Banca na NIS 2
O setor 4 do anexo I, a interação do artigo 4.º com o DORA e o dever de registo que não desaparece.
Visão geral
As instituições de crédito e partes da infraestrutura do mercado financeiro situam-se no setor 4 do anexo I da Diretiva (UE) 2022/2555 (NIS 2). No papel, a diretiva aplica-se-lhes. Na prática, a maioria das obrigações operacionais é lida em conjunto com o Regulamento relativo à Resiliência Operacional Digital, o Regulamento (UE) 2022/2554 (DORA).
O artigo 4.º da NIS 2 é a cláusula de ponte. Sempre que um ato setorial específico da União imponha obrigações de gestão do risco TIC ou de comunicação de incidentes pelo menos equivalentes às da NIS 2, as medidas e regras de comunicação da NIS 2 cedem. Para os bancos e um conjunto definido de entidades financeiras, o DORA é esse ato. O artigo 21.º (medidas de segurança) e o artigo 23.º (comunicação de incidentes) da NIS 2 são afastados pelos equivalentes do DORA.
Um dever ao abrigo da NIS 2 não é afastado pelo artigo 4.º: o dever de registo do artigo 27.º. Os Estados-Membros continuam a recolher uma lista de entidades essenciais e importantes, incluindo bancos. Na Alemanha, este é o registo no §33 BSIG no registo do BSI. A camada da diretiva mantém o efetivo intacto mesmo onde o DORA conduz os controlos.
Diretiva (UE) 2022/2555, anexo I, setor 4 Banca
Instituições de crédito na aceção do artigo 4.º, ponto 1, do Regulamento (UE) n.º 575/2013 do Parlamento Europeu e do Conselho.
O setor 4 do anexo I abrange as instituições de crédito no sentido do CRR. A entrada seguinte, setor 5 do anexo I, abrange as infraestruturas do mercado financeiro (plataformas de negociação e contrapartes centrais). Em conjunto, formam o perímetro bancário e financeiro dentro da NIS 2.
Diretiva (UE) 2022/2555, artigo 4.º, n.º 1
Sempre que atos jurídicos setoriais específicos da União exijam que as entidades essenciais ou importantes adotem medidas de gestão dos riscos de cibersegurança ou notifiquem incidentes significativos, e sempre que esses requisitos sejam pelo menos equivalentes em efeito às obrigações estabelecidas na presente diretiva, as disposições relevantes da presente diretiva, incluindo as disposições relativas à supervisão e à execução estabelecidas no capítulo VII, não são aplicáveis a essas entidades.
Este é o interruptor da lex specialis. As Autoridades Europeias de Supervisão e a Comissão confirmaram que o Regulamento (UE) 2022/2554 (DORA) cumpre o teste de equivalência para as entidades financeiras abrangidas. Os artigos 21.º e 23.º da NIS 2 cedem o lugar a essas entidades. O resto da diretiva mantém-se em vigor.
Diretiva (UE) 2022/2555, artigo 27.º
Os Estados-Membros exigem que as entidades essenciais e importantes apresentem as seguintes informações às autoridades competentes ... até 17 de abril de 2025, o mais tardar, e posteriormente sem demora e, em qualquer caso, no prazo de duas semanas a contar da data da alteração.
O artigo 27.º é a cláusula de registo. Não consta da exclusão do artigo 4.º. Na Alemanha, o §33 BSIG operacionaliza-o com um registo do BSI. Os bancos apresentam o registo mesmo quando as suas obrigações de segurança e comunicação são regidas pelo DORA.
Está no anexo I
Se a sua entidade é uma instituição de crédito ao abrigo do artigo 4.º, n.º 1, do Regulamento (UE) n.º 575/2013, situa-se no setor 4 do anexo I. Os limiares de dimensão do artigo 2.º da NIS 2 continuam a decidir se é essencial ou importante. Uma pequena Sparkasse ou um pequeno banco cooperativo não está automaticamente fora de âmbito, porque as entidades financeiras acionam as derrogações setoriais específicas do artigo 2.º, n.º 2.
O DORA conduz os controlos e a comunicação
As medidas de segurança do artigo 21.º e a comunicação de incidentes do artigo 23.º ao abrigo da NIS 2 são afastadas para as entidades financeiras abrangidas. A gestão do risco TIC, o risco TIC de terceiros, a comunicação de incidentes graves e os testes de resiliência seguem o Regulamento (UE) 2022/2554 e os seus atos delegados.
O registo do artigo 27.º sobrevive
O registo como entidade essencial ou importante é um dever da diretiva que não é afastado pelo DORA. Na Alemanha, aplica-se o registo no §33 BSIG junto do BSI. As atualizações no prazo de duas semanas após qualquer alteração continuam a seguir a regra da diretiva.
A lex specialis é estreita, não total
O artigo 4.º da NIS 2 só desliga as partes da NIS 2 que têm um equivalente no ato setorial específico. Para o DORA, isso é a camada de segurança operacional e de comunicação de incidentes. As disposições fora desse envelope, incluindo o registo e a arquitetura de supervisão para entidades que não são afastadas, permanecem ligadas à NIS 2.
