NIS2-Compliance für den Bankensektor

Der Bankensektor ist zentral für die finanzielle Stabilität, die Zahlungssysteme und die wirtschaftliche Kontinuität in der gesamten Europäischen Union. Da Finanzdienstleistungen zunehmend digital, vernetzt und von Drittanbietern technologischer Dienste abhängig sind, ist das Cyberrisiko zu einer systemischen Herausforderung geworden.

Die NIS2-Richtlinie legt EU-weit geltende Verpflichtungen zur Cybersicherheit für wesentliche und wichtige Einrichtungen fest und erweitert den Anwendungsbereich und die Durchsetzungsmechanismen des ursprünglichen NIS-Rahmens erheblich. NIS2-Compliance im Bankensektor untermauert die Resilienzanforderungen an Institute, die kritische Finanzdienstleistungen erbringen.

Die Richtlinie gilt für mittlere und große Organisationen, die in bestimmten Sektoren tätig sind, einschließlich des Bankensektors. Obwohl viele Banken bereits unter strenger Finanzregulierung arbeiten, führt NIS2 zusätzliche sektorübergreifende Anforderungen an die Cybersicherheits-Governance sowie Meldepflichten für Sicherheitsvorfälle ein.

Wenn Ihr Unternehmen im Bankensektor tätig ist, kann es unter NIS2 entweder als Essential- oder als Important-Einrichtung eingestuft werden.

Der Bankensektor wird eingestuft als:

Relevanter Anhang: Anhang I (wesentliche Einrichtungen)

Zu den Kreditinstituten zählen Banken, die befugt sind, Einlagen oder andere rückzahlbare Gelder von der Öffentlichkeit entgegenzunehmen und für eigene Rechnung Kredite zu gewähren.

Einrichtungen, die die maßgeblichen Größenschwellen erfüllen, gelten nach NIS2 als wesentliche Einrichtungen.

• Wesentliche Einrichtung nach Anhang I

• Kreditinstitute, wie im EU-Bankenrecht definiert

Abdeckung der Subsektoren (Anhang I – Bankwesen):

Die NIS2-Compliance-Pflichten im Bankensektor gelten für:

Die meisten Kreditinstitute erfüllen die Schwellenwerte und fallen daher automatisch als wesentliche Einrichtungen in den Anwendungsbereich.

Obwohl die Anwendbarkeit von NIS2 auf KMU im traditionellen Bankwesen aufgrund der Größenordnung seltener ist, sind kleinere Kreditinstitute, die die EU-Kriterien für mittlere Unternehmen erfüllen, ebenfalls erfasst. Darüber hinaus können nationale Behörden die Abgrenzung des Anwendungsbereichs zwischen NIS2 und sektorspezifischen Finanzvorschriften präzisieren.

Grenzüberschreitend in der EU tätige Banken unterliegen NIS2 weiterhin in jedem Mitgliedstaat, in dem sie Dienstleistungen erbringen, vorbehaltlich einschlägiger Aufsichtskoordinierungsmechanismen.

• Mittlere Unternehmen (≥ 50 Beschäftigte und/oder 10 Mio. € Jahresumsatz oder Jahresbilanzsumme)
• Große Unternehmen, die diese Schwellenwerte überschreiten

Nach Artikel 21 der NIS2-Richtlinie müssen Kreditinstitute angemessene und verhältnismäßige technische und organisatorische Maßnahmen zur Bewältigung von Cybersicherheitsrisiken umsetzen.

Verpflichtende Maßnahmen umfassen:

Für Banken müssen NIS2-Sicherheitsmaßnahmen Kernbankensysteme, Zahlungsinfrastruktur, Online-Banking-Plattformen und cloudbasierte Finanzdienstleistungen abdecken. Ein starkes Identitätsmanagement, Kontrollen der Transaktionsintegrität und Echtzeitüberwachung sind wesentliche Bestandteile der Compliance.

Die NIS2-Compliance im Bankensektor erfordert eine Integration von Cybersicherheit, operationeller Resilienz und Unternehmensrisikomanagement. Obwohl Finanzinstitute bereits sektorspezifischen Regelungen zu IKT-Risiken unterliegen, auferlegt NIS2 horizontale Cybersicherheitspflichten, die in allen Mitgliedstaaten gelten.

• Risikomanagementrahmen
• Verfahren zur Behandlung von Sicherheitsvorfällen
• Geschäftskontinuität und Notfallwiederherstellung
• Lieferkettensicherheit
• Sichere Entwicklung und Wartung
• Richtlinien zu Verschlüsselung und Kryptografie
• Zugriffskontrolle und Mehrfaktor-Authentifizierung (MFA)
• Schwachstellenmanagement und Patch-Management
• Schulungen zur Cyberhygiene
• Nutzung sicherer Kommunikationskanäle

Banken müssen bei erheblichen Sicherheitsvorfällen die NIS2-Meldefristen einhalten.

