduje się na tej liście. Banki, instytucje płatnicze, kontrahenci centralni i dostawcy usług w zakresie kryptoaktywów nadal rejestrują się w BSI na podstawie §33 BSIG.
Dwóch regulatorów, jedno wyłączenie, jeden obowiązek, który pozostaje
Rozporządzenie (UE) 2022/2554 (DORA) weszło w zastosowanie 17 stycznia 2025 i obejmuje około dwudziestu kategorii podmiotów finansowych, od banków i zakładów ubezpieczeń po dostawców usług w zakresie kryptoaktywów i systemy obrotu. W odniesieniu do wszystkiego, co DORA już reguluje, artykuł 4 NIS 2 wypiera odpowiadające artykuły NIS 2. To reguła lex specialis i sytuuje się ona w centrum każdej rozmowy o tym, jak firmy finansowe odwzorowują się względem NIS 2.
Wyparcie jest wąskie. Artykuł 4 ust. 2 NIS 2 wymienia dokładnie, które artykuły NIS 2 ustępują, gdy akt sektorowy jest co najmniej równoważny pod względem skutku. Lista obejmuje artykuł 21 (środki zarządzania ryzykiem), artykuł 23 (zgłaszanie incydentów) i rozdział VII (nadzór i egzekwowanie). Artykuł 27 (rejestracja) nie znajduje się na liście. Nie znajdują się na niej także przepisy o zakresie w załączniku I, które w pierwszej kolejności umieszczają bankowość i infrastrukturę rynków finansowych w NIS 2.
Praktyczny rezultat dla niemieckiego banku, instytucji płatniczej licencjonowanej przez BaFin lub kontrahenta centralnego: treść pochodzi z DORA, nadzór w Niemczech spoczywa na BaFin i Bundesbank, lecz podmiot nadal rejestruje się w BSI poprzez portal §33 BSIG. Jeden regulator na rejestrze. Inny regulator we wszystkim, co liczy się w eksploatacji.
Dyrektywa NIS 2, artykuł 4 ust. 1 i 4 ust. 2
W przypadku gdy sektorowe akty prawne Unii wymagają od podmiotów kluczowych lub ważnych przyjęcia środków zarządzania ryzykiem w cyberbezpieczeństwie lub zgłaszania poważnych incydentów oraz gdy wymogi te są co najmniej równoważne pod względem skutku z obowiązkami ustanowionymi w niniejszej dyrektywie, odpowiednie przepisy niniejszej dyrektywy, w tym przepis dotyczący nadzoru i egzekwowania ustanowiony w rozdziale VII, nie mają zastosowania do takich podmiotów.
Spiętrzono dwa warunki: musi istnieć sektorowy akt unijny, a jego wymogi muszą być co najmniej równoważne pod względem skutku. Dopiero wtedy artykuły 21, 23 i rozdział VII ustępują. Artykuł 27 jest rzucająco się w oczy nieobecny na tej liście i dlatego nadal ma zastosowanie.
Rozporządzenie (UE) 2022/2554 (DORA)
Artykuły 5 do 17 (zarządzanie ryzykiem ICT), artykuły 17 do 23 (zgłaszanie incydentów związanych z ICT), artykuły 24 do 27 (testowanie operacyjnej odporności cyfrowej), artykuły 28 do 44 (zarządzanie ryzykiem ICT ze strony osób trzecich), artykuł 45 (ustalenia dotyczące wymiany informacji).
DORA jest rozporządzeniem, stosowanym bezpośrednio w każdym państwie członkowskim od 17 stycznia 2025. Dla podmiotów w jego zakresie to ten zbiór reguł wypełnia przestrzeń, którą w przeciwnym razie zajmowałyby artykuły 21 i 23 NIS 2. Materialnym kodeksem cyberbezpieczeństwa jest DORA, a nie wdrożenie NIS 2 w BSIG.
Artykuł 27 NIS 2 i §33 BSIG
Państwa członkowskie zapewniają, aby podmioty kluczowe i ważne przekazywały organom właściwym następujące informacje: nazwę podmiotu, adres i aktualne dane kontaktowe, właściwy sektor i podsektor w rozumieniu załącznika I lub II oraz wykaz państw członkowskich, w których podmiot świadczy usługi.
Artykuł 27 NIS 2 zobowiązuje do rejestracji u krajowego organu właściwego. W Niemczech §33 BSIG kieruje to do portalu rejestracyjnego BSI. Artykuł 4 nie narusza artykułu 27. DORA ma własny rejestr przy Europejskich Urzędach Nadzoru, lecz nie zastępuje on krajowego rejestru NIS 2. Podmioty finansowe funkcjonują zatem w obu.
