Banken unter NIS 2
Anhang I Sektor 4, das Zusammenspiel mit DORA über Artikel 4, und die Registrierung, die bestehen bleibt.
Überblick
Kreditinstitute und Teile der Finanzmarktinfrastruktur sind in Anhang I Sektor 4 der Richtlinie (EU) 2022/2555 (NIS 2) eingeordnet. Auf dem Papier gilt die Richtlinie für sie. In der Praxis wird der operative Teil der Pflichten zusammen mit der Verordnung über die digitale operationale Resilienz, also der Verordnung (EU) 2022/2554 (DORA), gelesen.
Artikel 4 NIS 2 ist die Scharnierklausel. Wenn ein sektorspezifischer Rechtsakt der Union Pflichten zum IKT Risikomanagement oder zur Meldung von Vorfällen vorsieht, die in ihrer Wirkung den NIS 2 Pflichten mindestens gleichwertig sind, treten die NIS 2 Vorgaben dahinter zurück. Für Banken und einen klar abgegrenzten Kreis von Finanzunternehmen ist DORA dieser Rechtsakt. Artikel 21 (Sicherheitsmaßnahmen) und Artikel 23 (Meldung von Vorfällen) der NIS 2 werden durch die entsprechenden DORA Vorgaben verdrängt.
Eine Pflicht aus NIS 2 wird durch Artikel 4 nicht verdrängt: die Registrierung nach Artikel 27. Die Mitgliedstaaten führen weiterhin eine Liste der wesentlichen und wichtigen Einrichtungen, in der auch Banken stehen. In Deutschland ist das die Registrierung nach §33 BSIG im Register des BSI. Die Richtlinienebene bleibt also intakt, auch wenn die operativen Kontrollen unter DORA laufen.
Richtlinie (EU) 2022/2555, Anhang I, Sektor 4 Bankwesen
Kreditinstitute im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates.
Anhang I Sektor 4 erfasst Kreditinstitute im Sinne der CRR. Der nächste Eintrag, Anhang I Sektor 5, erfasst Finanzmarktinfrastrukturen wie Handelsplätze und zentrale Gegenparteien. Zusammen bilden sie den Bankenperimeter und den Perimeter für Finanzinfrastruktur innerhalb von NIS 2.
Richtlinie (EU) 2022/2555, Artikel 4 Absatz 1
Sind in sektorspezifischen Rechtsakten der Union Vorschriften enthalten, nach denen wesentliche oder wichtige Einrichtungen Maßnahmen zum Cybersicherheitsrisikomanagement zu ergreifen oder erhebliche Sicherheitsvorfälle zu melden haben, und ist die Wirkung dieser Vorschriften den Verpflichtungen aus dieser Richtlinie mindestens gleichwertig, so sind die einschlägigen Bestimmungen dieser Richtlinie einschließlich der Bestimmung zur Aufsicht und Durchsetzung in Kapitel VII auf diese Einrichtungen nicht anwendbar.
Das ist der Lex specialis Schalter. Die europäischen Aufsichtsbehörden und die Kommission haben bestätigt, dass DORA, also die Verordnung (EU) 2022/2554, die Gleichwertigkeit für die erfassten Finanzunternehmen erfüllt. Artikel 21 und Artikel 23 NIS 2 treten für diese Einrichtungen zurück. Der Rest der Richtlinie bleibt anwendbar.
Richtlinie (EU) 2022/2555, Artikel 27
Die Mitgliedstaaten verpflichten wesentliche und wichtige Einrichtungen, den zuständigen Behörden die folgenden Angaben zu übermitteln ... bis spätestens 17. April 2025 und danach unverzüglich, in jedem Fall innerhalb von zwei Wochen ab dem Tag der Änderung.
Artikel 27 ist die Registrierungsklausel. Sie ist nicht Teil der Ausnahme in Artikel 4. In Deutschland setzt §33 BSIG diese Pflicht über das Register beim BSI um. Banken registrieren sich auch dann, wenn ihre Sicherheits und Meldepflichten durch DORA gesteuert werden.
