Finanzen/Versicherungen

Financial industry picture

Im Sektor Finanzen und Versicherungen versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit fünf kritischen Dienst­leistungen – Bargeld, Zahlungsverkehr, Wertpapiere und Derivatesowie Versicherungen. Diese regulierten Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2, KRITIS und DORA geschützt werden.

KRITIS-Betreiber erbringen ihre kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2024 potenziell um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmens­größen überschreiten. Ab 2025 kommt DORA für Finanzunternehmen hinzu.

Nr. Unternehmen Scope
   Betreiber kritischer Anlagen Anlage über Schwellenwert (KRITIS)
KRITIS-Sektor Finanz- und Versicherungswesen:
   Besonders wichtige Einrichtung Unternehmen (NIS2)
  • ≥250 Mitarbeiter oder
  • >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz
   Wichtige Einrichtung Unternehmen (NIS2)
  • ≥50 Mitarbeiter oder
  • >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
NIS2-Sektor Finanzwesen:

Regulierte Pflichten

NIS2 und KRITIS

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) als auch die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Juli 2024
* - Ausschluss von NIS2 für Finanzunternehmen, für die EU DORA gilt
** - Finanzen und Versicherungen von Dachgesetz-Pflichten größtenteils ausgeschlossen
Thema Betreiber kritischer Anlagen Einrichtungen Finanzunternehmen
Gesetz NIS2-Umsetzung KRITIS-Dachgesetz NIS2-Umsetzung DORA
Fristen ab 2024 (eher 2025) ab 2026 ab 2024 (eher 2025) ab 2025
Scope Kritische Anlage Kritische Anlage** Unternehmen* Institut
Pflichten Registrierung
Vorfallsmeldungen
Kundenmeldungen
Sanktionen
Prüfungen
Registrierung
Vorfallsmeldungen

Sanktionen
Registrierung
Vorfallsmeldungen
Kundenmeldungen
Sanktionen
(Registrierung)
Vorfallsmeldung
Kundenmeldung
Sanktionen
Audits und Tests
Maßnahmen Informationssicherheit
Risikomanagement
IT-Sicherheit
Angriffserkennung SzA
Resilienz
Risikomanagement
Physische Sicherheit
Informationssicherheit*
Risikomanagement*
IT-Sicherheit*
IKT-Risikomanagement
Informationssicherheit

IT-Sicherheit
Provider-Management
Nachweise Prüfungen Teil von Audits Stichproben Audits und Berichte
Regulator BSI BBK, BaFin, BA BSI BaFin, EZB, weitere

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

up

KRITIS

Kritische Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Finanzen und Versicherungen in der KRITIS-Verordnung definiert. Betreiben Unternehmen kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie KRITIS-Betreiber.

