Czy jestem bankiem na gruncie NIS 2?
Instytucje kredytowe są wymienione w sektorze 3 Załącznika I NIS 2. Artykuł 4 NIS 2 odsyła następnie materialne obowiązki w zakresie cyberbezpieczeństwa i zgłaszania incydentów do DORA. Obowiązek rejestracji z artykułu 27 u twojego organu krajowego pozostaje w mocy tak czy inaczej.
Wersja skrócona
Banki są w zakresie NIS 2. Sektor 3 Załącznika I wymienia „instytucje kredytowe” w rozumieniu artykułu 4(1) rozporządzenia (UE) nr 575/2013 (CRR). Jeśli jesteś Kreditinstitut na gruncie CRR, jesteś wewnątrz obwodu NIS 2.
Ale artykuł 4 NIS 2 jest klauzulą lex specialis. Tam gdzie sektorowy akt prawny UE ustanawia co najmniej równoważne obowiązki w zakresie cyberbezpieczeństwa i zgłaszania incydentów, materialne obowiązki NIS 2 ustępują. DORA (rozporządzenie (UE) 2022/2554) została napisana dokładnie w tym celu. Zatem artykuł 21 (środki zarządzania ryzykiem) i artykuł 23 (zgłaszanie poważnych incydentów) na gruncie NIS 2 nie mają zastosowania do podmiotów finansowych podlegających DORA. Zamiast tego stosuje się równoważne rozdziały DORA.
Wyłączenie nie jest całkowite. Artykuł 27 NIS 2 (rejestracja u organu krajowego na potrzeby orientacji sytuacyjnej na poziomie UE) nadal obowiązuje. BSI utrzymuje twój wpis w rejestrze na podstawie §33 BSIG. Komisja i ENISA zachowują ogólnounijny obraz tego, kto jest w zakresie, nawet gdy materialne obowiązki tkwią w innym rozporządzeniu.
NIS 2 Załącznik I sektor 3 + artykuł 4 (dyrektywa (UE) 2022/2555)
Instytucje kredytowe w rozumieniu artykułu 4 pkt (1) rozporządzenia (UE) nr 575/2013 Parlamentu Europejskiego i Rady. [Załącznik I, sektor 3, bankowość] / Jeżeli sektorowe akty prawne Unii nakładają na podmioty kluczowe lub ważne obowiązek przyjęcia środków zarządzania ryzykiem w cyberbezpieczeństwie lub zgłaszania poważnych incydentów, oraz jeżeli wymogi te są co najmniej równoważne w skutkach z obowiązkami ustanowionymi w niniejszej dyrektywie, odpowiednie przepisy niniejszej dyrektywy, w tym przepisy dotyczące nadzoru i egzekwowania ustanowione w rozdziale VII, nie mają zastosowania do takich podmiotów. [artykuł 4(1)]
Załącznik I obejmuje banki zakresem. Artykuł 4 wyłącza następnie treść, gdy akt sektorowy jest co najmniej równoważny w skutkach. Artykuł 4 nie wyłącza rejestracji. Artykuł 27 NIS 2 nadal wiąże.
DORA (rozporządzenie (UE) 2022/2554)
Niniejsze rozporządzenie ustanawia jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych... w celu osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej.
DORA jest aktem sektorowym, który uruchamia artykuł 4 NIS 2. Jest bezpośrednio stosowanym prawem UE. Obejmuje zarządzanie ryzykiem ICT, zgłaszanie incydentów związanych z ICT, testowanie operacyjnej odporności cyfrowej, ryzyko stron trzecich w zakresie ICT i wymianę informacji. Razem te rozdziały uznaje się za równoważne w skutkach z artykułami 21 i 23 NIS 2, więc te artykuły NIS 2 ustępują dla podmiotów podlegających DORA.
§28 BSIG + krajowe wdrożenie DORA
§28 BSIG operacjonalizuje zasadę lex specialis z artykułu 4 NIS 2 w prawie niemieckim. BaFin nadzoruje zgodność z DORA w przypadku niemieckich instytucji kredytowych. BSI nadal prowadzi rejestr na podstawie §33 BSIG, który wdraża artykuł 27 NIS 2.
Liczą się tu dwa niemieckie organy. BaFin sprawuje nadzór materialny (środki zarządzania ryzykiem, zgłaszanie incydentów na gruncie DORA). BSI prowadzi wpis w rejestrze §33 na podstawie artykułu 27 NIS 2. Oba są realnymi obowiązkami. Żaden nie zastępuje drugiego.