DORA, a nie artykuł 21 NIS 2
Zarządzanie ryzykiem ICT, ryzyko ze strony osób trzecich, testowanie odporności i klasyfikacja incydentów podążają za artykułami 5 do 44 DORA. Środki z artykułu 21 NIS 2 (dziesięć kategorii na podstawie §30 BSIG w Niemczech) nie mają zastosowania do podmiotów w zakresie DORA. Tam, gdzie DORA milczy, NIS 2 również nie wypełnia luki: wyłączenie dotyczy tego, który akt rządzi, a nie nakładania obu warstw.
BSI na podstawie §33 BSIG, brak wyparcia
Artykuł 27 NIS 2 sytuuje się poza listą z artykułu 4. Krajowy rejestr przetrwał wyłączenie. Bank lub instytucja płatnicza licencjonowane przez BaFin rejestrują się w BSI poprzez portal §33, składają klasyfikację sektorową, dane kontaktowe i zakresy adresów IP oraz aktualizują w terminach obowiązujących każdy inny podmiot w zakresie. Brak rejestracji niesie własny tor karny.
BaFin i Bundesbank, a nie BSI
Rozdział VII NIS 2 (nadzór i egzekwowanie) jest wyparty dla podmiotów finansowych. Artykuł 46 DORA wyznacza istniejące organy nadzoru finansowego jako organy właściwe. W Niemczech oznacza to BaFin i Deutsche Bundesbank dla spraw bankowych i płatniczych, przy koordynacji Europejskich Urzędów Nadzoru (EBA, ESMA, EIOPA) na szczeblu unijnym. BSI nie jest operacyjnym organem nadzoru dla treści DORA.
Lex specialis jest wąski, a nie blankietowy
Artykuł 4 wypiera wyłącznie te artykuły NIS 2, które wymienia. Rejestracja na podstawie artykułu 27, zakres na podstawie załączników I i II oraz definicje sektorów nadal mają zastosowanie. Bank nie staje się podmiotem spoza NIS 2. Staje się podmiotem NIS 2 rządzonym przez DORA w częściach materialnych. To rozróżnienie ma znaczenie, gdy pojawiają się terminy rejestracji, reklasyfikacje sektorowe lub zgłoszenia usług transgranicznych.
Równoważny pod względem skutku, a nie identyczny w tekście
Artykuł 4 ust. 1 NIS 2 ustawia poprzeczkę na równoważności pod względem skutku. DORA nie musi odtwarzać artykułu 21 słowo w słowo. Musi pokryć ten sam obszar z tą samą głębią. Motyw 28 NIS 2 potwierdza, że DORA opracowano tak, by tę poprzeczkę pokonać. W praktyce Komisja Europejska traktuje DORA jako w pełni równoważny, lecz test sytuuje się w tekście i byłby zaczepieniem prawnym w każdym sporze o lukę.
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht)
Wiodący organ właściwy dla DORA w Niemczech na podstawie artykułu 46 DORA. Nadzoruje zarządzanie ryzykiem ICT, zgłaszanie incydentów i ustalenia dotyczące ryzyka ze strony osób trzecich dla banków, instytucji płatniczych, zakładów ubezpieczeń, firm inwestycyjnych i dostawców usług w zakresie kryptoaktywów. Istniejące okólniki BAIT, VAIT, KAIT i ZAIT są dostosowywane do artykułów 5 do 17 DORA.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Prowadzi portal rejestracyjny §33 BSIG. Przyjmuje rejestrację podmiotów finansowych, mimo że nie nadzoruje treści DORA. BSI działa również jako krajowy CSIRT na podstawie artykułu 10 NIS 2 i zapewnia dobrowolne wsparcie. Linia podziału: rejestracja i usługi CSIRT przy BSI, treść i nadzór przy BaFin i Bundesbank.
EBA, ESMA, EIOPA i EBC
Europejskie Urzędy Nadzoru wydały regulacyjne standardy techniczne DORA dotyczące zarządzania ryzykiem ICT, klasyfikacji incydentów, rejestrów ryzyka ze strony osób trzecich oraz nadzoru nad krytycznymi zewnętrznymi dostawcami ICT. EBC nadzoruje istotne instytucje kredytowe w ramach Jednolitego Mechanizmu Nadzorczego i stosuje DORA w ramach tego mandatu. Wyłączenie z artykułu 4 NIS 2 jest tym, co sprawia, że ta spiętrzona struktura nadzoru działa bez podwójnej regulacji.
Mit: DORA całkowicie zastępuje NIS 2 dla podmiotów finansowych.