Sie stehen in Anhang I
Ist Ihre Einrichtung ein Kreditinstitut im Sinne von Artikel 4 Nummer 1 der Verordnung (EU) Nr. 575/2013, dann fällt sie unter Anhang I Sektor 4. Die Größenschwellen aus Artikel 2 NIS 2 entscheiden weiterhin, ob die Einrichtung als wesentlich oder wichtig gilt. Eine kleine Sparkasse oder eine kleine Genossenschaftsbank ist nicht automatisch außerhalb des Anwendungsbereichs, weil Artikel 2 Absatz 2 sektorspezifische Sonderregeln vorsieht.
DORA steuert Kontrollen und Meldung
Die Sicherheitsmaßnahmen nach Artikel 21 und die Meldepflichten nach Artikel 23 NIS 2 treten für erfasste Finanzunternehmen zurück. IKT Risikomanagement, IKT Drittparteienrisiko, Meldung schwerwiegender Vorfälle und Resilienztests folgen der Verordnung (EU) 2022/2554 und ihren delegierten Rechtsakten.
Registrierung nach Artikel 27 bleibt
Die Registrierung als wesentliche oder wichtige Einrichtung ist eine Pflicht der Richtlinie, die durch DORA nicht verdrängt wird. In Deutschland gilt der Eintrag nach §33 BSIG beim BSI. Auch die Aktualisierungsfrist von zwei Wochen bei jeder Änderung folgt weiterhin der Richtlinie.
Lex specialis ist eng, nicht total
Artikel 4 NIS 2 schaltet nur die Teile der Richtlinie ab, für die der sektorspezifische Rechtsakt eine gleichwertige Regelung enthält. Für DORA ist das die operative Sicherheitsebene und die Meldung von Vorfällen. Vorgaben außerhalb dieser Hülle, etwa die Registrierung und die Aufsichtsarchitektur für Einrichtungen, die nicht verdrängt werden, bleiben Teil von NIS 2.
Die Registrierung ist eine Pflicht aus der Richtlinie, nicht aus DORA
DORA schafft kein eigenes Register der wesentlichen und wichtigen Einrichtungen. Artikel 27 NIS 2 schafft es. Deshalb erscheinen Banken in der Liste nach §33 BSIG, auch wenn ihre IKT Kontrollen gegen DORA gelesen werden. Die beiden Regime werden auf der Richtlinienebene zusammengehalten.
BaFin
Die Bundesanstalt für Finanzdienstleistungsaufsicht ist die deutsche zuständige Behörde nach DORA für Banken, Zahlungsinstitute und weitere erfasste Finanzunternehmen. Die BaFin übernimmt die Aufsicht über das IKT Risikomanagement und die Meldungen schwerwiegender Vorfälle nach der Verordnung (EU) 2022/2554.
BSI
Das Bundesamt für Sicherheit in der Informationstechnik führt das Register nach §33 BSIG, das Artikel 27 NIS 2 umsetzt. Banken registrieren sich beim BSI über das Portal für Einrichtungen. Die laufende cybersicherheitsbezogene Aufsicht über die Bank wandert dadurch nicht zum BSI.
EZB und SSM
Bedeutende Kreditinstitute innerhalb des Einheitlichen Aufsichtsmechanismus werden direkt von der Europäischen Zentralbank beaufsichtigt. Für diese Einrichtungen liegt die DORA Aufsicht bei der EZB statt bei der nationalen Behörde. Die Registrierung nach Artikel 27 NIS 2 bleibt eine nationale Meldung.
DORA ersetzt NIS 2 für Banken, also gilt NIS 2 nicht mehr.
Artikel 4 NIS 2 verdrängt nur die Teile, die DORA in gleichwertiger Form abdeckt. Die Registrierung nach Artikel 27 bei der nationalen Behörde gehört nicht dazu. Die Einrichtung erscheint weiterhin im nationalen Register als wesentliche oder wichtige Einrichtung.