Zu den Meldepflichten gehören:

Meldungen sind an das nationale CSIRT oder die nach NIS2 benannte zuständige Behörde zu übermitteln.

Die 24-Stunden-Meldepflicht nach NIS2 erfordert eine schnelle Erkennung und interne Eskalationsverfahren. Cybervorfälle, die Zahlungsdienste, die Transaktionsabwicklung oder Kundenzugangssysteme beeinträchtigen, können als erhebliche Vorfälle gelten.

Die Nichteinhaltung der vorgeschriebenen Meldefristen kann aufsichtsrechtliche Durchsetzungsmaßnahmen und finanzielle Sanktionen nach sich ziehen.

Die NIS2-Compliance für den Bankensektor verankert die Aufsicht über die Cybersicherheit beim Leitungsorgan.

Wesentliche Governance-Anforderungen umfassen:

Artikel 21 der NIS2-Richtlinie stellt klar, dass die Verantwortung für Cybersicherheit auf Ebene des Leitungsorgans liegt. Die Mitglieder des Leitungsorgans müssen sicherstellen, dass angemessene Kontrollen vorhanden sind und dass Risikomanagementprozesse dokumentiert und regelmäßig überprüft werden.

Für Banken ist die Governance-Abstimmung zwischen Cybersicherheitsteams, Risikofunktionen und der Geschäftsleitung entscheidend, um sowohl die NIS2- als auch die finanzaufsichtlichen Erwartungen zu erfüllen.

• Genehmigung von Maßnahmen des Cybersicherheits-Risikomanagements durch das Leitungsorgan
• Laufende Überwachung der Umsetzung
• Verpflichtende Cybersicherheitsschulungen für Mitglieder des Leitungsorgans
• Mögliche persönliche Haftungsrisiken nach nationalem Recht

Als Einrichtungen nach Anhang I unterliegen als wesentliche Einrichtungen eingestufte Banken einer proaktiven Aufsicht. Zuständige Behörden können ungeachtet dessen, ob ein Vorfall eingetreten ist, Prüfungen, Inspektionen und Sicherheitsbewertungen durchführen.

Verwaltungsrechtliche Geldbußen bei Nichteinhaltung:

Nationale Umsetzungsgesetze können die Koordinierung zwischen Finanzaufsichtsbehörden und den nach NIS2 zuständigen Behörden weiter präzisieren. Die Richtlinie legt jedoch harmonisierte Mindestschwellen für Sanktionen in den Mitgliedstaaten fest.

Angesichts der systemischen Bedeutung von Finanzinstituten wird eine robuste und risikobasierte Durchsetzung erwartet.

• Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresgesamtumsatzes (je nachdem, welcher Betrag höher ist)

Bankinstitute, die eine strukturierte NIS-2-Compliance anstreben, sollten:

Frühzeitige Vorbereitung reduziert Durchsetzungsrisiken und operative Beeinträchtigungen.

1. Eine NIS-2-Gap-Analyse im Einklang mit bestehenden IKT-Risikorahmenwerken durchführen
2. Kritische Bankdienstleistungen und digitale Abhängigkeiten abbilden
3. Ein dokumentiertes Rahmenwerk für das Cybersicherheitsrisikomanagement formalisieren
4. Pläne zur Vorfallreaktion und Krisenkommunikation aktualisieren
5. Verträge mit Drittanbietern und Cloud-Dienstleistern überprüfen
6. Mitglieder des Vorstands und der Geschäftsleitung schulen
7. Einen 24-Std./72-Std./1-Monat-Meldeprozess einrichten

Bankinstitute sind unter NIS2 mit sektorspezifischen Risiken konfrontiert:

Die NIS2-Compliance im Bankensektor ist daher ein Kernelement der operationellen Resilienz und der regulatorischen Angleichung.

• Betriebsunterbrechung: Cybervorfälle können Zahlungssysteme oder Kernbankdienstleistungen unterbrechen.
• Exponierung gegenüber systemischen Risiken: Störungen können sich kaskadenartig über die Finanzmärkte ausbreiten.
• Beeinträchtigung der Lieferkette: Ausgelagerte IKT- und Cloud-Dienstleister bringen Drittrisiken mit sich.
• Regulatorische Geldbußen: Nichteinhaltung kann zu erheblichen finanziellen Sanktionen führen.
• Reputationsschaden: Der Verlust des Kundenvertrauens kann langfristige geschäftliche Folgen haben.