KRITIS-Sektor Finanz- und Versicherungs­wesen

Im KRITIS-Sektor Finanz- und Versicherungswesen erbringen KRITIS-Betreiber fünf kritische Dienstleistungen zur Versorgung der Allgemeinheit mit Bargeld, Zahlungs­verkehr, Wertpapier-Geschäften und Versicherungen:

  1. Bargeldversorgung: Abhebungen, Einbringen in Zahlungsverkehr, Belastung Kundenkonto und Bargeldlogistik
  2. Kartengestützter Zahlungsverkehr: kartengebundene Autorisierung, Einbringen in Zahlungsverkehr, Belastung Kundenkonto und Gutschriften, im Sinne (EU) 2015/751
  3. Konventioneller Zahlungsverkehr: Annahme, Einbringen in Zahlungsverkehr, Belastung Kundenkonto und Gutschriften von Überweisungen und Lastschriften, im Sinne (EU) 260/2012
  4. Wertpapier- und Derivatgeschäfte: Verrechnung und Verbuchung
  5. Versicherungsdienstleistungen: Inanspruchnahme

Erbringt ein Betreiber im Sektor diese kritischen Dienstleistungen in eigenen Anlagen und überschreitet dabei Schwellenwerte von 500 Tsd. versorgten Personen, wird er zum KRITIS-Betreiber. Die Anlagen und Schwellenwerte im Sektor sind unten aufgelistet.

KRITIS-Betreiber

Änderungen IT-Sicherheitsgesetz 2.0

2.0 Mit dem Entwurf der neuen KRITIS-Verordnung 2.0 ändern sich die Definitionen der Anlagen im Sektor wahrscheinlich:

  1. Wertpapiere: Die neuen Anlagen Erzeugen von Aufträgen zum Handel, Handelsplatz und sonstige Depotführung kommen dazu.
  2. Versicherungen: Die Anlagen werden formell konsolidiert, bleiben inhaltlich aber bestehen. Systeme sind nun einmal und nicht mehrfach für alle Versicherungen definiert. Aus den zwölf Anlagen werden fünf (mit unterschiedlichen Schwellenwerten je Versicherungsart).
IT-SiG 2.0

DE Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

Pflichten als Kritische Infrastruktur

Unternehmen, die mit ihren Anlagen die definierten Schwellenwerte als Kritische Infrastruktur überschreiten, fallen als KRITIS-Betreiber unter die KRITIS-Regulierung und unterliegen dann einer Fülle von Cyber Security Pflichten:

  1. Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
  2. Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
  3. KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
  4. KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
  5. Cyber Security in KRITIS: Technische und organisatorische Maßnahmen zum Management von IT-Sicherheit (ISMS), Risiken, Kontinuität (BCMS) und Technologien
  6. KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfungen nachweisen

up

Anlagen

Der Sektor Finanz- und Versicherungswesen definiert sehr viele Anlagen und Schwellenwerte und vereint dabei sehr diverse Branchen und Betreiber.