DORA zastępuje artykuł 21, artykuł 23 i rozdział VII. Nie zastępuje artykułu 27 (rejestracja), przepisów o zakresie w załącznikach I i II ani mechanizmów współpracy w rozdziale IV. Rejestr z §33 BSIG pozostaje. Bank, który pomija rejestrację, mierzy się z odrębną karą za brak rejestracji, a nie z aktem egzekwowania wyłącznie na gruncie DORA.
Mit: DORA dotyczy wyłącznie banków, więc niebankowe podmioty finansowe podążają za NIS 2.
Artykuł 2 DORA wymienia około dwudziestu kategorii podmiotów. Zakłady ubezpieczeń i reasekuracji, instytucje płatnicze i instytucje pieniądza elektronicznego, kontrahenci centralni, centralne depozyty papierów wartościowych, systemy obrotu, dostawcy usług w zakresie kryptoaktywów, dostawcy usług dostępu do informacji o rachunku i inni mieszczą się w DORA. Jeżeli twój sektor jest w sektorze 3 lub 4 załącznika I do NIS 2 i także w artykule 2 DORA, wyłączenie ma zastosowanie.
Mit: dwa rejestry oznaczają składanie tych samych danych dwukrotnie.
Rejestr informacji DORA przy EUN obejmuje ustalenia dotyczące zewnętrznych dostawców ICT (artykuł 28 DORA). Portal §33 BSIG obejmuje identyfikację podmiotu i klasyfikację sektorową. Pola się nie pokrywają. Złożenie obu to po jednym obowiązku każde, a nie ten sam obowiązek dwukrotnie. Praktycy często to mylą, ponieważ oba wiążą się z wpisywaniem danych do portali rządowych.
Jeżeli funkcjonujesz w podmiocie licencjonowanym przez BaFin, traktuj DORA jako swój codzienny kodeks, a NIS 2 jako warstwę rejestrową. Program podnoszenia poziomu w zakresie treści żyje w artykułach 5 do 17 DORA (zarządzanie ryzykiem) i artykułach 28 do 44 (ryzyko ze strony osób trzecich). Rejestracja z §33 BSIG to jednorazowe zadanie administracyjne, odnawiane przy zmianie danych kontaktowych. Mylenie obu prowadzi do zmarnowanego wysiłku, często do zdublowanego odwzorowania artykułu 21, o które nikt nie prosił.
Jeżeli funkcjonujesz w grupie finansowej, która prowadzi również wewnętrzne usługi IT dla niefinansowych spółek zależnych, wyłączenie chroni wyłącznie podmiot finansowy. Niefinansowa spółka zależna, jeżeli jest w zakresie załącznika I lub II do NIS 2, jest zobowiązana do pełnego zestawu obowiązków, w tym środków z artykułu 21 i zgłaszania incydentów z artykułu 23. Programy ICT obejmujące całą grupę muszą być czytelne dla obu organów nadzoru. BaFin żąda dowodów DORA, BSI żąda dowodów z §30 BSIG przy podmiocie niefinansowym.
Platforma modeluje rejestrację z artykułu 27 NIS 2 jako pełnoprawny obowiązek niezależny od treści zarządzania ryzykiem. Podmiot finansowy korzystający z platformy widzi terminy rejestracji, przypomnienia o zmianie danych kontaktowych i status portalu §33 BSIG bez dziedziczenia jakiejkolwiek listy zadań z artykułu 21 NIS 2, której nie potrzebuje.
Materialna warstwa DORA jest poza zakresem platformy open source. Zalecany schemat to: śledź tutaj artykuł 27 NIS 2, prowadź program DORA w narzędziach dostosowanych do BaFin, których oczekują twoi organy nadzoru, i wykorzystaj status rejestru z platformy jako ścieżkę audytową dowodzącą, że obowiązek z §33 BSIG został spełniony.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 4 (lex specialis), artykuł 27 (obowiązek rejestracji), załącznik I sektor 3 (infrastruktura rynków finansowych) i sektor 4 (bankowość)
- Rozporządzenie (UE) 2022/2554 (DORA), artykuły 5 do 17 (zarządzanie ryzykiem ICT), artykuły 17 do 23 (zgłaszanie incydentów), artykuły 24 do 27 (testowanie odporności), artykuły 28 do 44 (ryzyko ICT ze strony osób trzecich), artykuł 45 (wymiana informacji), artykuł 46 (organy właściwe)
- BSIG (zmieniona ustawą NIS2UmsuCG), §33 (rejestracja), §65 (kary za brak rejestracji)
- Motyw 28 dyrektywy NIS 2 o relacji między NIS 2 a sektorowymi aktami unijnymi
- Wytyczne BaFin dotyczące stosowania DORA oraz dostosowania okólników BAIT, VAIT, KAIT, ZAIT (2025)
- Regulacyjne standardy techniczne EBA, ESMA i EIOPA na podstawie DORA (2024 i 2025)