KRITIS Finanz und Versicherungen

Im KRITIS-Sektor Finanz- und Versicherungswesen erbringen KRITIS-Betreiber fünf kritische Dienstleistungen zur Versorgung der Allgemeinheit mit Bargeld, Zahlungs­verkehr, Wertpapier-Geschäften und Versicherungen:

  1. Bargeldversorgung: Abhebungen, Einbringen in Zahlungsverkehr, Belastung Kundenkonto und Bargeldlogistik
  2. Kartengestützter Zahlungsverkehr: Kartengebundene Autorisierung, Einbringen in Zahlungsverkehr, Belastung Kundenkonto und Gutschriften
  3. Konventioneller Zahlungsverkehr: Annahme, Einbringen in Zahlungsverkehr, Belastung Kundenkonto, Gutschriften von Überweisungen und Lastschriften
  4. Wertpapier- und Derivatgeschäfte: Verrechnung, Verbuchung, Handel
  5. Versicherungsdienstleistungen, Sozialversicherung, Grundsicherung: Verwaltung, Leistung, Auszahlung (u.a. Leben, PKV, Komposit, UV, AV, GKV)

Erbringen Betreiber diese kritischen Dienstleistungen in eigenen Anlagen und überschreiten dabei Schwellenwerte (meist 500 Tsd. versorgte Personen), werden sie KRITIS-Betreiber.

KRITIS-Betreiber

Änderungen IT-Sicherheitsgesetz 2.0

Mit der KRITIS-Verordnung 2021 ändern sich die Anlagen und Schwellenwerte im Sektor:

IT-SiG 2.0

DE Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

Pflichten als Kritische Infrastruktur

KRITIS-Betreiber unterliegen der KRITIS-Regulierung mit Pflichten für IT-Sicherheit:

up

Anlagen

Der Sektor Finanz- und Versicherungswesen definiert sehr viele Anlagen und Schwellenwerte:

aus BSI-KritisV August 2021, Anhang 6
Änderungen 2021 unterstrichen, Streichungen durchgestrichen.
Nr. Anlage Beschreibung Schwellenwert (pro Jahr)
1.
Bargeldversorgung
1.1.1 Autorisierungssystem System zur Autorisierung angefragter Transaktionsbeträge bei Transaktionen aus Geldautomatensystemen durch das kontoführende Institut oder den Zahlungsdienstleister 15 Mio.Transaktionen
1.1.2 Anbindung an Autorisierungssystem System zur Anbindung des Geldautomatenbetreibers an ein Autorisierungssystem des kontoführenden Instituts 15 Mio.Transaktionen
1.2.1 Aufbereitung durch Geldautomatenbetreiber System zur Verarbeitung von Nachrichten oder Transaktionen aus Geldautomatensystemen, um die Transaktion in den Zahlungsverkehr einzubringen 15 Mio.Transaktionen
1.2.2 Anbindung an Interbanken-Zahlungsverkehrssystem System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrs-Systeme anbinden 18 Mio.Transaktionen
1.2.3 Clearing-System das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet 18 Mio.Transaktionen
1.2.4 Settlement-System zur Verrechnung von Beträgen zwischen den partizipierenden Instituten 18 Mio.Transaktionen
1.3.1 Kontoführungssystem der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten 15 Mio.verbuchten Transaktionen
1.4.1 Cash Center in denen Bargeld geprüft, gezählt, sortiert, gelagert oder wieder ausgegeben wird 93,5 Mio.bearbeitete Banknoten/
1.4.2 IT-System für das Cash Management zur Berichterstattung, zur Bestellung von Bargeld und zum Cash Management des Wertdienstleisters 93,5 Mio.bearbeitete Banknoten/
2.
Kartengestützter Zahlungs­verkehr nach (EU) 2015/751
2.1.1 Autorisierungssystem System zur Autorisierung von angefragten Transaktionsbeträgen bei Transaktionen aus dem kartengestützten Zahlungsverkehr nach Prüfung der Kartendaten durch das kontoführende Institut oder den Zahlungsdienstleister 21,5 Mio.autorisierte Transaktionen
2.1.2 Anbindung an Autorisierungssystem System zur Anbindung des Terminalbetreibers (z.B. Netzbetreiber) an ein Autorisierungssystem oder von Transaktionen zum zuständigen Autorisierungssystem 21,5 Mio.autorisierte Transaktionen
2.2.1 Aufbereitung POS-Terminalbetreiber System eines Netzbetreibers oder POS-Terminalbetreibers, welches Nachrichten oder Transaktionen von POS-Terminals verarbeitet, um Transaktionen in den Zahlungsverkehr einzubringen 21,5 Mio.Transaktionen
2.2.2 Annahme POS-Transaktionsdaten System, das Transaktionen von einem Acquirer annimmt 21,5 Mio.Transaktionen
2.2.3 Anbindung an Interbanken-Zahlungsverkehrssystem System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrssysteme anbinden 18 Mio.Transaktionen
2.2.4 Clearing-System das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet 18 Mio.Transaktionen
2.2.5 Settlement-System zur Verrechnung von Beträgen zwischen den partizipierenden Instituten 18 Mio.Transaktionen des Clearing-Systems
2.3.1 Kontoführungssystem der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten 21,5 Mio.verbuchte Transaktionen
3.
Konventioneller Zahlungs­verkehr (EU) 260/2012
3.1.1 Annahme Überweisung oder Lastschrift System, mit dem Überweisungen oder Lastschriften des Zahlers durch den Zahlungsdienstleister oder das kontoführende Institut angenommen und verarbeitet werden 100 Mio.Transaktionen
3.2.1 Anbindung an Interbanken-Zahlungsverkehrssystem System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrs-Systeme anbinden 100 Mio.Transaktionen
3.2.2 Clearing-System das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet 100 Mio.Transaktionen
3.2.3 Settlement-System zur Verrechnung von Beträgen zwischen den partizipierenden Instituten 100 Mio.Transaktionen des Clearing-Systeme
3.3.1 Kontoführungssystem der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten 100 Mio.Transaktionen
4.
Wertpapier- und Derivat­geschäfte
4.1.1 System einer Clearingstelle oder einer zentralen Gegenpartei zur Verrechnung von Wertpapier- und Derivatgeschäften;
gemäß §1 Abs. 32 KWG
850 Tsd.Transaktionen
4.1.2 Anbindung für Verrechnung und Verbuchung System zur Anbindung eines Teilnehmers oder Handelsplattform zu einer Clearingstelle oder zentralen Gegenpartei sowie einer Clearingstelle oder zentralen Gegenpartei zu einer Verbuchungsstelle 850 Tsd.Transaktionen
4.2.1 Wertpapier-Settlement-System Wertpapierliefer- und -abrechnungs­system
EU 909/2014, Art. 2 Abs. 1 Nr. 10
850 Tsd.Transaktionen
4.2.2 Depotführungssystem zur Prüfung des Depotbestands und für Transaktionen von Depots 850 Tsd.Transaktionen
4.2.3 Zentralverwahrer System eines Zentralverwahrers EU 909/2014, Art. 2 Abs. 1 Nr. 1 850 Tsd.Transaktionen
4.3.1 Aufbereitung Zahlungsanweisung System eines Betreibers, welches Wertpapier- oder Derivat­transaktionen mittelbar oder unmittelbar verarbeitet, um die Transaktionen in den Zahlungs­verkehr einzubringen 850 Tsd.Transaktionen
4.4.1
neu
Erzeugen von Aufträgen zum Handel System zur Annahme und Weiterleitung von Kundenaufträgen an Handelsplätze 6,75 Mio.Transaktionen
4.5.1
neu
Handelsplatz System im Sinne (EU) 2014/65 Artikel 4 Nr. 24 850 Tsd.Transaktionen
4.6.1
neu
Sonstige Depotführung System zur Prüfung des Depotbestands und für Transaktionen 6,75 Mio.Transaktionen
5.
Versicherungs­dienstleistungen
Lebensversicherung (LV), private Kranken­versicherung (PKV), Komposit­versicherung (Komp)
5.1.1
neu
Vertragsverwaltungs­system Speicherung/Verarbeitung von Informationen zum Versicherungs­vertrags­verhältnis 500 Tsd.
2 Mio.
500 Tsd.
Leistungsfälle LV
Leistungsfälle PKV
Leistungsfälle Komp
5.1.2
neu
Leistungssystem Bearbeitung von Leistungen Lebens- und private Kranken-Versicherungen 500 Tsd.
2 Mio.
Leistungsfälle LV
Leistungsfälle PKV
5.1.3 Schadenssystem Komposit Bearbeitung von Schäden Schaden- und Unfallversicherungen 500 Tsd.Leistungsfälle Komp
5.1.4
neu
Auszahlungssystem Auszahlung der Leistungen, Entschädigung oder Versicherungsleistung an Zahlungsempfänger 500 Tsd.
2 Mio.
Leistungsfälle LV
Leistungsfälle PKV
Sozialversicherung und Grundsicherung: Unfallversicherung (UV), Arbeitslosen­versicherung (AV), Rentenversicherung (RV), gesetzliche Krankenversicherung (GKV), Pflegeversicherung (PV), Grundsicherung
5.2.1 Verwaltungs- und Zahlungssystem gesetzliche Kranken- und Pflege­versicherung integriertes Anwendungssystem im Bereich der gesetzlichen Kranken- und Pflege­versicherung 3 Mio.Versicherte GKV/PV
5.2.2 Leistungssystem integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsrechtlichen Entgeltersatz­leistungen der gesetzlichen Renten-, Unfall- und Arbeitslosenversicherung 500 Tsd.
500 Tsd.