Czy jesteś instytucją kredytową zgodnie z artykułem 4(1) CRR?
Sektor bankowy NIS 2 stosuje definicję z CRR. Kreditinstitut przyjmuje depozyty lub inne zwrotne środki od ogółu oraz udziela kredytów na własny rachunek. Jeśli posiadasz licencję BaFin / EBC jako instytucja kredytowa, pasujesz. Instytucje płatnicze, instytucje pieniądza elektronicznego i firmy inwestycyjne mają własne testy zakresu na gruncie sektora 4 NIS 2 (infrastruktura rynku finansowego) lub DORA.
Artykuły 21 + 23 NIS 2 zastąpione przez DORA
Artykuł 4 NIS 2 przekazuje materialne obowiązki. Rozdział II DORA (zarządzanie ryzykiem ICT) zastępuje artykuł 21 NIS 2. Rozdział III DORA (zgłaszanie incydentów związanych z ICT) zastępuje artykuł 23 NIS 2. RTS i ITS do DORA definiują szczegóły techniczne, względem których BaFin sprawuje nadzór. Prowadzisz jedne ramy zarządzania ryzykiem na gruncie DORA, a nie dwa.
Rejestracja z artykułu 27 NIS 2 nadal obowiązuje
Artykuł 27 NIS 2 zobowiązuje podmioty kluczowe i ważne do przekazania swojemu organowi krajowemu określonego zestawu danych (nazwa, adres, sektor, punkt kontaktowy, zakresy IP, w stosownych przypadkach). DORA tego nie zastępuje. BSI prowadzi rejestr na podstawie §33 BSIG dla Niemiec. Banki rejestrują się tam obok wszystkich innych w zakresie. Aktualizacje w ciągu dwóch tygodni na podstawie artykułu 27(2).
Test równoważności (artykuł 4(1) NIS 2)
Artykuł 4 wyłącza tylko tam, gdzie akt sektorowy jest „co najmniej równoważny w skutkach” z odpowiednimi obowiązkami NIS 2. DORA została specjalnie zaprojektowana, by spełnić ten test. Motyw 28 NIS 2 i własny rozdział o zakresie DORA potwierdzają to dopasowanie. Gdyby przyszły akt sektorowy okazał się niewystarczający, test równoważności by zawiódł i obowiązki NIS 2 powróciłyby. Jak dotąd nie zdarzyło się to dla banków.
Rejestracja jest informacyjna, nie materialna
Artykuł 27 NIS 2 znajduje się poza wyłączeniem, ponieważ służy innemu celowi. Materialne obowiązki (artykuły 21 i 23) regulują zachowanie. Obowiązek rejestracji (artykuł 27) daje ENISA i Komisji kompletny ogólnounijny obraz tego, kto podlega reżimowi. Ten obraz musi obejmować także podmioty podlegające DORA, w przeciwnym razie mapa nadzorcza ma dziury. Komisja celowo utrzymuje tę widoczność.
BaFin (nadzór DORA)
BaFin nadzoruje zgodność z DORA w przypadku niemieckich instytucji kredytowych. Zarządzanie ryzykiem ICT, zgłoszenia poważnych incydentów ICT (artykuł 19 DORA), program testowania operacyjnej odporności cyfrowej, ryzyko stron trzecich w zakresie ICT, w tym kluczowi zewnętrzni dostawcy ICT. To tutaj leży nadzór operacyjny nad bankami.
BSI (rejestr §33 BSIG)
BSI prowadzi rejestr wdrażający artykuł 27 NIS 2 w Niemczech. Banki rejestrują się tam, mimo że ich materialne obowiązki są na gruncie DORA. BSI nie sprawuje podwójnego nadzoru nad treścią. Utrzymuje wpis, wymienia dane z Komisją i ENISA oraz pozostaje punktem kontaktowym dla obowiązków z artykułu 27.
EBC / SSM i Bundesbank
Dla instytucji istotnych w ramach Jednolitego Mechanizmu Nadzorczego EBC sprawuje wiodący nadzór (DORA jest wprowadzona do tego cyklu nadzorczego). Dla instytucji mniej istotnych prowadzą BaFin i Bundesbank. Bundesbank zajmuje się bieżącym gromadzeniem danych nadzorczych. Żadna z tych warstw nie zmienia odrębnej roli BSI związanej z rejestrem z artykułu 27.
