Anhang I Sektor 4

Bankowość w NIS 2

Załącznik I sektor 4, oddziaływanie artykułu 4 z DORA oraz obowiązek rejestracji, który nie znika.

Simon OrzelSimon Orzel·

Przegląd

Instytucje kredytowe i części infrastruktury rynku finansowego mieszczą się w załączniku I sektor 4 dyrektywy (UE) 2022/2555 (NIS 2). Na papierze dyrektywa ma do nich zastosowanie. W praktyce większość obowiązków operacyjnych czyta się łącznie z aktem o cyfrowej odporności operacyjnej, rozporządzeniem (UE) 2022/2554 (DORA).

Artykuł 4 NIS 2 to klauzula pomostowa. Gdy sektorowy akt unijny nakłada obowiązki zarządzania ryzykiem ICT lub zgłaszania incydentów, które są co najmniej równoważne NIS 2, środki i zasady zgłaszania NIS 2 ustępują. Dla banków i określonego zbioru podmiotów finansowych tym aktem jest DORA. Artykuł 21 (środki bezpieczeństwa) i artykuł 23 (zgłaszanie incydentów) NIS 2 są wypierane przez odpowiedniki z DORA.

Jeden obowiązek z NIS 2 nie jest wypierany przez artykuł 4: obowiązek rejestracji z artykułu 27. Państwa członkowskie nadal zbierają wykaz podmiotów kluczowych i ważnych, w tym banków. W Niemczech jest to wpis z §33 BSIG w rejestrze BSI. Warstwa dyrektywy utrzymuje liczbę osób nienaruszoną, nawet tam, gdzie zabezpieczeniami zarządza DORA.

Zaczepienie prawne
Trzy teksty, które wyznaczają ramy bankowości w NIS 2.

Dyrektywa (UE) 2022/2555, załącznik I, sektor 4 Bankowość

Credit institutions as defined in point (1) of Article 4 of Regulation (EU) No 575/2013 of the European Parliament and of the Council.

Załącznik I sektor 4 obejmuje instytucje kredytowe w rozumieniu CRR. Następny wpis, załącznik I sektor 5, obejmuje infrastruktury rynku finansowego (systemy obrotu i kontrahentów centralnych). Razem tworzą one obwód bankowy i finansowy wewnątrz NIS 2.

Dyrektywa (UE) 2022/2555, artykuł 4(1)

Where sector specific Union legal acts require essential or important entities to adopt cybersecurity risk management measures or to notify significant incidents, and where those requirements are at least equivalent in effect to the obligations laid down in this Directive, the relevant provisions of this Directive, including the provision on supervision and enforcement laid down in Chapter VII, shall not apply to such entities.

To jest przełącznik lex specialis. Europejskie Urzędy Nadzoru i Komisja potwierdziły, że DORA rozporządzenie (UE) 2022/2554 spełnia test równoważności dla objętych zakresem podmiotów finansowych. Artykuły 21 i 23 NIS 2 ustępują dla tych podmiotów. Reszta dyrektywy pozostaje w mocy.

Dyrektywa (UE) 2022/2555, artykuł 27

Member States shall require essential and important entities to submit the following information to the competent authorities ... by 17 April 2025 at the latest, and thereafter without delay and in any event within two weeks from the date of the change.

Artykuł 27 to klauzula rejestracyjna. Nie jest wymieniona w wyłączeniu z artykułu 4. W Niemczech §33 BSIG operacjonalizuje to rejestrem BSI. Banki składają rejestrację, nawet gdy ich obowiązki w zakresie bezpieczeństwa i zgłaszania są regulowane przez DORA.

Trzy rzeczy do rozdzielenia
Zakres, nakładanie się z DORA oraz obowiązek rejestracji to różne pytania. Mają różne odpowiedzi.
Zakres

Jesteś w załączniku I

Jeśli twój podmiot jest instytucją kredytową na podstawie artykułu 4(1) rozporządzenia (UE) nr 575/2013, mieścisz się w załączniku I sektor 4. Progi wielkości z artykułu 2 NIS 2 nadal decydują, czy jesteś kluczowy, czy ważny. Mała Sparkasse lub mały bank spółdzielczy nie jest automatycznie poza zakresem, ponieważ podmioty finansowe uruchamiają sektorowe odstępstwa z artykułu 2(2).

