NIS 2 vs DORA: Cum funcționează de fapt excepția pentru sectorul financiar
Articolul 4 NIS 2 predă entitățile financiare către DORA pentru gestionarea riscurilor, raportarea incidentelor și supraveghere. Articolul 27 NIS 2 nu este pe acea listă. Băncile, instituțiile de plată, contrapărțile centrale și prestatorii de servicii pentru active criptografice se înregistrează în continuare la BSI în temeiul §33 BSIG.
Două autorități de reglementare, o excepție, o obligație care supraviețuiește
Regulamentul (UE) 2022/2554 (DORA) a intrat în aplicare la 17 ianuarie 2025 și acoperă în jur de douăzeci de categorii de entități financiare, de la bănci și întreprinderi de asigurare până la prestatori de servicii pentru active criptografice și locuri de tranzacționare. Pentru tot ce DORA reglementează deja, articolul 4 NIS 2 înlocuiește articolele NIS 2 corespunzătoare. Aceasta este regula lex specialis și se află în centrul fiecărei discuții despre modul în care firmele financiare se încadrează în raport cu NIS 2.
Înlocuirea este îngustă. Articolul 4(2) NIS 2 enumeră exact care articole NIS 2 se retrag atunci când un act sectorial este cel puțin echivalent ca efect. Lista acoperă articolul 21 (măsuri de gestionare a riscurilor), articolul 23 (raportarea incidentelor) și capitolul VII (supraveghere și executare). Articolul 27 (înregistrarea) nu este pe listă. Și nici dispozițiile de domeniu de aplicare din Anexa I care plasează de la bun început sectorul bancar și infrastructurile pieței financiare în NIS 2.
Rezultatul practic pentru o bancă germană, o instituție de plată autorizată de BaFin sau o contraparte centrală: substanța vine din DORA, supravegherea în Germania se află la BaFin și Bundesbank, dar entitatea se înregistrează în continuare la BSI prin portalul §33 BSIG. O autoritate de reglementare pe registru. O autoritate de reglementare diferită pentru tot ce contează în operare.
Directiva NIS 2, Articolul 4(1) și 4(2)
În cazul în care acte juridice sectoriale ale Uniunii impun entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidente semnificative, iar cerințele respective sunt cel puțin echivalente ca efect cu obligațiile prevăzute în prezenta directivă, dispozițiile relevante ale prezentei directive, inclusiv dispoziția privind supravegherea și executarea prevăzută în capitolul VII, nu se aplică acestor entități.
Două condiții sunt suprapuse: trebuie să existe un act sectorial al Uniunii, iar cerințele sale trebuie să fie cel puțin echivalente ca efect. Doar atunci articolele 21, 23 și capitolul VII se retrag. Articolul 27 lipsește în mod evident din această listă și prin urmare continuă să se aplice.
Regulamentul (UE) 2022/2554 (DORA)
Articolele 5-17 (gestionarea riscurilor TIC), articolele 17-23 (raportarea incidentelor legate de TIC), articolele 24-27 (testarea rezilienței operaționale digitale), articolele 28-44 (gestionarea riscului TIC al părților terțe), articolul 45 (acorduri de schimb de informații).
DORA este un regulament, aplicat direct în fiecare stat membru de la 17 ianuarie 2025. Pentru entitățile din domeniul său de aplicare, acesta este corpul de norme care umple spațiul pe care articolele 21 și 23 NIS 2 l-ar ocupa altfel. Codul de norme de fond privind securitatea cibernetică este DORA, nu implementarea BSIG a NIS 2.
Articolul 27 NIS 2 și §33 BSIG
Statele membre se asigură că entitățile esențiale și importante transmit autorităților competente următoarele informații: denumirea entității, adresa și datele de contact actualizate, sectorul și subsectorul relevant în temeiul Anexei I sau II și o listă a statelor membre în care entitatea prestează servicii.
Articolul 27 NIS 2 obligă la înregistrarea la autoritatea națională competentă. În Germania, §33 BSIG canalizează acest lucru către portalul de înregistrare BSI. Articolul 4 nu atinge articolul 27. DORA are propriul registru la Autoritățile Europene de Supraveghere, dar acesta nu înlocuiește registrul național NIS 2. Entitățile financiare se află, prin urmare, în ambele.