O registo é um dever da diretiva, não um dever do DORA
O DORA não cria um registo de entidades essenciais e importantes ao estilo da NIS 2. O artigo 27.º da NIS 2 cria. É por isso que os bancos constam da lista do §33 BSIG, mesmo que os seus controlos TIC sejam lidos face ao DORA. Os dois regimes são costurados em conjunto na camada da diretiva.
BaFin
A Autoridade Federal de Supervisão Financeira é a autoridade competente alemã para o DORA no que respeita a bancos, instituições de pagamento e outras entidades financeiras abrangidas. A BaFin trata da supervisão do risco TIC e dos relatórios de incidentes graves ao abrigo do Regulamento (UE) 2022/2554.
BSI
O Serviço Federal para a Segurança da Informação gere o registo do §33 BSIG que operacionaliza o artigo 27.º da NIS 2. Os bancos registam-se no BSI através do portal de entidades. A supervisão de cibersegurança do dia a dia do banco não passa para o BSI.
BCE e o MUS
As instituições de crédito significativas dentro do Mecanismo Único de Supervisão são supervisionadas diretamente pelo Banco Central Europeu. Para essas entidades, a supervisão do DORA cabe ao BCE em vez de à autoridade nacional competente, ao passo que o registo do artigo 27.º da NIS 2 continua a ser uma apresentação nacional.
O DORA substitui a NIS 2 para os bancos, por isso a NIS 2 não se aplica.
O artigo 4.º da NIS 2 só afasta as partes da NIS 2 que o DORA cobre de forma equivalente. O registo do artigo 27.º junto da autoridade nacional não é uma dessas partes. A entidade continua a constar como entidade essencial ou importante no registo nacional.
Somos um banco pequeno, estamos abaixo do limiar de dimensão e fora de âmbito.
O artigo 2.º, n.º 2, da NIS 2 contém derrogações setoriais específicas. As instituições de crédito do setor 4 do anexo I podem ficar dentro de âmbito independentemente da dimensão, quando os Estados-Membros ou a lógica setorial o exijam. Uma pequena Sparkasse ou banco cooperativo não está automaticamente isento.
Uma vez implementado o DORA, terminámos com a NIS 2.
O DORA dá-lhe os equivalentes do artigo 21.º e do artigo 23.º. Não lhe dá o registo da diretiva, o resíduo de supervisão do artigo 32.º para entidades parcialmente abrangidas, nem os canais de partilha de incidentes intersetoriais ao abrigo do capítulo IV. Esses permanecem ligados à camada da NIS 2.
Um banco de média dimensão na Alemanha tem habitualmente duas vias de conformidade a correr. Uma ao abrigo do DORA, supervisionada pela BaFin ou pelo BCE se o banco for significativo. Essa via é dona do risco TIC, do registo de terceiros, da comunicação de incidentes graves e dos testes de resiliência. A outra ao abrigo do artigo 27.º da NIS 2, supervisionada pelo BSI, é uma entrada no registo mais atualizações no prazo de duas semanas após qualquer alteração.
Os bancos cooperativos, as Sparkassen e as instituições de crédito mais pequenas situam-se na mesma lógica. A via DORA é obrigatória para eles enquanto entidades financeiras ao abrigo do Regulamento (UE) 2022/2554. O registo do §33 BSIG fica ao lado dela. Tratar qualquer das vias como facultativa cria uma exposição visível a partir do registo público e da comunicação à BaFin.
A plataforma é construída em torno da lógica de controlos do artigo 21.º e do artigo 23.º da NIS 2. Para uma entidade financeira abrangida, esses artigos são afastados pelo DORA, pelo que a plataforma não é o sistema de registo da gestão do risco TIC do DORA. Continua a ser útil como companhia do registo do artigo 27.º, biblioteca de políticas e provas, e o local onde um grupo bancário documenta a camada da NIS 2 para entidades fornecedoras e do grupo que não são entidades financeiras ao abrigo do DORA.
Os grupos com um perímetro misto, por exemplo um banco mais uma filial não financeira de serviços de TI no setor 8 do anexo I, precisam frequentemente de ambos os regimes mapeados lado a lado. A plataforma destina-se ao lado NIS 2 desse mapa.
- Diretiva (UE) 2022/2555 (NIS 2), anexo I setor 4 e artigo 4.º, n.º 1, EUR-Lex.
- Diretiva (UE) 2022/2555 (NIS 2), dever de registo do artigo 27.º, EUR-Lex.
- Regulamento (UE) 2022/2554 (DORA), artigos 5.º a 17.º gestão do risco TIC e artigos 17.º a 23.º comunicação de incidentes, EUR-Lex.
- Regulamento (UE) n.º 575/2013 (CRR), artigo 4.º, n.º 1, definição de instituição de crédito, EUR-Lex.
- §33 BSIG, registo de entidades essenciais e importantes junto do BSI, gesetze-im-internet.de.
- Orientação da BaFin sobre a supervisão do DORA para entidades financeiras alemãs, bafin.de.
- Banco Central Europeu, supervisão das instituições significativas no MUS, bankingsupervision.europa.eu.