Sou um banco ao abrigo do NIS 2?
As instituições de crédito constam do setor 3 do Anexo I do NIS 2. O Artigo 4.º do NIS 2 remete depois os deveres materiais de cibersegurança e de notificação de incidentes para o DORA. O dever de registo nos termos do Artigo 27.º junto da sua autoridade nacional mantém-se de qualquer forma.
A versão curta
Os bancos estão no âmbito do NIS 2. O setor 3 do Anexo I lista as 'instituições de crédito' tal como definidas no Artigo 4.º, ponto (1), do Regulamento (UE) n.º 575/2013 (CRR). Se for um Kreditinstitut ao abrigo do CRR, está dentro do perímetro do NIS 2.
Mas o Artigo 4.º do NIS 2 é uma cláusula de lex specialis. Quando um ato específico do setor da UE estabelece deveres de cibersegurança e de reporte de incidentes pelo menos equivalentes, as obrigações materiais do NIS 2 dão lugar. O DORA (Regulamento (UE) 2022/2554) foi escrito exatamente para este fim. Por isso o Artigo 21.º (medidas de gestão de risco) e o Artigo 23.º (notificação de incidentes significativos) ao abrigo do NIS 2 não se aplicam às entidades financeiras sujeitas ao DORA. Aplicam-se em vez disso os capítulos equivalentes do DORA.
A exceção não é total. O Artigo 27.º do NIS 2 (registo junto da autoridade nacional para o conhecimento da situação ao nível da UE) continua a aplicar-se. O BSI mantém a sua entrada no registo do §33 BSIG. A Comissão e a ENISA mantêm a sua visão à escala da UE de quem está no âmbito, mesmo quando os deveres materiais vivem noutro regulamento.
NIS 2 Anexo I setor 3 + Artigo 4.º (Diretiva (UE) 2022/2555)
Instituições de crédito na aceção do Artigo 4.º, ponto (1), do Regulamento (UE) n.º 575/2013 do Parlamento Europeu e do Conselho. [Anexo I, Setor 3, Atividade bancária] / Sempre que atos jurídicos setoriais específicos da União exijam que as entidades essenciais ou importantes adotem medidas de gestão dos riscos de cibersegurança ou notifiquem incidentes significativos, e sempre que esses requisitos sejam pelo menos equivalentes, em termos de efeito, às obrigações estabelecidas na presente diretiva, as disposições pertinentes da presente diretiva, incluindo as disposições em matéria de supervisão e execução estabelecidas no Capítulo VII, não se aplicam a tais entidades. [Artigo 4.º(1)]
O Anexo I coloca os bancos no âmbito. O Artigo 4.º recorta depois a substância quando um ato específico do setor é pelo menos equivalente em efeito. O Artigo 4.º não recorta o registo. O Artigo 27.º do NIS 2 continua a vincular.
DORA (Regulamento (UE) 2022/2554)
O presente regulamento estabelece requisitos uniformes relativos à segurança das redes e dos sistemas de informação que suportam os processos de negócio das entidades financeiras... a fim de alcançar um elevado nível comum de resiliência operacional digital.
O DORA é o ato específico do setor que aciona o Artigo 4.º do NIS 2. É direito da UE diretamente aplicável. Cobre a gestão do risco de TIC, o reporte de incidentes relacionados com TIC, os testes de resiliência operacional digital, o risco de terceiros de TIC e a partilha de informação. Em conjunto, esses capítulos são considerados equivalentes em efeito aos Artigos 21.º e 23.º do NIS 2, pelo que esses artigos do NIS 2 dão lugar ao DORA para as entidades sujeitas ao DORA.
§28 BSIG + implementação nacional do DORA
O §28 BSIG operacionaliza a regra de lex specialis do Artigo 4.º do NIS 2 no direito alemão. A BaFin supervisiona a conformidade com o DORA das instituições de crédito alemãs. O BSI continua a manter o registo do §33 BSIG que implementa o Artigo 27.º do NIS 2.