DORA, nu articolul 21 NIS 2
Gestionarea riscurilor TIC, riscul părților terțe, testarea rezilienței și clasificarea incidentelor urmează articolele 5-44 DORA. Măsurile din articolul 21 NIS 2 (cele zece categorii din §30 BSIG în Germania) nu se aplică entităților din domeniul de aplicare al DORA. Acolo unde DORA tace, NIS 2 nu umple golul nici el: excepția vizează care act guvernează, nu suprapunerea ambelor.
BSI în temeiul §33 BSIG, fără înlocuire
Articolul 27 NIS 2 se află în afara listei din articolul 4. Registrul național supraviețuiește excepției. O bancă sau o instituție de plată autorizată de BaFin se înregistrează la BSI prin portalul §33, transmite clasificarea sectorului, datele de contact și intervalele de adrese IP și actualizează în termenele care se aplică oricărei alte entități din domeniul de aplicare. Neînregistrarea atrage propria cale de sancțiuni.
BaFin și Bundesbank, nu BSI
Capitolul VII NIS 2 (supraveghere și executare) este înlocuit pentru entitățile financiare. Articolul 46 DORA desemnează supraveghetorii financiari existenți drept autorități competente. În Germania, asta înseamnă BaFin și Deutsche Bundesbank pentru chestiuni bancare și de plată, cu Autoritățile Europene de Supraveghere (EBA, ESMA, EIOPA) coordonând la nivelul UE. BSI nu este supraveghetorul operațional pentru substanța DORA.
Lex specialis este îngustă, nu generală
Articolul 4 înlocuiește doar articolele NIS 2 pe care le numește. Înregistrarea în temeiul articolului 27, domeniul de aplicare din Anexa I și II și definițiile sectoarelor continuă toate să se aplice. O bancă nu devine o entitate non-NIS 2. Devine o entitate NIS 2 guvernată de DORA pentru părțile de fond. Distincția contează atunci când apar termene de înregistrare, reclasificări de sector sau notificări de servicii transfrontaliere.
Echivalent ca efect, nu identic ca text
Articolul 4(1) NIS 2 stabilește ștacheta la echivalent ca efect. DORA nu trebuie să reproducă articolul 21 cuvânt cu cuvânt. Trebuie să acopere același teren la aceeași profunzime. Considerentul 28 NIS 2 confirmă că DORA a fost redactat pentru a trece această ștachetă. În practică, Comisia Europeană a tratat DORA ca fiind pe deplin echivalent, dar testul se află în text și ar fi ancora juridică în orice litigiu privind o lacună.
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht)
Autoritatea competentă principală pentru DORA în Germania în temeiul articolului 46 DORA. Supraveghează gestionarea riscurilor TIC, raportarea incidentelor și acordurile privind riscul părților terțe pentru bănci, instituții de plată, întreprinderi de asigurare, firme de investiții și prestatori de servicii pentru active criptografice. Circularele existente BAIT, VAIT, KAIT și ZAIT sunt aliniate la articolele 5-17 DORA.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Operează portalul de înregistrare §33 BSIG. Primește înregistrarea entităților financiare chiar dacă nu supraveghează substanța DORA. BSI acționează și ca CSIRT național în temeiul articolului 10 NIS 2 și oferă sprijin voluntar. Linia de demarcație: înregistrarea și serviciile CSIRT la BSI, substanța și supravegherea la BaFin și Bundesbank.
EBA, ESMA, EIOPA și BCE
Autoritățile Europene de Supraveghere au emis standardele tehnice de reglementare DORA privind gestionarea riscurilor TIC, clasificarea incidentelor, registrele de risc al părților terțe și supravegherea furnizorilor terți critici de TIC. BCE supraveghează instituțiile de credit semnificative în temeiul Mecanismului unic de supraveghere și aplică DORA în cadrul acelui mandat. Excepția din articolul 4 NIS 2 este ceea ce face ca această structură de supraveghere suprapusă să funcționeze fără dublă reglementare.
Mit: DORA înlocuiește complet NIS 2 pentru entitățile financiare.
DORA înlocuiește articolul 21, articolul 23 și capitolul VII. Nu înlocuiește articolul 27 (înregistrarea), dispozițiile de domeniu de aplicare din Anexa I și II, sau mecanismele de cooperare din capitolul IV. Registrul §33 BSIG rămâne. O bancă care sare peste înregistrare se confruntă cu sancțiunea de sine stătătoare pentru neînregistrare, nu cu un dosar de executare doar pe DORA.