DORA zastępuje NIS 2 w całości. Nie musimy nic robić na gruncie NIS 2.
Artykuł 4 NIS 2 wyłącza tylko materialne obowiązki (artykuł 21 zarządzanie ryzykiem, artykuł 23 zgłaszanie incydentów). Artykuł 27 (rejestracja) nie jest na tej liście. BSI nadal oczekuje cię w rejestrze §33 BSIG. Brak rejestracji tworzy naruszenie NIS 2, nawet gdy twój program DORA jest w idealnej formie.
Jesteśmy tylko DORA. BSI nas nie reguluje.
BSI nie nadzoruje twoich ram zarządzania ryzykiem. Robi to BaFin. Ale BSI prowadzi rejestr §33 BSIG, który wdraża artykuł 27 NIS 2, i jesteś w nim. Zmiany adresu, zmiany punktu kontaktowego, zmiany klasyfikacji sektorowej nadal trafiają do BSI w oknie dwóch tygodni z artykułu 27(2).
Jesteśmy małym bankiem, więc jesteśmy poza zakresem NIS 2.
Bankowość jest jednym z sektorów, w których progi wielkości NIS 2 mogą zostać przełamane przez przepisy „niezależnie od wielkości” oraz przez krajowy uzupełniający zakres (Załącznik II „Sonstige kritische Einrichtungen”). Własna logika wielkości DORA stosuje się niezależnie. Nie zakładaj braku zakresu bez równoczesnego sprawdzenia testu sektorowego CRR, przesłanek „niezależnie od wielkości” NIS 2 i rozdziału o zakresie DORA.
Treść na gruncie DORA, rejestracja u BSI. Typowy niemiecki Sparkasse czy Volksbank nie tworzy równoległych ram artykułu 21 NIS 2. Rozdział o zarządzaniu ryzykiem ICT na gruncie DORA pokrywa ten sam grunt na tej samej głębokości. Cykl zgłaszania poważnych incydentów ICT na gruncie artykułu 19 DORA pokrywa tę samą pętlę poważnych incydentów, o którą poprosiłby artykuł 23 NIS 2, tylko w harmonogramie i szablonie DORA.
Po stronie rejestracji bank składa zgłoszenie raz w BSI na podstawie §33 BSIG, aktualizuje w ciągu dwóch tygodni na podstawie artykułu 27(2), gdy zmieniają się dane kontaktowe lub klasyfikacja sektorowa, i trzyma jednostronicową notatkę wewnętrzną wyjaśniającą wyłączenie z artykułu 4 NIS 2, aby kolejny organ nadzorczy lub audytor nie musiał tego od nowa rozstrzygać. Ta notatka kosztuje popołudnie na napisanie i oszczędza równowartość dwóch cykli audytowych w niezręcznych rozmowach.
Sprawdzenie stosowalności odróżnia zakres materialny (obowiązki z artykułu 21 i 23) od zakresu obejmującego wyłącznie rejestrację (obowiązek z artykułu 27). Bank otrzymuje wynik obejmujący wyłącznie rejestrację ze wskazaniem na DORA. Wynikiem jest gotowa do wklejenia notatka, którą mogą zatwierdzić zarówno twój kierownik projektu DORA, jak i twój organ zarządzający.
Tam gdzie wymagania się pokrywają, mapujemy obowiązek względem odpowiednika DORA, zamiast prosić cię o spełnienie go dwukrotnie. Przepływ pracy rejestru §33 BSIG pozostaje na platformie, w tym dwutygodniowy cykl aktualizacji z artykułu 27(2). Materialny strumień prac DORA pozostaje przy BaFin i twoich istniejących narzędziach zarządzania ryzykiem ICT.
- Dyrektywa (UE) 2022/2555 (NIS 2), Załącznik I sektor 3, artykuł 4, artykuł 27 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Rozporządzenie (UE) 2022/2554 (DORA), artykuł 1 zakres i rozdziały II + III — eur-lex.europa.eu/eli/reg/2022/2554/oj
- Rozporządzenie (UE) nr 575/2013 (CRR), artykuł 4(1) — eur-lex.europa.eu/eli/reg/2013/575/oj
- Ustawa BSI (BSIG), §28 (lex specialis) i §33 (rejestr) w brzmieniu nadanym ustawą o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- Wytyczne BaFin dotyczące wdrożenia DORA dla instytucji kredytowych — bafin.de