Duas autoridades alemãs importam aqui. A BaFin detém a supervisão material (medidas de gestão de risco, reporte de incidentes ao abrigo do DORA). O BSI detém a entrada no registo do §33 ao abrigo do Artigo 27.º do NIS 2. Ambas são obrigações reais. Nenhuma substitui a outra.
É uma instituição de crédito segundo o Artigo 4.º(1) do CRR?
O setor bancário do NIS 2 usa a definição do CRR. Um Kreditinstitut aceita depósitos ou outros fundos reembolsáveis do público e concede crédito por conta própria. Se está licenciado pela BaFin / BCE como instituição de crédito, enquadra-se. As instituições de pagamento, as instituições de moeda eletrónica e as empresas de investimento têm os seus próprios testes de âmbito ao abrigo do setor 4 do NIS 2 (infraestrutura do mercado financeiro) ou do DORA.
Artigos 21.º + 23.º do NIS 2 substituídos pelo DORA
O Artigo 4.º do NIS 2 entrega os deveres materiais. O Capítulo II do DORA (gestão do risco de TIC) substitui o Artigo 21.º do NIS 2. O Capítulo III do DORA (reporte de incidentes relacionados com TIC) substitui o Artigo 23.º do NIS 2. As RTS e ITS do DORA definem o detalhe técnico contra o qual a BaFin supervisiona. Corre um único quadro de gestão de risco ao abrigo do DORA, não dois.
O registo do Artigo 27.º do NIS 2 continua a aplicar-se
O Artigo 27.º do NIS 2 obriga as entidades essenciais e importantes a fornecer à sua autoridade nacional um conjunto definido de dados (nome, endereço, setor, ponto de contacto, intervalos de IP quando aplicável). O DORA não substitui isto. O BSI gere o registo do §33 BSIG para a Alemanha. Os bancos registam-se aí a par de todos os outros no âmbito. Atualizações no prazo de duas semanas nos termos do Artigo 27.º(2).
O teste de equivalência (Artigo 4.º(1) do NIS 2)
O Artigo 4.º só recorta quando o ato específico do setor é 'pelo menos equivalente, em termos de efeito' às obrigações pertinentes do NIS 2. O DORA foi especificamente concebido para passar nesse teste. O Considerando 28 do NIS 2 e o próprio capítulo de âmbito do DORA confirmam o encaixe. Se um futuro ato setorial ficasse aquém, o teste de equivalência falharia e os deveres do NIS 2 voltariam a aplicar-se. Até agora isso não aconteceu para os bancos.
O registo é informativo, não material
O Artigo 27.º do NIS 2 fica fora da exceção porque serve um fim diferente. Os deveres materiais (Artigos 21.º e 23.º) regulam o comportamento. O dever de registo (Artigo 27.º) dá à ENISA e à Comissão um quadro completo à escala da UE de quem cai sob o regime. Esse quadro tem de incluir também as entidades sujeitas ao DORA, caso contrário o mapa de supervisão tem buracos. A Comissão mantém essa visibilidade de propósito.
BaFin (supervisor do DORA)
A BaFin supervisiona a conformidade com o DORA das instituições de crédito alemãs. Gestão do risco de TIC, os reportes de incidentes graves de TIC (Artigo 19.º do DORA), o programa de testes de resiliência operacional digital, o risco de terceiros de TIC incluindo os prestadores terceiros críticos de TIC. É aqui que assenta a supervisão operacional dos bancos.
BSI (registo do §33 BSIG)
O BSI mantém o registo que implementa o Artigo 27.º do NIS 2 na Alemanha. Os bancos registam-se aí mesmo que os seus deveres materiais sejam ao abrigo do DORA. O BSI não duplica a supervisão da substância. Mantém a entrada, troca dados com a Comissão e a ENISA e permanece o ponto de contacto para as obrigações do Artigo 27.º.
BCE / MUS e Bundesbank
Para as instituições significativas ao abrigo do Mecanismo Único de Supervisão, o BCE assume a supervisão principal (o DORA é integrado nesse ciclo de supervisão). Para as instituições menos significativas, a BaFin e o Bundesbank lideram. O Bundesbank trata da recolha contínua de dados de supervisão. Nenhuma destas camadas altera o papel separado do BSI no registo do Artigo 27.º.