500 Tsd.
Leistungsfälle UV/AV
Versicherungskonten RV
Leistungsfälle Grundsicherung
5.2.3 Auszahlungssystem Auszahlung der Leistungen, Entschädigung oder Versicherungsleistung an Zahlungs­empfänger 500 Tsd.
500 Tsd.

500 Tsd.
Leistungsfälle UV/AV
Versicherungskonten RV
Leistungsfälle Grundsicherung
Entfallene Anlagen
5.1.1 Vertragsverwaltungs­system (Lebensversicherung) zur Speicherung und Verarbeitung von Informationen zum Versicherungsvertragsverhältnis 500 Tsd.Leistungsfälle
5.1.4 Leistungssystem (Lebensversicherung) zur Bearbeitung von Leistungen im Bereich Lebensversicherung 500 Tsd.Leistungsfälle
5.1.8 Auszahlungssystem (Lebensversicherung) Auszahlung der Entschädigung oder Versicherungsleistung an Zahlungsempfänger 500 Tsd.Leistungsfälle
5.1.2 Vertragsverwaltungs­system (private Krankenversicherung) zur Speicherung und Verarbeitung von Informationen zum Versicherungsvertragsverhältnis 2 Mio.Leistungsfälle
5.1.6 Leistungssystem (private Krankenversicherung) zur Bearbeitung von Leistungen im Bereich der privaten Krankenversicherung 2 Mio.Leistungsfälle
5.1.10 Auszahlungssystem (private Krankenversicherung) Auszahlung der Entschädigung oder Versicherungsleistung an Zahlungsempfänger 2 Mio.Leistungsfälle
5.1.3 Vertragsverwaltungs­system (Komposit) zur Speicherung und Verarbeitung von Informationen zum Versicherungsvertragsverhältnis 500 Tsd.Schadensfälle
5.1.11 Auszahlungssystem (Komposit) Auszahlung der Entschädigung oder Versicherungsleistung an Zahlungsempfänger 500 Tsd.Schadensfälle

up

Schwellenwerte

Bargeldversorgung

Für die Bargeldversorgung an Geldautomaten (1.1.1 bis 1.2.1, 1.3.1) berechnet sich der Schwellenwert aus 30 Transaktionen pro Person pro Jahr mit inländischen Karten an Geldautomaten für 500.000 versorgte Personen:

