Bin ich als Bank in der NIS 2?
Kreditinstitute sind in Anhang I Sektor 3 NIS 2 gelistet. Artikel 4 NIS 2 verlagert die substanziellen Cybersicherheits- und Meldepflichten dann auf DORA. Die Registrierungspflicht nach Artikel 27 NIS 2 bei der nationalen Behörde bleibt in jedem Fall bestehen.
Die Kurzfassung
Banken fallen in den Anwendungsbereich der NIS 2. Anhang I Sektor 3 listet 'Kreditinstitute' im Sinne von Artikel 4 Nummer 1 der Verordnung (EU) Nr. 575/2013 (CRR). Wer Kreditinstitut nach CRR ist, ist im NIS 2 Perimeter.
Artikel 4 NIS 2 ist aber eine Lex-specialis-Klausel. Wenn ein sektorspezifischer EU-Rechtsakt mindestens gleichwertige Cybersicherheits- und Meldepflichten festlegt, treten die substanziellen NIS 2 Pflichten zurück. DORA (Verordnung (EU) 2022/2554) wurde genau dafür geschaffen. Artikel 21 (Risikomanagementmaßnahmen) und Artikel 23 (Meldung erheblicher Sicherheitsvorfälle) NIS 2 gelten daher nicht für DORA-pflichtige Finanzunternehmen. Stattdessen greifen die entsprechenden DORA-Kapitel.
Die Ausnahme ist nicht vollständig. Artikel 27 NIS 2 (Registrierung bei der nationalen Behörde für die EU-weite Lageübersicht) bleibt anwendbar. Das BSI führt den Registereintrag nach §33 BSIG weiter. Kommission und ENISA behalten ihre EU-weite Sicht darauf, wer in den Anwendungsbereich fällt, auch wenn die substanziellen Pflichten in einer anderen Verordnung geregelt sind.
Anhang I Sektor 3 NIS 2 plus Artikel 4 (Richtlinie (EU) 2022/2555)
Kreditinstitute im Sinne von Artikel 4 Nummer 1 der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates. [Anhang I, Sektor 3, Bankwesen] / Soweit sektorspezifische Rechtsakte der Union von wesentlichen oder wichtigen Einrichtungen verlangen, Cybersicherheits-Risikomanagementmaßnahmen zu ergreifen oder erhebliche Sicherheitsvorfälle zu melden, und wenn diese Anforderungen in ihrer Wirkung den in dieser Richtlinie festgelegten Pflichten mindestens gleichwertig sind, gelten die entsprechenden Bestimmungen dieser Richtlinie, einschließlich der Bestimmungen über die Aufsicht und Durchsetzung in Kapitel VII, nicht für diese Einrichtungen. [Artikel 4 Absatz 1]
Anhang I stellt Banken in den Anwendungsbereich. Artikel 4 nimmt dann die Substanz heraus, wenn ein sektorspezifischer Rechtsakt gleichwertig wirkt. Die Registrierung wird von Artikel 4 nicht herausgenommen. Artikel 27 NIS 2 bleibt verbindlich.
DORA (Verordnung (EU) 2022/2554)
Diese Verordnung legt einheitliche Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen fest, die die Geschäftsprozesse von Finanzunternehmen unterstützen, um ein hohes gemeinsames Niveau digitaler operationaler Resilienz zu erreichen.
DORA ist der sektorspezifische Rechtsakt, der Artikel 4 NIS 2 auslöst. Sie ist unmittelbar geltendes EU-Recht. DORA regelt IKT-Risikomanagement, Meldung IKT-bezogener Vorfälle, Tests der digitalen operationalen Resilienz, IKT-Drittparteienrisiko und Informationsaustausch. Diese Kapitel gelten zusammen als in der Wirkung gleichwertig zu Artikel 21 und 23 NIS 2. Für DORA-pflichtige Einrichtungen treten diese NIS 2 Artikel daher zurück.
§28 BSIG plus nationale DORA-Umsetzung
§28 BSIG setzt die Lex-specialis-Regel aus Artikel 4 NIS 2 in deutsches Recht um. Die BaFin überwacht die DORA-Einhaltung für deutsche Kreditinstitute. Das BSI führt weiterhin das Register nach §33 BSIG, das Artikel 27 NIS 2 umsetzt.
Zwei deutsche Behörden sind relevant. Die BaFin führt die substanzielle Aufsicht (Risikomanagementmaßnahmen, Vorfallsmeldung nach DORA). Das BSI führt den Registereintrag nach §33 BSIG aus Artikel 27 NIS 2. Beides sind echte Pflichten. Keine ersetzt die andere.