aus BSI-KritisV September 2023, Anhang 6
Nr. Anlage Beschreibung Schwellenwert (pro Jahr)
1.
Bargeldversorgung
1.1.1 Autorisierungssystem System zur Autorisierung angefragter Transaktionsbeträge bei Transaktionen aus Geldautomatensystemen durch das kontoführende Institut oder den Zahlungsdienstleister 15 Mio.Transaktionen
1.1.2 Anbindung an Autorisierungssystem System zur Anbindung des Geldautomatenbetreibers an ein Autorisierungssystem des kontoführenden Instituts 15 Mio.Transaktionen
1.2.1 Aufbereitung durch Geldautomatenbetreiber System zur Verarbeitung von Nachrichten oder Transaktionen aus Geldautomatensystemen, um die Transaktion in den Zahlungsverkehr einzubringen 15 Mio.Transaktionen
1.2.2 Anbindung an Interbanken-Zahlungsverkehrssystem System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrs-Systeme anbinden 18 Mio.Transaktionen
1.2.3 Clearing-System das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet 18 Mio.Transaktionen
1.2.4 Settlement-System zur Verrechnung von Beträgen zwischen den partizipierenden Instituten 18 Mio.Transaktionen
1.3.1 Kontoführungssystem der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten 15 Mio.verbuchten Transaktionen
1.4.1 Cash Center in denen Bargeld geprüft, gezählt, sortiert, gelagert oder wieder ausgegeben wird 93,5 Mio.bearbeitete Banknoten/
1.4.2 IT-System für das Cash Management zur Berichterstattung, zur Bestellung von Bargeld und zum Cash Management des Wertdienstleisters 93,5 Mio.bearbeitete Banknoten/
2.
Kartengestützter Zahlungs­verkehr nach (EU) 2015/751
2.1.1 Autorisierungssystem System zur Autorisierung von angefragten Transaktionsbeträgen bei Transaktionen aus dem kartengestützten Zahlungsverkehr nach Prüfung der Kartendaten durch das kontoführende Institut oder den Zahlungsdienstleister 21,5 Mio.autorisierte Transaktionen
2.1.2 Anbindung an Autorisierungssystem System zur Anbindung des Terminalbetreibers (z.B. Netzbetreiber) an ein Autorisierungssystem oder von Transaktionen zum zuständigen Autorisierungssystem 21,5 Mio.autorisierte Transaktionen
2.2.1 Aufbereitung POS-Terminalbetreiber System eines Netzbetreibers oder POS-Terminalbetreibers, welches Nachrichten oder Transaktionen von POS-Terminals verarbeitet, um Transaktionen in den Zahlungsverkehr einzubringen 21,5 Mio.Transaktionen
2.2.2 Annahme POS-Transaktionsdaten System, das Transaktionen von einem Acquirer annimmt 21,5 Mio.Transaktionen
2.2.3 Anbindung an Interbanken-Zahlungsverkehrssystem System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrssysteme anbinden 18 Mio.Transaktionen
2.2.4 Clearing-System das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet 18 Mio.Transaktionen
2.2.5 Settlement-System zur Verrechnung von Beträgen zwischen den partizipierenden Instituten 18 Mio.Transaktionen des Clearing-Systems
2.3.1 Kontoführungssystem der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten 21,5 Mio.verbuchte Transaktionen
3.
Konventioneller Zahlungs­verkehr (EU) 260/2012
3.1.1 Annahme Überweisung oder Lastschrift System, mit dem Überweisungen oder Lastschriften des Zahlers durch den Zahlungsdienstleister oder das kontoführende Institut angenommen und verarbeitet werden 100 Mio.Transaktionen
3.2.1 Anbindung an Interbanken-Zahlungsverkehrssystem System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrs-Systeme anbinden 100 Mio.Transaktionen
3.2.2 Clearing-System das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet 100 Mio.Transaktionen
3.2.3 Settlement-System zur Verrechnung von Beträgen zwischen den partizipierenden Instituten 100 Mio.Transaktionen des Clearing-Systeme
3.3.1 Kontoführungssystem der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten 100 Mio.Transaktionen
4.
Wertpapier- und Derivat­geschäfte
4.1.1 System einer Clearingstelle oder einer zentralen Gegenpartei zur Verrechnung von Wertpapier- und Derivatgeschäften;
gemäß §1 Abs. 32 KWG
850 Tsd.Transaktionen
4.1.2 Anbindung für Verrechnung und Verbuchung System zur Anbindung eines Teilnehmers oder Handelsplattform zu einer Clearingstelle oder zentralen Gegenpartei sowie einer Clearingstelle oder zentralen Gegenpartei zu einer Verbuchungsstelle 850 Tsd.Transaktionen
4.2.1 Wertpapier-Settlement-System Wertpapierliefer- und -abrechnungs­system
EU 909/2014, Art. 2 Abs. 1 Nr. 10
850 Tsd.Transaktionen
4.2.2 Depotführungssystem zur Prüfung des Depotbestands und für Transaktionen von Depots 850 Tsd.Transaktionen
4.2.3 Zentralverwahrer System eines Zentralverwahrers EU 909/2014, Art. 2 Abs. 1 Nr. 1 850 Tsd.Transaktionen
4.3.1 Aufbereitung Zahlungsanweisung System eines Betreibers, welches Wertpapier- oder Derivat­transaktionen mittelbar oder unmittelbar verarbeitet, um die Transaktionen in den Zahlungs­verkehr einzubringen 850 Tsd.Transaktionen
4.4.1 Erzeugen von Aufträgen zum Handel System zur Annahme und Weiterleitung von Kundenaufträgen an Handelsplätze 6,75 Mio.Transaktionen
4.5.1 Handelsplatz System im Sinne (EU) 2014/65 Artikel 4 Nr. 24 850 Tsd.Transaktionen
4.6.1 Sonstige Depotführung System zur Prüfung des Depotbestands und für Transaktionen 6,75 Mio.Transaktionen
5.
Versicherungs­dienstleistungen
Lebensversicherung (LV), private Kranken­versicherung (PKV), Komposit­versicherung (Komp)
5.1.1 Vertragsverwaltungs­system Speicherung/Verarbeitung von Informationen zum Versicherungs­vertrags­verhältnis 500 Tsd.
2 Mio.
500 Tsd.
Leistungsfälle LV
Leistungsfälle PKV
Leistungsfälle Komp
5.1.2 Leistungssystem Bearbeitung von Leistungen Lebens- und private Kranken-Versicherungen 500 Tsd.
2 Mio.
Leistungsfälle LV
Leistungsfälle PKV
5.1.3 Schadenssystem Komposit Bearbeitung von Schäden Schaden- und Unfallversicherungen 500 Tsd.Leistungsfälle Komp
5.1.4 Auszahlungssystem Auszahlung der Leistungen, Entschädigung oder Versicherungsleistung an Zahlungsempfänger 500 Tsd.
2 Mio.
Leistungsfälle LV
Leistungsfälle PKV
Sozialversicherung und Grundsicherung: Unfallversicherung (UV), Arbeitslosen­versicherung (AV), Rentenversicherung (RV), gesetzliche Krankenversicherung (GKV), Pflegeversicherung (PV), Grundsicherung
5.2.1 Verwaltungs- und Zahlungssystem gesetzliche Kranken- und Pflege­versicherung integriertes Anwendungssystem im Bereich der gesetzlichen Kranken- und Pflege­versicherung 500 TsdVersicherte GKV/PV
(ab 2024)
5.2.2 Leistungssystem integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsrechtlichen Entgeltersatz­leistungen der gesetzlichen Renten-, Unfall- und Arbeitslosenversicherung 500 Tsd.
500 Tsd.