O DORA substitui o NIS 2 por completo. Não temos de fazer nada ao abrigo do NIS 2.
O Artigo 4.º do NIS 2 só recorta as obrigações materiais (Artigo 21.º gestão de risco, Artigo 23.º notificação de incidentes). O Artigo 27.º (registo) não consta dessa lista. O BSI continua a esperá-lo no registo do §33 BSIG. Falhar o registo cria uma infração ao NIS 2 mesmo quando o seu programa DORA está impecável.
Somos só DORA. O BSI não nos regula.
O BSI não supervisiona o seu quadro de gestão de risco. A BaFin fá-lo. Mas o BSI gere o registo do §33 BSIG que implementa o Artigo 27.º do NIS 2, e o senhor está nele. As alterações de endereço, as alterações de ponto de contacto e as reclassificações de setor continuam a ir para o BSI dentro da janela de duas semanas do Artigo 27.º(2).
Somos um banco pequeno, por isso estamos fora do âmbito do NIS 2.
A atividade bancária é um dos setores em que os limiares de dimensão do NIS 2 podem ser ultrapassados por disposições de 'independentemente da dimensão' e por âmbito nacional suplementar (Anexo II 'Sonstige kritische Einrichtungen'). A própria lógica de dimensão do DORA aplica-se de forma independente. Não presuma estar fora do âmbito sem verificar o teste de setor do CRR, as derrogações de 'independentemente da dimensão' do NIS 2 e o capítulo de âmbito do DORA em paralelo.
Substância ao abrigo do DORA, registo junto do BSI. Uma típica Sparkasse ou Volksbank alemã não monta um quadro paralelo do Artigo 21.º do NIS 2. O capítulo de gestão do risco de TIC ao abrigo do DORA cobre o mesmo terreno à mesma profundidade. O ciclo de reporte de incidentes graves de TIC ao abrigo do Artigo 19.º do DORA cobre o mesmo circuito de incidentes significativos que o Artigo 23.º do NIS 2 teria pedido, só que no prazo e no modelo do DORA.
Do lado do registo, o banco apresenta-se uma vez junto do BSI nos termos do §33 BSIG, atualiza no prazo de duas semanas nos termos do Artigo 27.º(2) quando os dados de contacto ou a classificação de setor mudam, e mantém um memorando interno de uma página a explicar a exceção do Artigo 4.º do NIS 2 para que o próximo supervisor ou auditor não tenha de a discutir de novo. Esse memorando custa uma tarde a escrever e poupa o equivalente a dois ciclos de auditoria em conversas embaraçosas.
A verificação de aplicabilidade distingue o âmbito material (deveres dos Artigos 21.º e 23.º) do âmbito apenas de registo (dever do Artigo 27.º). Um banco obtém um resultado apenas de registo com um apontador para o DORA. O resultado é um memorando pronto a colar que o seu gestor de projeto DORA e o seu órgão de gestão podem ambos aprovar.
Onde os requisitos se sobrepõem, mapeamos a obrigação contra o equivalente no DORA em vez de lhe pedirmos que a satisfaça duas vezes. O fluxo de trabalho do registo do §33 BSIG fica na plataforma, incluindo o ciclo de atualização de duas semanas nos termos do Artigo 27.º(2). O fluxo de trabalho material do DORA fica com a BaFin e com as suas ferramentas existentes de gestão do risco de TIC.
- Diretiva (UE) 2022/2555 (NIS 2), Anexo I setor 3, Artigo 4.º, Artigo 27.º, eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento (UE) 2022/2554 (DORA), Artigo 1.º âmbito e Capítulos II + III, eur-lex.europa.eu/eli/reg/2022/2554/oj
- Regulamento (UE) n.º 575/2013 (CRR), Artigo 4.º(1), eur-lex.europa.eu/eli/reg/2013/575/oj
- Lei BSI (BSIG), §28 (lex specialis) e §33 (registo) na redação dada pela Lei de Implementação do NIS2 e de Reforço da Cibersegurança
- Orientações da BaFin sobre a implementação do DORA para instituições de crédito, bafin.de