Sectorul bancar sub NIS 2
Anexa I sectorul 4, interacțiunea Articolului 4 cu DORA și obligația de înregistrare care nu dispare.
Prezentare generală
Instituțiile de credit și părți ale infrastructurii pieței financiare se află în Anexa I sectorul 4 din Directiva (UE) 2022/2555 (NIS 2). Pe hârtie, directiva li se aplică. În practică, majoritatea obligațiilor operaționale se citesc împreună cu Actul privind reziliența operațională digitală, Regulamentul (UE) 2022/2554 (DORA).
Articolul 4 NIS 2 este clauza-punte. Acolo unde un act al Uniunii specific sectorului impune obligații de management al riscurilor TIC sau de raportare a incidentelor care sunt cel puțin echivalente cu NIS 2, măsurile și regulile de raportare NIS 2 cedează. Pentru bănci și un set definit de entități financiare, DORA este acel act. Articolul 21 (măsuri de securitate) și Articolul 23 (raportarea incidentelor) din NIS 2 sunt înlocuite de echivalentele din DORA.
O obligație din NIS 2 nu este înlocuită de Articolul 4: obligația de înregistrare din Articolul 27. Statele membre tot colectează o listă de entități esențiale și importante, inclusiv băncile. În Germania, aceasta este înregistrarea din §33 BSIG în registrul BSI. Stratul directivei păstrează numărul intact chiar și acolo unde DORA conduce controalele.
Directiva (UE) 2022/2555, Anexa I, sectorul 4 Sectorul bancar
Instituții de credit, astfel cum sunt definite la articolul 4 punctul (1) din Regulamentul (UE) nr. 575/2013 al Parlamentului European și al Consiliului.
Anexa I sectorul 4 acoperă instituțiile de credit în sensul CRR. Următoarea intrare, Anexa I sectorul 5, acoperă infrastructurile pieței financiare (locuri de tranzacționare și contrapărți centrale). Împreună formează perimetrul bancar și financiar din NIS 2.
Directiva (UE) 2022/2555, Articolul 4(1)
În cazul în care acte juridice ale Uniunii specifice unui sector impun entităților esențiale sau importante să adopte măsuri de management al riscurilor de securitate cibernetică sau să notifice incidente semnificative, iar cerințele respective au cel puțin un efect echivalent cu obligațiile prevăzute în prezenta directivă, dispozițiile relevante ale prezentei directive, inclusiv dispoziția privind supravegherea și asigurarea respectării prevăzută în capitolul VII, nu se aplică acestor entități.
Acesta este comutatorul lex specialis. Autoritățile europene de supraveghere și Comisia au confirmat că Regulamentul (UE) 2022/2554 DORA îndeplinește testul de echivalență pentru entitățile financiare vizate. Articolele 21 și 23 NIS 2 cedează pasul pentru acele entități. Restul directivei rămâne în vigoare.
Directiva (UE) 2022/2555, Articolul 27
Statele membre impun entităților esențiale și importante să transmită autorităților competente următoarele informații ... până la 17 aprilie 2025 cel târziu și, ulterior, fără întârziere și, în orice caz, în termen de două săptămâni de la data modificării.
Articolul 27 este clauza de înregistrare. Nu este enumerat în excepția din Articolul 4. În Germania, §33 BSIG o operaționalizează printr-un registru BSI. Băncile depun înregistrarea chiar și atunci când obligațiile lor de securitate și de raportare sunt guvernate de DORA.
Sunteți în Anexa I
Dacă entitatea dumneavoastră este o instituție de credit conform articolului 4(1) din Regulamentul (UE) nr. 575/2013, vă aflați în Anexa I sectorul 4. Pragurile de mărime din Articolul 2 NIS 2 tot decid dacă sunteți esențială sau importantă. O Sparkasse mică sau o bancă cooperatistă mică nu este automat în afara domeniului, fiindcă entitățile financiare declanșează derogările specifice sectorului din Articolul 2(2).
DORA conduce controalele și raportarea
Măsurile de securitate din Articolul 21 și raportarea incidentelor din Articolul 23 sub NIS 2 sunt înlocuite pentru entitățile financiare vizate. Managementul riscurilor TIC, riscul TIC al terților, raportarea incidentelor majore și testarea rezilienței urmează Regulamentul (UE) 2022/2554 și actele sale delegate.
Înregistrarea din Articolul 27 supraviețuiește
Înregistrarea ca entitate esențială sau importantă este o obligație a directivei care nu este înlocuită de DORA. În Germania se aplică înregistrarea din §33 BSIG la BSI. Actualizările în termen de două săptămâni de la orice modificare tot urmează regula directivei.
Lex specialis este îngustă, nu totală
Articolul 4 NIS 2 dezactivează doar părțile din NIS 2 care au un echivalent în actul specific sectorului. Pentru DORA, acela este stratul de securitate operațională și de raportare a incidentelor. Dispozițiile din afara acelui anvelopament, inclusiv înregistrarea și arhitectura de supraveghere pentru entitățile care nu sunt înlocuite, rămân atașate de NIS 2.