aus BSI-KritisV Stand Juni 2017, Anhang 6, S. 14-18
Nr. Anlage Beschreibung Schwellenwert (pro Jahr)
1. Bargeldversorgung (Dienstleistung)
1.1.1 Autorisierungssystem System zur Autorisierung angefragter Transaktionsbeträge bei Transaktionen aus Geldautomatensystemen durch das kontoführende Institut oder den Zahlungsdienstleister 15 Mio.Transaktionen
1.1.2 Anbindung an Autorisierungssystem System zur Anbindung des Geldautomatenbetreibers an ein Autorisierungssystem des kontoführenden Instituts 15 Mio.Transaktionen
1.2.1 Aufbereitung durch Geldautomatenbetreiber System zur Verarbeitung von Nachrichten oder Transaktionen aus Geldautomatensystemen, um die Transaktion in den Zahlungsverkehr einzubringen 15 Mio.Transaktionen
1.2.2 Anbindung an Interbanken-Zahlungsverkehrssystem System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrs-Systeme anbinden 18 Mio.Transaktionen
1.2.3 Clearing-System das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet 18 Mio.Transaktionen
1.2.4 Settlement-System zur Verrechnung von Beträgen zwischen den partizipierenden Instituten 18 Mio.Transaktionen der kritischen Clearing-Systeme
1.3.1 Kontoführungssystem der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten 15 Mio.dienstleistungsbezogene Transaktionen
1.4.1 Cash Center in denen Bargeld geprüft, gezählt, sortiert, gelagert oder wieder ausgegeben wird 93,5 Mio.kumuliert bearbeitete Banknoten/
1.4.2 IT-System für das Cash Management zur Berichterstattung, zur Bestellung von Bargeld und zum Cash Management des Wertdienstleisters 93,5 Mio.kumuliert bearbeitete Banknoten/
2. Kartengestützter Zahlungsverkehr (Dienstleistung)
2.1.1 Autorisierungssystem System zur Autorisierung von angefragten Transaktionsbeträgen bei Transaktionen aus dem kartengestützten Zahlungsverkehr nach Prüfung der Kartendaten durch das kontoführende Institut oder den Zahlungsdienstleister 21,5 Mio.dienstleistungsbezogene Transaktionen
2.1.2 Anbindung an Autorisierungssystem System zur Anbindung des Terminalbetreibers (z.B. Netzbetreiber) an ein Autorisierungssystem oder von Transaktionen zum zuständigen Autorisierungssystem 21,5 Mio.dienstleistungsbezogene Transaktionen
2.2.1 Aufbereitung POS-Terminalbetreiber System eines Netzbetreibers oder POS-Terminalbetreibers, welches Nachrichten oder Transaktionen von POS-Terminals verarbeitet, um Transaktionen in den Zahlungsverkehr einzubringen 21,5 Mio.Transaktionen
2.2.2 Annahme POS-Transaktionsdaten System, das Transaktionen von einem Acquirer annimmt 21,5 Mio.Transaktionen
2.2.3 Anbindung an Interbanken-Zahlungsverkehrssystem System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrssysteme anbinden 18 Mio.Transaktionen
2.2.4 Clearing-System das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet 18 Mio.Transaktionen
2.2.5 Settlement-System zur Verrechnung von Beträgen zwischen den partizipierenden Instituten 18 Mio.Transaktionen
2.3.1 Kontoführungssystem der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten 21,5 Mio.dienstleistungsbezogene Transaktionen
3. Konventioneller Zahlungsverkehr (Dienstleistung)
3.1.1 Annahme Überweisung oder Lastschrift System, mit dem Überweisungen oder Lastschriften des Zahlers durch den Zahlungsdienstleister oder das kontoführende Institut angenommen und verarbeitet werden 100 Mio.Transaktionen
3.2.1 Anbindung an Interbanken-Zahlungsverkehrssystem System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrs-Systeme anbinden 100 Mio.dienstleistungsbezogene Transaktionen