Sind Sie Kreditinstitut nach CRR Artikel 4 Nummer 1?
Der NIS 2 Bankensektor übernimmt die Definition aus der CRR. Ein Kreditinstitut nimmt Einlagen oder andere rückzahlbare Gelder vom Publikum entgegen und gewährt Kredite für eigene Rechnung. Wer eine BaFin- oder EZB-Zulassung als Kreditinstitut hat, fällt darunter. Zahlungsinstitute, E-Geld-Institute und Wertpapierfirmen haben eigene Anwendungstests, entweder in NIS 2 Sektor 4 (Finanzmarktinfrastruktur) oder in DORA.
Artikel 21 und 23 NIS 2 werden durch DORA ersetzt
Artikel 4 NIS 2 verlagert die substanziellen Pflichten. DORA Kapitel II (IKT-Risikomanagement) ersetzt Artikel 21 NIS 2. DORA Kapitel III (Meldung IKT-bezogener Vorfälle) ersetzt Artikel 23 NIS 2. Die DORA-RTS und -ITS regeln die technischen Details, gegen die die BaFin prüft. Sie führen ein Risikomanagement nach DORA, nicht zwei parallel.
Artikel 27 NIS 2 Registrierung bleibt
Artikel 27 NIS 2 verpflichtet wesentliche und wichtige Einrichtungen, der nationalen Behörde definierte Daten zu übermitteln (Name, Anschrift, Sektor, Kontaktstelle, gegebenenfalls IP-Bereiche). DORA ersetzt das nicht. Das BSI führt das Register nach §33 BSIG für Deutschland. Banken registrieren sich dort wie alle anderen Pflichtigen. Aktualisierungen müssen nach Artikel 27 Absatz 2 binnen zwei Wochen erfolgen.
Der Gleichwertigkeitstest (Artikel 4 Absatz 1 NIS 2)
Artikel 4 nimmt nur dort heraus, wo der sektorspezifische Rechtsakt 'in seiner Wirkung mindestens gleichwertig' ist. DORA wurde gezielt so konzipiert, dass dieser Test erfüllt ist. Erwägungsgrund 28 NIS 2 und das DORA-Anwendungsbereichskapitel bestätigen die Passung. Wäre ein zukünftiger Rechtsakt unzureichend, fiele der Gleichwertigkeitstest und die NIS 2 Pflichten griffen wieder. Für Banken ist das bisher nicht eingetreten.
Die Registrierung ist informationell, nicht substanziell
Artikel 27 NIS 2 fällt deshalb nicht unter die Ausnahme, weil er einem anderen Zweck dient. Die substanziellen Pflichten (Artikel 21 und 23) regeln Verhalten. Die Registrierungspflicht (Artikel 27) gibt ENISA und Kommission ein vollständiges EU-weites Bild der Einrichtungen im Anwendungsbereich. Dieses Bild muss auch DORA-pflichtige Einrichtungen umfassen, sonst hätte die Aufsichtskarte Lücken. Die Kommission erhält diese Sichtbarkeit bewusst.
BaFin (DORA-Aufsicht)
Die BaFin überwacht die DORA-Einhaltung deutscher Kreditinstitute. IKT-Risikomanagement, Meldung schwerwiegender IKT-Vorfälle (DORA Artikel 19), das Programm für Tests der digitalen operationalen Resilienz, IKT-Drittparteienrisiko einschließlich kritischer IKT-Drittparteien-Anbieter. Hier liegt die operative Aufsicht für Banken.
BSI (Register nach §33 BSIG)
Das BSI führt das Register, das Artikel 27 NIS 2 in Deutschland umsetzt. Banken registrieren sich dort, obwohl ihre substanziellen Pflichten unter DORA stehen. Das BSI führt keine doppelte Substanzaufsicht. Es hält den Eintrag, tauscht Daten mit Kommission und ENISA aus und bleibt Ansprechpartner für Pflichten aus Artikel 27.
EZB / SSM und Bundesbank
Für bedeutende Institute im Einheitlichen Aufsichtsmechanismus übernimmt die EZB die federführende Aufsicht (DORA wird in diesen Aufsichtszyklus eingespeist). Für weniger bedeutende Institute führen BaFin und Bundesbank. Die Bundesbank übernimmt die laufende aufsichtliche Datenerhebung. Keine dieser Ebenen verändert die separate Artikel 27 Registerrolle des BSI.