Zabezpieczenia

DORA prowadzi zabezpieczenia i zgłaszanie

Środki bezpieczeństwa z artykułu 21 i zgłaszanie incydentów z artykułu 23 na podstawie NIS 2 są wypierane dla objętych zakresem podmiotów finansowych. Zarządzanie ryzykiem ICT, ryzyko ICT u osób trzecich, zgłaszanie poważnych incydentów i testowanie odporności podążają za rozporządzeniem (UE) 2022/2554 i jego aktami delegowanymi.

Rejestr

Rejestracja z artykułu 27 pozostaje

Rejestracja jako podmiot kluczowy lub ważny to obowiązek dyrektywy, który nie jest wypierany przez DORA. W Niemczech ma zastosowanie wpis z §33 BSIG w BSI. Aktualizacje w ciągu dwóch tygodni od jakiejkolwiek zmiany nadal podążają za zasadą dyrektywy.

Dwa punkty strukturalne
Dlaczego dyrektywa i rozporządzenie współistnieją, zamiast jedno anulować drugie.

Lex specialis jest wąski, a nie całkowity

Artykuł 4 NIS 2 wyłącza wyłącznie te części NIS 2, które mają odpowiednik w akcie sektorowym. Dla DORA jest to operacyjna warstwa bezpieczeństwa i zgłaszania incydentów. Przepisy poza tą kopertą, w tym rejestracja i architektura nadzoru dla podmiotów, które nie są wyparte, pozostają związane z NIS 2.

Rejestracja to obowiązek dyrektywy, a nie obowiązek DORA

DORA nie tworzy rejestru podmiotów kluczowych i ważnych w stylu NIS 2. Artykuł 27 NIS 2 tworzy. Dlatego banki pojawiają się w wykazie z §33 BSIG, mimo że ich zabezpieczenia ICT czyta się względem DORA. Oba reżimy są zszyte ze sobą na warstwie dyrektywy.

Zaangażowane organy
Różni nadzorcy dla różnych warstw. Żaden z nich nie zastępuje pozostałych.
Niemcy

BaFin

Federalny Urząd Nadzoru Finansowego jest niemieckim właściwym organem DORA dla banków, instytucji płatniczych i innych objętych zakresem podmiotów finansowych. BaFin prowadzi nadzór nad ryzykiem ICT i zgłoszeniami poważnych incydentów na podstawie rozporządzenia (UE) 2022/2554.

Niemcy

BSI

Federalny Urząd ds. Bezpieczeństwa Informacji prowadzi rejestr z §33 BSIG, który operacjonalizuje artykuł 27 NIS 2. Banki rejestrują się w BSI poprzez portal podmiotów. Codzienny nadzór nad cyberbezpieczeństwem banku nie przechodzi do BSI.

EU

EBC i SSM

Istotne instytucje kredytowe wewnątrz Jednolitego Mechanizmu Nadzorczego są nadzorowane bezpośrednio przez Europejski Bank Centralny. Dla tych podmiotów nadzór DORA spoczywa na EBC, a nie na krajowym właściwym organie, podczas gdy rejestracja z artykułu 27 NIS 2 pozostaje zgłoszeniem krajowym.

Częste błędne odczyty
Trzy stwierdzenia, które pojawiają się w rozmowach. Żadne z nich nie jest poprawne w świetle obecnego tekstu.

  • DORA zastępuje NIS 2 dla banków, więc NIS 2 nie ma zastosowania.

    Artykuł 4 NIS 2 wypiera wyłącznie te części NIS 2, które DORA pokrywa w równoważnej formie. Rejestracja z artykułu 27 u organu krajowego nie jest jedną z tych części. Podmiot nadal pojawia się jako podmiot kluczowy lub ważny w rejestrze krajowym.

