Das neue NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befindet sich in einer fortgeschrittenen Gesetzgebungsphase. Die Europäische Kommission adressiert damit verschiedene Kritikpunkte:
• Unzureichende Cyberresilienz von Unternehmen in der EU.
• Inkonsistente Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren.
• Unzureichendes gemeinsames Verständnis der Bedrohungen und Herausforderungen.
• Fehlende gemeinsame Krisenreaktion.
Bedeutung für die Finanzindustrie
Die Finanzindustrie wird durch das NIS2UmsuCG in mehrfacher Hinsicht beeinflusst:
1. DORA als spezialisierte Regulierung: Der Digital Operational Resilience Act (DORA) regelt Cybersicherheit, IKT-Risiken und digitale Resilienz speziell für den Finanzsektor als lex specialis gegenüber dem NIS2UmsuCG.
2. Anwendungsbereich des NIS2UmsuCG: Finanzunternehmen sind aber zusätzlich wichtige bzw. besonders wichtige Einrichtungen im Sinne des NIS2UmsuCG. Daher fallen aufgrund niedriger Schwellenwerte (50 Mitarbeiter und mindestens 10 Mio. EUR Umsatz oder Bilanzsumme) alle Banken und Sparkassen unter die NIS2UmsuCG-Regulierung.
3. Registrierung beim BSI: Daher müssen sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle benennen - unabhängig von der BaFin. Dies gilt auch unabhängig von festgestellten KRITIS-Diensten.
4. Keine Betreiberstatus: Finanzunternehmen werden durch die Registrierung und Nennung der Kontaktstelle aber keine Betreiber, da es ihnen aufgrund einer bisher ausschließlich für den Sektor Finanzwirtschaft genutzten Definition im Gegensatz zu anderen Betreibern an der tatsächlichen Sachherrschaft fehlt. Vielmehr liegt die tatsächliche Sachherrschaft oft bei IT-Dienstleistern, an die die IT ausgelagert ist. Diese IT-Dienstleister sind gemäß der BSI-KRITIS-Verordnung zuständig für Vorfallsmeldungen.
5. Meldepflichten nach DORA: Finanzunternehmen müssen vielmehr gemäß DORA schwerwiegende IKT-bezogene und Zahlungssicherheitsvorfälle an die BaFin oder die EZB melden. Die BaFin leitet diese Informationen künftig auch an das BSI weiter.
Wir setzen uns für folgende Punkte ein:
• Befreiung von Doppelmeldungen: IT-Dienstleister, die für Finanzunternehmen tätig sind, sollen von direkten Meldepflichten ans BSI befreit werden, um Doppelmeldungen und Doppelregulierung zu vermeiden. Diese Meldungen erfolgen ausschließlich durch die Finanzunternehmen über DORA an die EZB oder BaFin.
• Vereinfachung der Registrierung: Informationen zur Registrierung und Nennung einer Kontaktstelle beim BSI sollen über die BaFin als „single point of contact“ hinterlegt werden können, um parallele Meldungen zu vermeiden.
Durch diese Maßnahmen wollen wir die Komplexität und den bürokratischen Aufwand für Finanzunternehmen minimieren und gleichzeitig den gestiegenen Anforderungen an wirkungsvolle Cyberresilienz gerecht werden.