Sunt o bancă conform NIS 2?
Instituțiile de credit sunt listate în Anexa I sectorul 3 al NIS 2. Articolul 4 NIS 2 amână apoi obligațiile substanțiale de securitate cibernetică și de notificare a incidentelor către DORA. Obligația de înregistrare conform articolului 27 la autoritatea ta națională rămâne valabilă oricum.
Pe scurt
Băncile sunt în domeniul de aplicare NIS 2. Anexa I sectorul 3 listează „instituțiile de credit” astfel cum sunt definite la articolul 4 alin. (1) din Regulamentul (UE) nr. 575/2013 (CRR). Dacă ești o Kreditinstitut conform CRR, ești în interiorul perimetrului NIS 2.
Dar articolul 4 NIS 2 este o clauză lex specialis. Acolo unde un act sectorial specific al UE stabilește obligații de securitate cibernetică și de raportare a incidentelor cel puțin echivalente, obligațiile substanțiale NIS 2 se dau la o parte. DORA (Regulamentul (UE) 2022/2554) a fost scris exact în acest scop. Așa că articolul 21 (măsuri de gestionare a riscurilor) și articolul 23 (notificarea incidentelor semnificative) din NIS 2 nu se aplică entităților financiare supuse DORA. În schimb, se aplică capitolele DORA echivalente.
Excepția nu este totală. Articolul 27 NIS 2 (înregistrarea la autoritatea națională pentru conștientizarea situațională la nivelul UE) rămâne aplicabil. BSI îți păstrează intrarea în registrul prevăzut la §33 BSIG. Comisia și ENISA își păstrează imaginea la nivelul UE asupra cui intră în domeniul de aplicare, chiar și atunci când obligațiile substanțiale se află într-un alt regulament.
NIS 2 Anexa I sectorul 3 + articolul 4 (Directiva (UE) 2022/2555)
Instituții de credit, astfel cum sunt definite la articolul 4 punctul (1) din Regulamentul (UE) nr. 575/2013 al Parlamentului European și al Consiliului. [Anexa I, sectorul 3, Sector bancar] / În cazul în care actele juridice sectoriale specifice ale Uniunii impun entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor de securitate cibernetică sau să notifice incidente semnificative, iar cerințele respective au cel puțin un efect echivalent obligațiilor prevăzute în prezenta directivă, dispozițiile relevante ale prezentei directive, inclusiv dispozițiile privind supravegherea și asigurarea respectării prevăzute în capitolul VII, nu se aplică entităților respective. [articolul 4 alin. (1)]
Anexa I pune băncile în domeniul de aplicare. Articolul 4 exceptează apoi fondul atunci când un act sectorial specific are cel puțin un efect echivalent. Articolul 4 nu exceptează înregistrarea. Articolul 27 NIS 2 rămâne obligatoriu.
DORA (Regulamentul (UE) 2022/2554)
Prezentul regulament stabilește cerințe uniforme privind securitatea rețelelor și a sistemelor informatice care susțin procesele de afaceri ale entităților financiare... pentru a atinge un nivel comun ridicat de reziliență operațională digitală.
DORA este actul sectorial specific care declanșează articolul 4 NIS 2. Este drept al UE direct aplicabil. Acoperă gestionarea riscurilor TIC, raportarea incidentelor legate de TIC, testarea rezilienței operaționale digitale, riscul aferent terților TIC și partajarea de informații. Împreună, aceste capitole sunt considerate echivalente ca efect cu articolele 21 și 23 NIS 2, așa că aceste articole NIS 2 se dau la o parte pentru entitățile supuse DORA.
§28 BSIG + implementarea națională a DORA
§28 BSIG operaționalizează regula lex specialis din articolul 4 NIS 2 în dreptul german. BaFin supraveghează conformitatea DORA pentru instituțiile de credit germane. BSI menține în continuare registrul prevăzut la §33 BSIG care implementează articolul 27 NIS 2.
Două autorități germane contează aici. BaFin deține supravegherea de fond (măsuri de gestionare a riscurilor, raportarea incidentelor conform DORA). BSI deține intrarea în registrul prevăzut la §33 conform articolului 27 NIS 2. Ambele sunt obligații reale. Niciuna nu o înlocuiește pe cealaltă.