Înregistrarea este o obligație a directivei, nu a DORA
DORA nu creează un registru de tip NIS 2 al entităților esențiale și importante. Articolul 27 NIS 2 o face. De aceea băncile apar în lista din §33 BSIG, chiar dacă controalele lor TIC se citesc în raport cu DORA. Cele două regimuri sunt cusute împreună la stratul directivei.
BaFin
Autoritatea Federală de Supraveghere Financiară este autoritatea competentă germană pentru DORA în privința băncilor, instituțiilor de plată și a altor entități financiare vizate. BaFin gestionează supravegherea riscurilor TIC și rapoartele de incidente majore conform Regulamentului (UE) 2022/2554.
BSI
Oficiul Federal pentru Securitatea Informației administrează registrul din §33 BSIG care operaționalizează Articolul 27 NIS 2. Băncile se înregistrează la BSI prin portalul entităților. Supravegherea zilnică de securitate cibernetică a băncii nu se mută la BSI.
BCE și MUS
Instituțiile de credit semnificative din cadrul Mecanismului unic de supraveghere sunt supravegheate direct de Banca Centrală Europeană. Pentru acele entități, supravegherea DORA revine BCE și nu autorității naționale competente, în timp ce înregistrarea din Articolul 27 NIS 2 rămâne o depunere națională.
DORA înlocuiește NIS 2 pentru bănci, deci NIS 2 nu se aplică.
Articolul 4 NIS 2 înlocuiește doar părțile din NIS 2 pe care DORA le acoperă în formă echivalentă. Înregistrarea din Articolul 27 la autoritatea națională nu este una dintre acele părți. Entitatea tot apare ca entitate esențială sau importantă în registrul național.
Suntem o bancă mică, suntem sub pragul de mărime și în afara domeniului.
Articolul 2(2) NIS 2 conține derogări specifice sectorului. Instituțiile de credit din Anexa I sectorul 4 pot intra în domeniul de aplicare indiferent de mărime acolo unde statele membre sau logica sectorială o cer. O Sparkasse mică sau o bancă cooperatistă nu este automat scutită.
Odată ce DORA este implementat, am terminat cu NIS 2.
DORA vă oferă echivalentele Articolului 21 și Articolului 23. Nu vă oferă registrul directivei, reziduul de supraveghere din Articolul 32 pentru entitățile parțial vizate, ori canalele de partajare a incidentelor transsectoriale conform capitolului IV. Acestea rămân atașate de stratul NIS 2.
O bancă de dimensiune mijlocie din Germania are de regulă două căi de conformitate care rulează. Una sub DORA, supravegheată de BaFin sau de BCE dacă banca este semnificativă. Acea cale deține riscul TIC, registrul terților, raportarea incidentelor majore și testarea rezilienței. Cealaltă, sub Articolul 27 NIS 2, supravegheată de BSI, este o intrare în registru plus actualizări în termen de două săptămâni de la orice modificare.
Băncile cooperatiste, Sparkassen și instituțiile de credit mai mici se află în aceeași logică. Calea DORA este obligatorie pentru ele ca entități financiare conform Regulamentului (UE) 2022/2554. Intrarea din §33 BSIG stă alături. A trata oricare dintre căi ca opțională creează o expunere vizibilă deopotrivă din registrul public și din raportarea BaFin.
Platforma este construită în jurul logicii de control a Articolului 21 și Articolului 23 NIS 2. Pentru o entitate financiară vizată, acele articole sunt înlocuite de DORA, așa că platforma nu este sistemul de evidență pentru managementul riscurilor TIC din DORA. Este totuși utilă ca însoțitor al registrului din Articolul 27, ca bibliotecă de politici și probe și ca loc unde un grup bancar documentează stratul NIS 2 pentru entitățile-furnizor și entitățile din grup care nu sunt entități financiare sub DORA.
Grupurile cu un perimetru mixt, de exemplu o bancă plus o filială nefinanciară de servicii IT din Anexa I sectorul 8, au adesea nevoie de ambele regimuri corelate una lângă alta. Platforma este destinată laturii NIS 2 a acelei corelări.
- Directiva (UE) 2022/2555 (NIS 2), Anexa I sectorul 4 și Articolul 4(1), EUR-Lex.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 27 obligația de înregistrare, EUR-Lex.
- Regulamentul (UE) 2022/2554 (DORA), Articolele 5-17 managementul riscurilor TIC și Articolele 17-23 raportarea incidentelor, EUR-Lex.
- Regulamentul (UE) nr. 575/2013 (CRR), Articolul 4(1) definiția instituției de credit, EUR-Lex.
- §33 BSIG, înregistrarea entităților esențiale și importante la BSI, gesetze-im-internet.de.
- Ghidul BaFin privind supravegherea DORA pentru entitățile financiare germane, bafin.de.
- Banca Centrală Europeană, supravegherea MUS a instituțiilor semnificative, bankingsupervision.europa.eu.