NIS-2 – sind alle Finanzdienstleister konkret betroffen und wo liegt der Unterschied zum Geltungsbereich der DORA?
Die Erkenntnis, durch regulatorische Anforderungen die Cybersicherheit und Widerstandsfähigkeit in den vergangenen Jahren innerhalb der EU zu verstärken, vereinheitlichen und vergleichbar zu gestalten, ist sowohl in der Politik als auch bei den Aufsichtsbehörden gereift. Hierzu sind auf Ebene der Europäischen Union zwei neue Anforderungen veröffentlicht worden, welche größere Maßnahmenpakete für Finanzinstitute mit sich bringen.
Die relevantesten neuen Regulierungen, welche auf Initiative der Europäischen Union vorangetrieben wurden, ist der Digital Operational Resilience Act (DORA) und die Network and Information Security Directive 2 (NIS-2). Beide Regulierungen weisen inhaltlich starke Ähnlichkeiten auf, es gibt jedoch einige gravierende Unterschiede.
Frank Stakemeier, Managing Consultant, IT-Security
ÜBERBLICK GELTUNGSBEREICH DORA
Die DORA tritt ab 17.01.2025 in Kraft und ist rechtlich als Verordnung eingestuft und somit ab dem Gültigkeitsdatum innerhalb der EU einzuhalten, eine Übernahme in lokales Recht ist nicht notwendig. Als Zielgruppe ist für die DORA ist ausschließlich der Finanzsektor und deren Dienstleister definiert. Dies führt dazu, dass die Prüfungskompetenzen bei der EZB und der BaFin liegen. Inhaltich legt die DORA den Schwerpunkt auf, detailliertere Anforderungen für das IT-Risiko Management und klare Strukturen für die Governance und Organisation von Unternehmen.
Hierbei werden die Anforderungen nochmal detailliert und verschärft, ähneln aber grundsätzlich den Anforderungen aus der BAIT. Strengere Anforderungen kommen auf die Überwachung von Dienstleistern und deren Dienstleistern (chain outsourcing) zu sowie beim Betreiben eines Security Operation Center (SOC), um die Anforderungen im Risikomanagement und im Reporting von incidents zu erfüllen. Des Weiteren werden sog. Resilienztests (inklusive Penetrationstests) verpflichtend.
Überblick Geltungsbereich NIS-2
Die Network and Information Security Directive 2 (NIS-2) verfolgt grundsätzlich eine ähnliche Zielsetzung wie die DORA und soll die Cybersicherheit innerhalb der EU erhöhen, verfügt jedoch über ein deutliches größeres Anwendungsgebiet an Unternehmen und ist nicht auf den Finanzsektor beschränkt.
Die NIS-2 hat insgesamt eine gültig für 18 verschiedene Sektoren wie z.B. der Energiesektor, Telekommunikation oder das Finanzwesen. Im Gegensatz zu DORA handelt es sich bei der NIS-2 um eine Richtlinie, die erst in lokales Recht überführt werden muss, wobei die einzelnen Länder in einem gewissen Rahmen Anpassungen vornehmen dürfen. Derzeit befindet sich die deutsche Richtlinie in einem Referentenentwurf und ist nicht final. Die Fertigstellung der Richtlinie ist derzeit für Oktober 2024 geplant.
Inhaltlich sind die Anforderungen aus der NIS-2 weitergefächert als für die DORA, da die Anforderungen auch für Unternehmen außerhalb des Finanzsektors gelten. Dies führt z.B. dass Aspekte wie physische Sicherheit nochmals stärker betont werden.
Grundsätzlich lässt sich aber festhalten, dass beide Anforderungsdokumente inhaltlich recht ähnlich sind, aber nicht identisch. Um hierzu Klarheit zu schaffen, wurde die DORA als „lex specialis“ definiert, wodurch dessen Anforderungen Vorrang zu den NIS-2 Anforderungen zugestanden wird.
Es ist vorgesehen zwei Kategorien von Unternehmen innerhalb der NIS-2 zu etablieren, „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“. Wobei an besonders wichtige Einrichtungen höhere Anforderungen gestellt werden. Am wichtigsten ist hierbei jedoch, dass für besonders wichtige Einrichtungen regelmäßige Audits erfolgen. Grundsätzlich gilt, dass Prüfungen im Finanzsektor für die NIS-2, vom BSI und der BaFin durchgeführt werden können.
Bei der nicht Einhaltung der NIS-2 Anforderungen können mehre Konsequenzen auf die Unternehmen zukommen. Dies umfasst zum einen, Bußgelder für das jeweilige Unternehmen in Abhängigkeit der Schwere der Verstöße, verstärkter aufsichtsrechtlicher Druck, die die Behörden sowie ein Reputationsrisiko im Falle der Veröffentlichung eines negativen Prüfungsergebnisses.
Nun stellt sich die Frage, für welche Institute im Finanzwesen trifft die NIS-2 zu?
Um die Anwendbarkeit der NIS-2 für ein Unternehmen festzustellen sind 3 Prüfungsschritte durchzuführen, bei der Erfüllung aller 3 Kriterien erfolgt eine Einstufung gemäß NIS-2.
- Prüfung der Zugehörigkeit zu einem der 18 Sektoren (Finanzwesen, Energie, Gesundheitsweisen etc.).
- Prüfung der Mitarbeiteranzahl (50 MA für wichtige Einrichtungen/250 MA besonders wichtige Einrichtungen).
- Prüfung der Schwellenwerte für Umsatzhöhe und Bilanzsumme (10 Mio. € Umsatz und Bilanzsumme 10 Mio. € Bilanzsumme für wichtige Einrichtungen/50 Mio. € Umsatz und Bilanzsumme 43 Mio. € Bilanzsumme für besonders wichtige Einrichtungen). [1]
Die Prüfkriterien sind als „und“-Kriterien zu verstehen, trifft eines der Anforderungen nicht zu, fällt das Unternehmen nicht in den Geltungsbereich der NIS-2.
Die Einstufung, ob ein Unternehmen zu dem relevanten Unternehmen im Finanzwesen gehört, erfolgt über die § 7 BSI-Kritisverordnung – BSI-KritisV in Kombination mit Anhang 6 BSI-KritisV.
In diesem Absatz werden die relevanten Tätigkeiten und Schwellenwerte definiert. Unterschreitet ein Unternehmen die Schwellenwerte oder betreibt keins der relevanten Geschäftsfelder, erfolgt keine Einstufung zu NIS-2. Zudem wird im Referentenentwurf zur NIS-2 in der Anlage 1 Nr. 3 „Finanzwesen“ Einrichtungsarten definiert, für die NIS-2 gültig ist.
Die DORA wird ab dem 17.01.2025 verpflichtend für Finanzinstitute, die NIS-2 nur für solche, welche die Prüfkriterien erfüllen, oder über den definierten Schwellenwerten liegen. Dies wird dafür sorgen, dass ein relevanter Anteil in kleineren Finanzinstituten und Spezial-Instituten nicht durch die NIS-2 betroffen ist. Eine zeitnahe Überprüfung der Kriterien ist geboten, damit es in den folgenden Jahren hier nicht zu negativen Überraschungen kommt. Da der Referentenentwurf nicht final ist, sollte eine Neubewertung der Situation im Oktober 2024 durchgeführt werden.