Ești o instituție de credit conform CRR articolul 4 alin. (1)?
Sectorul bancar NIS 2 folosește definiția CRR. O Kreditinstitut atrage depozite sau alte fonduri rambursabile de la public și acordă credite în cont propriu. Dacă ești autorizat de BaFin / BCE ca instituție de credit, te încadrezi. Instituțiile de plată, instituțiile de monedă electronică și firmele de investiții au propriile teste de domeniu de aplicare conform NIS 2 sectorul 4 (infrastructura piețelor financiare) sau DORA.
Articolele 21 + 23 NIS 2 înlocuite de DORA
Articolul 4 NIS 2 predă obligațiile substanțiale. DORA capitolul II (gestionarea riscurilor TIC) înlocuiește articolul 21 NIS 2. DORA capitolul III (raportarea incidentelor legate de TIC) înlocuiește articolul 23 NIS 2. RTS și ITS din DORA definesc detaliul tehnic în baza căruia supraveghează BaFin. Rulezi un singur cadru de gestionare a riscurilor conform DORA, nu două.
Înregistrarea conform articolului 27 NIS 2 rămâne aplicabilă
Articolul 27 NIS 2 obligă entitățile esențiale și importante să furnizeze autorității lor naționale un set definit de date (denumire, adresă, sector, punct de contact, intervale de IP unde este cazul). DORA nu înlocuiește asta. BSI administrează registrul prevăzut la §33 BSIG pentru Germania. Băncile se înregistrează acolo alături de toți ceilalți din domeniul de aplicare. Actualizările în două săptămâni conform articolului 27 alin. (2).
Testul de echivalență (articolul 4 alin. (1) NIS 2)
Articolul 4 exceptează doar acolo unde actul sectorial specific are „cel puțin un efect echivalent” cu obligațiile NIS 2 relevante. DORA a fost conceput special pentru a îndeplini acel test. Considerentul 28 NIS 2 și propriul capitol de domeniu de aplicare al DORA confirmă potrivirea. Dacă un viitor act sectorial ar fi insuficient, testul de echivalență ar eșua, iar obligațiile NIS 2 ar reveni. Până acum acest lucru nu s-a întâmplat pentru bănci.
Înregistrarea este informațională, nu substanțială
Articolul 27 NIS 2 se află în afara excepției pentru că servește un scop diferit. Obligațiile substanțiale (articolele 21 și 23) reglementează comportamentul. Obligația de înregistrare (articolul 27) oferă ENISA și Comisiei o imagine completă la nivelul UE asupra cui intră sub incidența regimului. Acea imagine trebuie să includă și entitățile supuse DORA, altfel harta de supraveghere are goluri. Comisia păstrează această vizibilitate în mod intenționat.
BaFin (supraveghetorul DORA)
BaFin supraveghează conformitatea DORA pentru instituțiile de credit germane. Gestionarea riscurilor TIC, rapoartele privind incidentele majore TIC (DORA articolul 19), programul de testare a rezilienței operaționale digitale, riscul aferent terților TIC, inclusiv furnizorii terți critici de TIC. Aici se află supravegherea operațională pentru bănci.
BSI (registrul prevăzut la §33 BSIG)
BSI menține registrul care implementează articolul 27 NIS 2 în Germania. Băncile se înregistrează acolo chiar dacă obligațiile lor substanțiale sunt sub DORA. BSI nu dublează supravegherea fondului. Păstrează intrarea, schimbă date cu Comisia și ENISA și rămâne punctul de contact pentru obligațiile din articolul 27.
BCE / MUS și Bundesbank
Pentru instituțiile semnificative sub Mecanismul unic de supraveghere, BCE preia conducerea supravegherii (DORA este integrată în acel ciclu de supraveghere). Pentru instituțiile mai puțin semnificative, BaFin și Bundesbank conduc. Bundesbank gestionează colectarea continuă a datelor de supraveghere. Niciunul dintre aceste straturi nu schimbă rolul separat al BSI privind registrul din articolul 27.