  • Jesteśmy małym bankiem, jesteśmy poniżej progu wielkości i poza zakresem.

    Artykuł 2(2) NIS 2 zawiera sektorowe odstępstwa. Instytucje kredytowe w załączniku I sektor 4 mogą znaleźć się w zakresie niezależnie od wielkości, gdy państwa członkowskie lub logika sektorowa tego wymagają. Mała Sparkasse lub bank spółdzielczy nie jest automatycznie zwolniony.

  • Gdy wdrożymy DORA, skończyliśmy z NIS 2.

    DORA daje ci odpowiedniki artykułu 21 i artykułu 23. Nie daje ci rejestru z dyrektywy, pozostałości nadzoru z artykułu 32 dla podmiotów częściowo w zakresie ani międzysektorowych kanałów wymiany informacji o incydentach z rozdziału IV. Te pozostają związane z warstwą NIS 2.

Jak wygląda to w praktyce

Średniej wielkości bank w Niemczech zwykle prowadzi dwie ścieżki zgodności. Jedną na podstawie DORA, nadzorowaną przez BaFin lub przez EBC, jeśli bank jest istotny. Ta ścieżka obejmuje ryzyko ICT, rejestr osób trzecich, zgłaszanie poważnych incydentów i testowanie odporności. Druga na podstawie artykułu 27 NIS 2, nadzorowana przez BSI, to wpis do rejestru plus aktualizacje w ciągu dwóch tygodni od jakiejkolwiek zmiany.

Banki spółdzielcze, Sparkassen i mniejsze instytucje kredytowe mieszczą się w tej samej logice. Ścieżka DORA jest dla nich obowiązkowa jako podmiotów finansowych na podstawie rozporządzenia (UE) 2022/2554. Wpis z §33 BSIG stoi obok niej. Traktowanie którejkolwiek ze ścieżek jako opcjonalnej tworzy ekspozycję, która jest widoczna zarówno z rejestru publicznego, jak i z raportowania do BaFin.

Gdzie pasuje platforma

Platforma jest zbudowana wokół logiki zabezpieczeń z artykułu 21 i artykułu 23 NIS 2. Dla objętego zakresem podmiotu finansowego te artykuły są wyparte przez DORA, więc platforma nie jest systemem ewidencji dla zarządzania ryzykiem ICT na podstawie DORA. Nadal jest użyteczna jako towarzysz rejestru z artykułu 27, biblioteka polityk i dowodów oraz miejsce, w którym grupa bankowa dokumentuje warstwę NIS 2 dla dostawców i podmiotów grupy, które nie są podmiotami finansowymi na podstawie DORA.

Grupy o mieszanym obwodzie, na przykład bank plus niefinansowa spółka zależna świadcząca usługi IT w załączniku I sektor 8, często potrzebują obu reżimów zmapowanych obok siebie. Platforma jest przeznaczona dla strony NIS 2 tej mapy.

Źródła
  • Directive (EU) 2022/2555 (NIS 2), Annex I sector 4 and Article 4(1), EUR-Lex.
  • Directive (EU) 2022/2555 (NIS 2), Article 27 registration duty, EUR-Lex.
  • Regulation (EU) 2022/2554 (DORA), Articles 5 to 17 ICT risk management and Articles 17 to 23 incident reporting, EUR-Lex.
  • Regulation (EU) No 575/2013 (CRR), Article 4(1) definition of credit institution, EUR-Lex.
  • §33 BSIG, registration of essential and important entities with the BSI, gesetze-im-internet.de.
  • BaFin guidance on DORA supervision for German financial entities, bafin.de.
  • European Central Bank, SSM supervision of significant institutions, bankingsupervision.europa.eu.
Uruchom sprawdzenie zastosowania
Trzy minuty. Mówi ci, czy podmiot mieści się w załączniku I sektor 4, czy DORA prawdopodobnie ma zastosowanie i czy rejestracja z artykułu 27 jest otwarta.
Rozpocznij sprawdzenie zastosowania