Für die Bargeldversorgung in Cash-Centern (1.4.1 und 1.4.2) berechnet sich der Schwellenwert aus 187 bearbeiteten Banknoten pro Person pro Jahr für 500.000 versorgte Personen

Zahlungsverkehr

Der Schwellenwert für Anlagen des Zahlungsverkehrs (1.2.2 und 2.2.3), Clearing (1.2.3 und 2.2.4) und Settlement (1.2.4 und 2.2.5) berechnet sich aus 36 Transaktionen pro Person pro Jahr mit inländischen Karten an POS-Terminals und Geldautomaten für 500.000 versorgte Personen:

Kartengestützer Zahlungsverkehr

Für Zahlungsverkehr mit Karten (2.1.1 bis 2.2.2, 2.3.1) berechnet sich der Schwellenwert aus 43 Transaktionen pro Person pro Jahr mit inländischen Karten an POS-Terminals für 500.000 versorgte Personen:

Konventioneller Zahlungsverkehr

Für konventionellen Zahlungsverkehr mit Überweisungen und Lastschriften (3.1.1 bis 3.3.1) berechnet sich der Schwellenwert aus 200 Transaktionen pro Person pro Jahr für 500.000 versorgte Personen:

Wertpapier- und Derivatgeschäften

Für die Abwicklung von Geschäften mit Wertpapieren und Derivaten (4.1.1 bis 4.3.1, 4.5.1) berechnet sich der Schwellenwert aus 1,7 Transaktionen pro Person pro Jahr, bei den Aufträgen für Handel und sonstige Depotführung aus 13,5 Transaktionen pro Person pro Jahr für 500.000 versorgte Personen:

Versicherungen

Für Lebensversicherungen, Schaden-/Unfallversicherungen (Komposit) und Sozialversicherungen (gesetzliche Renten-, Unfall-, Arbeitslosen-Versicherung) ist der Schwellenwert direkt 500. Tsd. (bzw. 1 Leistungsfall pro Person pro Jahr):

Für die privaten Krankenversicherungen berechnet sich der Schwellenwert aus 4 Leistungsfällen pro Person pro Jahr für 500.000 versorgte Personen:

Für die gesetzlichen Kranken- und Pflegeversicherungen (ist der Schwellenwert in der KritisV ohne Herleitung:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahres ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

up

Regulierung und Standards

Weitere Gesetze

BaFin und EZB

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) teilt sich mit dem BSI die Aufsicht von KRITIS-Betreibern aus dem Finanz- und Versicherungssektor: Banken, Versicherungen und ihren Dienstleistern. Betreiber im Sektor unterliegen neben dem BSIG teilweise dem KWG, ZAG oder auch der SSM-Verordnung und Regulierung der Europäischen Zentralbank (EZB).

BAIT

Für die Belange dieser Betreiber gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Betreiber Kritischer Infrastrukturen. Das soll Doppel­belastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Industrienormen

up

Weitere Informationen

Literatur

Weitere Literatur zum Sektor und seinen Branchen.

  1. Aufsicht über Kritische Infrastrukturen im Finanzwesen - ein Überblick über den Status quo, BaFinPerspektiven 1 2020, Bundesanstalt für Finanzdienstleistungsaufsicht, Mai 2020
  2. ENISA-Studie EU Cybersecurity Initiatives in the Finance Sector, European Union Agency for Cybersecurity, March 2021

Quellen

  1. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
  2. Gesetz über das Kreditwesen (Kreditwesengesetz - KWG) in der Fassung der Bekanntmachung vom 9. September 1998 (BGBl. I S. 2776), das zuletzt durch Artikel 4 Absatz 7 des Gesetzes vom 10. Juli 2020 (BGBl. I S. 1633) geändert worden ist
  3. VERORDNUNG (EU) Nr. 909/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Juli 2014, zur Verbesserung der Wertpapierlieferungen und -abrechnungen in der Europäischen Union und über Zentralverwahrer sowie zur Änderung der Richtlinien 98/26/EG und 2014/65/EU und der Verordnung (EU) Nr. 236/2012