Wir sind eine kleine Bank, wir liegen unter der Schwelle und sind raus.
Artikel 2 Absatz 2 NIS 2 enthält sektorspezifische Sonderregeln. Kreditinstitute aus Anhang I Sektor 4 können unabhängig von der Größe in den Anwendungsbereich fallen, wo Mitgliedstaaten oder die Sektorlogik dies verlangen. Eine kleine Sparkasse oder eine kleine Genossenschaftsbank ist nicht automatisch ausgenommen.
Wenn DORA umgesetzt ist, sind wir mit NIS 2 fertig.
DORA liefert Entsprechungen zu Artikel 21 und Artikel 23. DORA liefert weder das Register der Richtlinie, noch die Restaufsicht nach Artikel 32 für Einrichtungen, die nur teilweise verdrängt sind, noch die Kanäle für sektorübergreifenden Informationsaustausch aus Kapitel IV. Diese Punkte bleiben auf der NIS 2 Ebene.
Eine mittelgroße Bank in Deutschland führt in der Regel zwei Compliancestränge parallel. Einen unter DORA, beaufsichtigt durch die BaFin oder durch die EZB, wenn die Bank bedeutend im Sinne des SSM ist. Dieser Strang trägt das IKT Risikomanagement, das Register der IKT Drittparteien, die Meldung schwerwiegender Vorfälle und die Resilienztests. Den anderen unter Artikel 27 NIS 2, beaufsichtigt durch das BSI. Das ist ein Registereintrag plus die Aktualisierung innerhalb von zwei Wochen bei jeder Änderung.
Genossenschaftsbanken, Sparkassen und kleinere Kreditinstitute folgen derselben Logik. Der DORA Strang ist für sie als Finanzunternehmen nach der Verordnung (EU) 2022/2554 verpflichtend. Der Eintrag nach §33 BSIG steht daneben. Beide Stränge sind aus dem öffentlichen Register und aus der BaFin Meldelage gleichermaßen sichtbar.
Die Plattform ist um die Kontrolllogik von Artikel 21 und Artikel 23 NIS 2 herum gebaut. Für ein erfasstes Finanzunternehmen sind diese Artikel durch DORA verdrängt, deshalb ist die Plattform nicht das führende System für das IKT Risikomanagement nach DORA. Sie ist nach wie vor nützlich als Begleiter für die Registrierung nach Artikel 27, als Bibliothek für Richtlinien und Nachweise, und als Ort, an dem ein Bankenkonzern die NIS 2 Ebene für Zuliefereinheiten und Konzerngesellschaften dokumentiert, die selbst keine Finanzunternehmen nach DORA sind.
Konzerne mit gemischtem Perimeter, etwa eine Bank plus eine Tochtergesellschaft für IT Dienste in Anhang I Sektor 8, brauchen oft beide Regime nebeneinander dokumentiert. Die Plattform ist für die NIS 2 Seite dieser Karte gedacht.
- Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 4 und Artikel 4 Absatz 1, EUR-Lex.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 27 Registrierungspflicht, EUR-Lex.
- Verordnung (EU) 2022/2554 (DORA), Artikel 5 bis 17 IKT Risikomanagement und Artikel 17 bis 23 Meldung von Vorfällen, EUR-Lex.
- Verordnung (EU) Nr. 575/2013 (CRR), Artikel 4 Absatz 1 Definition des Kreditinstituts, EUR-Lex.
- §33 BSIG, Registrierung wesentlicher und wichtiger Einrichtungen beim BSI, gesetze-im-internet.de.
- BaFin, Hinweise zur DORA Aufsicht über deutsche Finanzunternehmen, bafin.de.
- Europäische Zentralbank, SSM Aufsicht über bedeutende Institute, bankingsupervision.europa.eu.