500 Tsd.
Leistungsfälle UV/AV
Versicherungskonten RV
Leistungsfälle Grundsicherung
5.2.3 Auszahlungssystem Auszahlung der Leistungen, Entschädigung oder Versicherungsleistung an Zahlungs­empfänger 500 Tsd.
500 Tsd.

500 Tsd.
Leistungsfälle UV/AV
Versicherungskonten RV
Leistungsfälle Grundsicherung

Die letzten Änderungen der aktuellen KRITIS-Verordnung von 2023:

up

Schwellenwerte

Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.

Bargeldversorgung

Für die Bargeldversorgung an Geldautomaten (1.1.1 bis 1.2.1, 1.3.1) berechnet sich der Schwellenwert aus 30 Transaktionen pro Person pro Jahr mit inländischen Karten an Geldautomaten für 500.000 versorgte Personen:

Für die Bargeldversorgung in Cash-Centern (1.4.1 und 1.4.2) berechnet sich der Schwellenwert aus 187 bearbeiteten Banknoten pro Person pro Jahr für 500.000 versorgte Personen

Zahlungsverkehr

Der Schwellenwert für Anlagen des Zahlungsverkehrs (1.2.2 und 2.2.3), Clearing (1.2.3 und 2.2.4) und Settlement (1.2.4 und 2.2.5) berechnet sich aus 36 Transaktionen pro Person pro Jahr mit inländischen Karten an POS-Terminals und Geldautomaten für 500.000 versorgte Personen:

Kartengestützer Zahlungsverkehr

Für Zahlungsverkehr mit Karten (2.1.1 bis 2.2.2, 2.3.1) berechnet sich der Schwellenwert aus 43 Transaktionen pro Person pro Jahr mit inländischen Karten an POS-Terminals für 500.000 versorgte Personen:

Konventioneller Zahlungsverkehr

Für konventionellen Zahlungsverkehr mit Überweisungen und Lastschriften (3.1.1 bis 3.3.1) berechnet sich der Schwellenwert aus 200 Transaktionen pro Person pro Jahr für 500.000 versorgte Personen:

Wertpapier- und Derivatgeschäften

Für die Abwicklung von Geschäften mit Wertpapieren und Derivaten (4.1.1 bis 4.3.1, 4.5.1) berechnet sich der Schwellenwert aus 1,7 Transaktionen pro Person pro Jahr, bei den Aufträgen für Handel und sonstige Depotführung aus 13,5 Transaktionen pro Person pro Jahr für 500.000 versorgte Personen:

Versicherungen

Für Lebensversicherungen, Schaden-/Unfallversicherungen (Komposit) und Sozialversicherungen (gesetzliche Renten-, Unfall-, Arbeitslosen-Versicherung) ist der Schwellenwert direkt 500. Tsd. (bzw. 1 Leistungsfall pro Person pro Jahr):

Für die privaten Krankenversicherungen berechnet sich der Schwellenwert aus 4 Leistungsfällen pro Person pro Jahr für 500.000 versorgte Personen:

Für die gesetzlichen Kranken- und Pflegeversicherungen (ist der Schwellenwert in der KritisV ohne Herleitung:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

up

NIS2

Einrichtungen

Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.

aus NIS2-Umsetzungsgesetz, Entwurf Stand Juni 2024
^ - gemeint sind immer ganze Unternehmen als Betreiber von ...
Nr. Teilsektor Einrichtungsart^ Besonderheit
Finanzwesen (Sektor, Anlage 1)
3.1
Bankwesen (Teilsektor)
3.1.1 Kreditinstitute Einrichtungen deren Tätigkeit darin besteht, Einlagen oder andere rückzahlbare Gelder des Publikums entgegenzunehmen und Kredite für eigene Rechnung zu gewähren
3.2
Finanzmarktinfrastruktur (Teilsektor)
3.2.1 Handelsplätze im Sinne §2 (22) WpHG
3.2.2 Zentrale Gegenparteien Partei, die zwischen die Gegenparteien der auf einem oder mehreren Märkten gehandelten Kontrakte tritt und somit als Käufer für jeden Verkäufer bzw. als Verkäufer für jeden Käufer fungiert

DORA-Ausschlüsse

Finanzunternehmen, die unter die DORA-Verordnung der EU fallen, können per Definition keine NIS2-Einrichtung werden und erhalten daher keine NIS2-Pflichten. Diese Unternehmen werden über DORA reguliert und nicht von NIS2. DORA auferlegt ihnen ähnliche, teils deutlich detailliertere Pflichten, die betroffene Unternehmen ab Januar 2025 anwenden müssen.

up

Regulierung und Standards

Gesetze Finanz- und Versicherungssektor

Bestimmte Betreiber im Finanz- und Versicherungssektor fallen neben KRITIS und NIS2 auch unter weitere Regulierung. Es entsteht Mehrfachregulierung für viele Betreiber.

Digital Operational Resilience Act (DORA)

Finanzunternehmen werden ab 2025 in der EU durch DORA, den Digital Operational Resilience Act reguliert. DORA betrifft viele Unternehmen im Finanz- und Versicherungssektor und muss ab Januar 2025 umgesetzt werden. Diese werden in DORA als Finanzunternehmen definiert und müssen umfangreiche Pflichten erfüllen, die über die NIS2-Anforderungen hinausgehen.

Unternehmen wie Kredit­institute, Zahlungs­dienstleister, Wertpapierfirmen, Ratingagenturen, Verwalter alternativer Investmentfonds, Versicherungs- und Rückversicherungsunternehmen u.a., die unter den Anwendungsbereich von DORA fallen, können per Definition keine NIS2-Einrichtung werden und sind daher von den NIS2-Pflichten ausgenommen.

BaFin und EZB

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) teilt sich mit dem BSI die Aufsicht von KRITIS-Betreibern aus dem Finanz- und Versicherungssektor: Banken, Versicherungen und ihren Dienstleistern. Betreiber im Sektor unterliegen neben dem BSIG teilweise dem KWG, ZAG oder auch der SSM-Verordnung und Regulierung der Europäischen Zentralbank (EZB).

BAIT

Für die Belange dieser Betreiber gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Betreiber Kritischer Infrastrukturen. Das soll Doppel­belastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.

Zur Vermeidung von Doppelregulierung sollen die BAIT ab Januar 2025 außer Kraft gesetzt werden, sobald DORA anzuwenden ist.

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Industrienormen

up

Weitere Informationen

Literatur

  1. Aufsicht über Kritische Infrastrukturen im Finanzwesen - ein Überblick über den Status quo, BaFinPerspektiven 1 2020, Bundesanstalt für Finanzdienstleistungsaufsicht, Mai 2020
  2. ENISA-Studie EU Cybersecurity Initiatives in the Finance Sector, European Union Agency for Cybersecurity, March 2021

Quellen

  1. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
  2. Gesetz über das Kreditwesen (Kreditwesengesetz - KWG) in der Fassung der Bekanntmachung vom 9. September 1998 (BGBl. I S. 2776), das zuletzt durch Artikel 4 Absatz 7 des Gesetzes vom 10. Juli 2020 (BGBl. I S. 1633) geändert worden ist
  3. VERORDNUNG (EU) Nr. 909/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Juli 2014, zur Verbesserung der Wertpapierlieferungen und -abrechnungen in der Europäischen Union und über Zentralverwahrer sowie zur Änderung der Richtlinien 98/26/EG und 2014/65/EU und der Verordnung (EU) Nr. 236/2012