DORA înlocuiește NIS 2 în întregime. Nu trebuie să facem nimic conform NIS 2.
Articolul 4 NIS 2 exceptează doar obligațiile substanțiale (articolul 21 gestionarea riscurilor, articolul 23 notificarea incidentelor). Articolul 27 (înregistrarea) nu este pe acea listă. BSI te așteaptă în continuare în registrul prevăzut la §33 BSIG. Ratarea înregistrării creează o încălcare NIS 2 chiar și atunci când programul tău DORA este în formă perfectă.
Suntem doar DORA. BSI nu ne reglementează.
BSI nu supraveghează cadrul tău de gestionare a riscurilor. BaFin o face. Dar BSI administrează registrul prevăzut la §33 BSIG care implementează articolul 27 NIS 2, și ești în el. Schimbările de adresă, schimbările punctului de contact, reclasificările de sector merg în continuare la BSI în fereastra de două săptămâni a articolului 27 alin. (2).
Suntem o bancă mică, deci suntem în afara domeniului de aplicare NIS 2.
Sectorul bancar este unul dintre sectoarele în care pragurile de mărime NIS 2 pot fi anulate de dispozițiile „indiferent de mărime” și de domeniul de aplicare suplimentar național (Anexa II „Sonstige kritische Einrichtungen”). Logica proprie de mărime a DORA se aplică independent. Nu presupune că ești în afara domeniului de aplicare fără a verifica în paralel testul de sector CRR, anulările NIS 2 „indiferent de mărime” și capitolul de domeniu de aplicare al DORA.
Fondul sub DORA, înregistrarea sub BSI. O Sparkasse sau Volksbank germană tipică nu construiește un cadru paralel NIS 2 articolul 21. Capitolul de gestionare a riscurilor TIC sub DORA acoperă același teren la aceeași profunzime. Ciclul de raportare a incidentelor majore TIC sub DORA articolul 19 acoperă aceeași buclă a incidentelor semnificative pe care articolul 23 NIS 2 ar fi cerut-o, doar pe calendarul și pe șablonul DORA.
Pe latura înregistrării, banca depune o dată la BSI conform §33 BSIG, actualizează în două săptămâni conform articolului 27 alin. (2) atunci când datele de contact sau clasificarea de sector se schimbă și păstrează o notă internă de o pagină care explică excepția din articolul 4 NIS 2, astfel încât următorul supraveghetor sau auditor să nu fie nevoit să o reia. Acea notă costă o după-amiază de scris și economisește echivalentul a două cicluri de audit de discuții neplăcute.
Verificarea aplicabilității distinge domeniul de aplicare substanțial (obligațiile din articolele 21 și 23) de domeniul de aplicare limitat la înregistrare (obligația din articolul 27). O bancă primește un rezultat limitat la înregistrare, cu o trimitere la DORA. Rezultatul este o notă gata de copiat pe care atât managerul tău de proiect DORA, cât și organul tău de conducere o pot aproba.
Acolo unde cerințele se suprapun, punem obligația în corespondență cu echivalentul DORA, în loc să-ți cerem să o îndeplinești de două ori. Fluxul de lucru al registrului prevăzut la §33 BSIG rămâne pe platformă, inclusiv ciclul de actualizare de două săptămâni conform articolului 27 alin. (2). Fluxul de lucru substanțial DORA rămâne la BaFin și la instrumentele tale existente de gestionare a riscurilor TIC.
- Directiva (UE) 2022/2555 (NIS 2), Anexa I sectorul 3, articolul 4, articolul 27, eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul (UE) 2022/2554 (DORA), articolul 1 domeniul de aplicare și capitolele II + III, eur-lex.europa.eu/eli/reg/2022/2554/oj
- Regulamentul (UE) nr. 575/2013 (CRR), articolul 4 alin. (1), eur-lex.europa.eu/eli/reg/2013/575/oj
- Legea BSI (BSIG), §28 (lex specialis) și §33 (registru), astfel cum au fost modificate prin Legea de implementare a NIS2 și de întărire a securității cibernetice
- Ghidul BaFin privind implementarea DORA pentru instituțiile de credit, bafin.de