DORA ersetzt NIS 2 vollständig. Wir müssen nichts unter NIS 2 tun.
Artikel 4 NIS 2 nimmt nur die substanziellen Pflichten heraus (Artikel 21 Risikomanagement, Artikel 23 Vorfallsmeldung). Artikel 27 (Registrierung) steht nicht auf dieser Liste. Das BSI erwartet Sie weiterhin im Register nach §33 BSIG. Eine versäumte Registrierung erzeugt einen NIS 2 Verstoß, auch wenn Ihr DORA-Programm tadellos läuft.
Wir sind nur DORA-pflichtig. Das BSI ist für uns nicht zuständig.
Das BSI prüft Ihr Risikomanagement nicht. Das macht die BaFin. Aber das BSI führt das Register nach §33 BSIG, das Artikel 27 NIS 2 umsetzt, und Sie stehen darin. Adress- und Kontaktstellenänderungen sowie Sektorumklassifizierungen gehen weiterhin innerhalb der Zwei-Wochen-Frist aus Artikel 27 Absatz 2 an das BSI.
Wir sind eine kleine Bank, deshalb sind wir nicht in der NIS 2.
Bankwesen ist ein Sektor, in dem NIS 2 Größenschwellen durch 'unabhängig von der Größe'-Klauseln und durch nationale ergänzende Festlegungen (Anhang II 'Sonstige kritische Einrichtungen') überschrieben werden können. Die DORA-eigene Größensystematik gilt unabhängig davon. Setzen Sie nicht voraus, außerhalb des Anwendungsbereichs zu sein, ohne den CRR-Sektortest, die NIS 2 'unabhängig-von-der-Größe'-Klauseln und das DORA-Anwendungskapitel parallel zu prüfen.
Substanz unter DORA, Registrierung beim BSI. Eine typische Sparkasse oder Volksbank baut kein paralleles NIS 2 Artikel 21 Rahmenwerk auf. Das IKT-Risikomanagementkapitel der DORA deckt denselben Stoff in derselben Tiefe ab. Die Meldepflicht für schwerwiegende IKT-Vorfälle nach DORA Artikel 19 deckt denselben Vorfallszyklus ab, den Artikel 23 NIS 2 verlangt hätte, nur nach DORA-Frist und -Vorlage.
Auf der Registrierungsseite meldet sich die Bank einmalig nach §33 BSIG, aktualisiert nach Artikel 27 Absatz 2 binnen zwei Wochen bei Änderungen der Kontaktdaten oder Sektoreinstufung und führt ein einseitiges internes Memo, das die Artikel 4 NIS 2 Ausnahme dokumentiert, damit die nächste Aufsicht oder Prüfung das nicht neu aufrollt. Das Memo kostet einen Nachmittag und spart zwei Prüfzyklen unangenehmer Erklärungen.
Der Anwendbarkeitscheck unterscheidet substanziellen Anwendungsbereich (Artikel 21 und 23 Pflichten) von reinem Registrierungsbereich (Artikel 27 Pflicht). Eine Bank erhält ein Registrierungsergebnis mit Verweis auf DORA. Ergebnis ist ein druckreifes Memo, das Ihr DORA-Projektleiter und Ihre Geschäftsleitung gemeinsam unterzeichnen können.
Wo sich Pflichten überschneiden, mappen wir gegen die DORA-Entsprechung, statt Sie zwei Nachweise erbringen zu lassen. Der §33 BSIG Registerprozess bleibt auf der Plattform, einschließlich der Zwei-Wochen-Aktualisierungspflicht aus Artikel 27 Absatz 2. Die substanzielle DORA-Arbeit bleibt bei der BaFin und Ihrem bestehenden IKT-Risikomanagement-Tooling.
- Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 3, Artikel 4, Artikel 27: eur-lex.europa.eu/eli/dir/2022/2555/oj
- Verordnung (EU) 2022/2554 (DORA), Artikel 1 Anwendungsbereich, Kapitel II und III: eur-lex.europa.eu/eli/reg/2022/2554/oj
- Verordnung (EU) Nr. 575/2013 (CRR), Artikel 4 Nummer 1: eur-lex.europa.eu/eli/reg/2013/575/oj
- BSI-Gesetz (BSIG), §28 (Lex specialis) und §33 (Register) in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
- BaFin-Hinweise zur DORA-Umsetzung für Kreditinstitute: bafin.de