3.2.2 Clearing-System das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet 100 Mio.dienstleistungsbezogene Transaktionen
3.2.3 Settlement-System zur Verrechnung von Beträgen zwischen den partizipierenden Instituten 100 Mio.Transaktionen der kritischen Clearing-Systeme
3.3.1 Kontoführungssystem der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten 100 Mio.dienstleistungsbezogene Transaktionen
4. Wertpapier- und Derivatgeschäfte (Dienstleistung)
4.1.1 System einer Clearingstelle oder einer zentralen Gegenpartei zur Verrechnung von Wertpapier- und Derivatgeschäften gemäß §1 Abs. 32 KWG 850 Tsd.Transaktionen
4.1.2 Anbindung für Verrechnung und Verbuchung System zur Anbindung eines Teilnehmers oder Handelsplattform zu einer Clearingstelle oder zentralen Gegenpartei sowie einer Clearingstelle oder zentralen Gegenpartei zu einer Verbuchungsstelle 850 Tsd.Transaktionen
4.2.1 Wertpapier-Settlement-System Wertpapierliefer- und -abrechnungs-system gem. EU 909/2014, Art. 2 Abs. 1 Nr. 10 850 Tsd.Transaktionen
4.2.2 Depotführungssystem zur Prüfung des Depotbestands und für Transaktionen von Depots 850 Tsd.Transaktionen
4.2.3 Zentralverwahrer System eines Zentralverwahrers gem. EU 909/2014, Art. 2 Abs. 1 Nr. 1 850 Tsd.Transaktionen
4.3.1 Aufbereitung Zahlungsanweisung System eines Betreibers, welches Wertpapier- oder Derivattransaktionen mittelbar oderunmittelbar verarbeitet, um die Transaktionen in den Zahlungsverkehr einzubringen 850 Tsd.Transaktionen
5. Versicherungsdienstleistungen (Dienstleistung)
Lebensversicherungen
5.1.1 Vertragsverwaltungssystem (Lebensversicherung) zur Speicherung und Verarbeitung von Informationen zum Versicherungsvertragsverhältnis 500 Tsd.Leistungsfälle
5.1.4 Leistungssystem (Lebensversicherung) zur Bearbeitung von Leistungen im Bereich Lebensversicherung 500 Tsd.Leistungsfälle
5.1.8 Auszahlungssystem (Lebensversicherung) Auszahlung der Entschädigung oder Versicherungsleistung an Zahlungsempfänger 500 Tsd.Leistungsfälle
Private Krankenversicherung
5.1.2 Vertragsverwaltungssystem (private Krankenversicherung) zur Speicherung und Verarbeitung von Informationen zum Versicherungsvertragsverhältnis 2 Mio.Leistungsfälle
5.1.6 Leistungssystem (private Krankenversicherung) zur Bearbeitung von Leistungen im Bereich der privaten Krankenversicherung 2 Mio.Leistungsfälle
5.1.10 Auszahlungssystem (private Krankenversicherung) Auszahlung der Entschädigung oder Versicherungsleistung an Zahlungsempfänger 2 Mio.Leistungsfälle
Kompositversicherung
5.1.3 Vertragsverwaltungssystem (Komposit) zur Speicherung und Verarbeitung von Informationen zum Versicherungsvertragsverhältnis 500 Tsd.Schadensfälle
5.1.7 Schadensystem (Komposit) zur Bearbeitung von Schäden im Bereich der Schaden- und Unfallversicherungen 500 Tsd.Schadensfälle
5.1.11 Auszahlungssystem (Komposit) Auszahlung der Entschädigung oder Versicherungsleistung an Zahlungsempfänger 500 Tsd.Schadensfälle
5.1.5 Leistungssystem (Sozialversicherungsträger) integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsrechtlichen Entgeltersatzleistungen der gesetzlichen Renten-, Unfall- und Arbeitslosenversicherung 500 Tsd.Leistungsfälle
Sozialversicherungsträger
5.1.9 Auszahlungssystem (Sozialversicherungsträger) Auszahlung der Entschädigung oder Versicherungsleistung an Zahlungsempfänger 500 Tsd.Leistungsfälle
Gesetzliche Kranken- und Pflegeversicherung
5.1.12 Verwaltungs- und Zahlungssystem gesetzliche Kranken- und Pflegeversicherung integriertes Anwendungssystem im Bereich der gesetzlichen Kranken- und Pflegeversicherung 3 Mio.Versicherte