Mit: DORA se aplică doar băncilor, deci entitățile financiare nebancare urmează NIS 2.
Articolul 2 DORA enumeră în jur de douăzeci de categorii de entități. Întreprinderile de asigurare și reasigurare, instituțiile de plată și de monedă electronică, contrapărțile centrale, depozitarii centrali de titluri de valoare, locurile de tranzacționare, prestatorii de servicii pentru active criptografice, prestatorii de servicii de informații privind conturile și altele se află toate în interiorul DORA. Dacă sectorul dumneavoastră este în Anexa I sectorul 3 sau 4 din NIS 2 și totodată în articolul 2 DORA, se aplică excepția.
Mit: Două registre înseamnă depunerea de două ori a acelorași date.
Registrul de informații DORA de la AES acoperă acordurile cu părți terțe de TIC (articolul 28 DORA). Portalul §33 BSIG acoperă identificarea entității și clasificarea sectorului. Câmpurile nu se suprapun. Depunerea ambelor este câte o obligație fiecare, nu aceeași obligație de două ori. Practicienii confundă adesea acest lucru deoarece ambele implică introducerea de detalii în portaluri guvernamentale.
Dacă vă aflați într-o entitate autorizată de BaFin, tratați DORA ca pe codul dumneavoastră de norme de zi cu zi și NIS 2 ca pe nivelul de registru. Programul de ridicare de fond se află în articolele 5-17 DORA (gestionarea riscurilor) și articolele 28-44 (riscul părților terțe). Înregistrarea §33 BSIG este o sarcină administrativă unică care se reînnoiește când datele de contact se schimbă. Confundarea celor două duce la efort irosit, adesea o mapare duplicată a articolului 21 pe care nimeni nu a cerut-o.
Dacă vă aflați într-un grup financiar care operează și servicii IT interne pentru filiale nefinanciare, excepția protejează doar entitatea financiară. Filiala nefinanciară, dacă este în domeniul de aplicare al Anexei I sau II NIS 2, datorează întregul set de obligații, inclusiv măsurile din articolul 21 și raportarea incidentelor din articolul 23. Programele TIC la nivel de grup trebuie să fie lizibile de ambii supraveghetori. BaFin cere dovezi DORA, BSI cere dovezi §30 BSIG la entitatea nefinanciară.
Platforma modelează înregistrarea din articolul 27 NIS 2 ca pe o obligație de primă clasă, independentă de conținutul de gestionare a riscurilor. O entitate financiară care folosește platforma vede termenele de înregistrare, mementourile de schimbare a datelor de contact și statutul portalului §33 BSIG fără să moștenească vreo listă de sarcini din articolul 21 NIS 2 de care nu are nevoie.
Nivelul de fond DORA este în afara domeniului de aplicare al platformei open source. Tiparul recomandat este: urmăriți aici articolul 27 NIS 2, rulați programul DORA în instrumentele aliniate la BaFin pe care le așteaptă supraveghetorii dumneavoastră și folosiți statutul de registru din platformă ca pistă de audit care dovedește că obligația §33 BSIG a fost îndeplinită.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 4 (lex specialis), Articolul 27 (obligația de înregistrare), Anexa I sectorul 3 (infrastructuri ale pieței financiare) și sectorul 4 (bănci)
- Regulamentul (UE) 2022/2554 (DORA), Articolele 5-17 (gestionarea riscurilor TIC), Articolele 17-23 (raportarea incidentelor), Articolele 24-27 (testarea rezilienței), Articolele 28-44 (riscul TIC al părților terțe), Articolul 45 (schimbul de informații), Articolul 46 (autorități competente)
- BSIG (modificat prin NIS2UmsuCG), §33 (înregistrarea), §65 (sancțiuni pentru neînregistrare)
- Considerentul 28 Directiva NIS 2 privind relația dintre NIS 2 și actele sectoriale ale Uniunii
- Ghidul BaFin privind aplicarea DORA și alinierea circularelor BAIT, VAIT, KAIT, ZAIT (2025)
- Standardele tehnice de reglementare EBA, ESMA și EIOPA în temeiul DORA (2024 și 2025)