up

Weitere Regulierung

BaFin und EZB

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) teilt sich mit dem BSI die Aufsicht von KRITIS-Betreibern aus dem Finanz- und Versicherungssektor — Banken, Versicherungen und ihren Dienstleistern. Betreiber im Sektor unterliegen neben dem BSIG teilweise dem KWG, dem ZAG oder auch der SSM-Verordnung und der Regulierung der Europäischen Zentralbank (EZB).

BAIT

Für die Belange dieser Betreiber gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Betreiber Kritischer Infrastrukturen. Das soll Doppelbelastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.

up

Schwellenwerte

Die Schwellenwerte im Sektor Finanz- und Versicherungswesen sind wie folgt.

Bargeldversorgung

Für die Bargeldversorgung an Geldautomaten (1.1.1 bis 1.2.1, 1.3.1) berechnet sich der Schwellenwert aus 30 Transaktionen pro Person pro Jahr mit inländischen Karten an Geldautomaten für 500.000 versorgte Personen:

Für die Bargeldversorgung in Cash-Centern (1.4.1 und 1.4.2) berechnet sich der Schwellenwert aus 187 bearbeiteten Banknoten pro Person pro Jahr für 500.000 versorgte Personen

Zahlungsverkehr

Der Schwellenwert für Anlagen des Zahlungsverkehrs (1.2.2 und 2.2.3), Clearing (1.2.3 und 2.2.4) und Settlement (1.2.4 und 2.2.5) berechnet sich aus 36 Transaktionen pro Person pro Jahr mit inländischen Karten an POS-Terminals und Geldautomaten für 500.000 versorgte Personen:

Kartengestützer Zahlungsverkehr

Für Zahlungsverkehr mit Karten (2.1.1 bis 2.2.2, 2.3.1) berechnet sich der Schwellenwert aus 43 Transaktionen pro Person pro Jahr mit inländischen Karten an POS-Terminals für 500.000 versorgte Personen:

Konventioneller Zahlungsverkehr

Für konventionellen Zahlungsverkehr mit Überweisungen und Lastschriften (3.1.1 bis 3.3.1) berechnet sich der Schwellenwert aus 200 Transaktionen pro Person pro Jahr für 500.000 versorgte Personen:

Wertpapier- und Derivatgeschäften

Für die Abwicklung von Geschäften mit Wertpapieren und Derivaten (4.1.1 bis 4.3.1) berechnet sich der Schwellenwert aus 1,7 Transaktionen pro Person pro Jahr für 500.000 versorgte Personen:

Versicherungen

Für Lebensversicherungen (5.1.1, 5.1.4, 5.1.8), Schaden-/Unfallversicherungen (Komposit) (5.1.3, 5.1.7, 5.1.11) und Sozialversicherungen (gesetzliche Renten-, Unfall-, Arbeitslosen-Versicherung) (5.1.5, 5.1.9) ist der Schwellenwert direkt 500. Tsd. (bzw. 1 Leistungsfall pro Person pro Jahr):

Für die privaten Krankenversicherungen (5.1.2, 5.1.6 und 5.1.10) berechnet sich der Schwellenwert aus 4 Leistungsfällen pro Person pro Jahr für 500.000 versorgte Personen:

Für die gesetzlichen Kranken- und Pflegeversicherungen (5.1.12) ist der Schwellenwert in der KritisV ohne Herleitung:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahres ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

up

Weitere Informationen

Literatur

Weitere Literatur zum Sektor und seinen Branchen.

  1. Aufsicht über Kritische Infrastrukturen im Finanzwesen - ein Überblick über den Status quo, BaFinPerspektiven 1 2020, Bundesanstalt für Finanzdienstleistungsaufsicht, Mai 2020
  2. ENISA-Studie EU Cybersecurity Initiatives in the Finance Sector, European Union Agency for Cybersecurity, March 2021

Branchenstandards

Für den Sektor gibt es branchenspezifische Sicherheitsstandards (B3S) und das BAIT-Rundschreiben von der BaFin:

  1. Branchenspezifischer Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer B3S-GKV/PV (Ersatzkassen), Webseite des BSI
  2. B3S Allianz Deutschland AG 1.0, Webseite des BSI
  3. Rundschreiben 10/2017 (BA) - Bankaufsichtliche Anforderungen an die IT (BAIT), Bundesanstalt für Finanzdienstleistungsaufsicht, September 2018

Quellen

  1. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  2. Gesetz über das Kreditwesen (Kreditwesengesetz - KWG) in der Fassung der Bekanntmachung vom 9. September 1998 (BGBl. I S. 2776), das zuletzt durch Artikel 4 Absatz 7 des Gesetzes vom 10. Juli 2020 (BGBl. I S. 1633) geändert worden ist
  3. VERORDNUNG (EU) Nr. 909/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Juli 2014, zur Verbesserung der Wertpapierlieferungen und -abrechnungen in der Europäischen Union und über Zentralverwahrer sowie zur Änderung der Richtlinien 98/26/EG und 2014/65/EU und der Verordnung (EU) Nr. 236/2012