Finanzen/Versicherungen
Im Sektor Finanzen und Versicherungen versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit fünf kritischen Dienstleistungen – Bargeld, Zahlungsverkehr, Wertpapiere und Derivatesowie Versicherungen. Diese regulierten Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2, KRITIS und DORA geschützt werden.
KRITIS-Betreiber erbringen ihre kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2024 potenziell um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmensgrößen überschreiten. Ab 2025 kommt DORA für Finanzunternehmen hinzu.
| Nr. | Unternehmen | Scope |
|---|---|---|
| Betreiber kritischer Anlagen | Anlage über Schwellenwert (KRITIS) | |
KRITIS-Sektor Finanz- und Versicherungswesen:
|
||
| Besonders wichtige Einrichtung | Unternehmen (NIS2)
|
|
| Wichtige Einrichtung | Unternehmen (NIS2)
|
|
NIS2-Sektor Finanzwesen:
|
||
Regulierte Pflichten
NIS2 und KRITIS
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung. Die Gesetze werden wohl etwas verspätet 2025 in Kraft treten. Für Betreiber kritischer Anlagen, ehemals KRITIS, und die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.
| Thema | Betreiber kritischer Anlagen (KRITIS) | Einrichtungen | Finanzunternehmen | |
|---|---|---|---|---|
| Gesetz | NIS2-Umsetzung | KRITIS-Dachgesetz | NIS2-Umsetzung | DORA |
| Fristen | ab 2025 | ab 2026 | ab 2025 | ab 2025 |
| Scope | Kritische Anlage | Kritische Anlage** | Unternehmen* | Institut |
| Pflichten | Registrierung Vorfallsmeldungen Kundenmeldungen Sanktionen Prüfungen |
Registrierung Sanktionen |
Registrierung Vorfallsmeldungen Kundenmeldungen Sanktionen |
(Registrierung) Vorfallsmeldung Kundenmeldung Sanktionen Audits und Tests |
| Maßnahmen | Informationssicherheit Risikomanagement IT-Sicherheit Angriffserkennung SzA |
Risikomanagement Physische Sicherheit |
Informationssicherheit* Risikomanagement* IT-Sicherheit* |
IKT-Risikomanagement Informationssicherheit IT-Sicherheit Provider-Management |
| Nachweise | (Prüfungen)† | Stichproben | Audits und Berichte | |
| Regulator | BSI | BBK, BaFin, BA | BSI | BaFin, EZB, weitere |
Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.
KRITIS
Kritische Anlagen
Die folgenden KRITIS-Anlagen sind im Sektor Finanzen und Versicherungen in der KRITIS-Verordnung definiert. Betreiben Unternehmen diese kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie zu KRITIS-Betreibern mit vielen regulierten Pflichten.
| Nr. | Anlage | Beschreibung | Schwellenwert (pro Jahr) | |
|---|---|---|---|---|
| 1. | Bargeldversorgung | |||
| 1.1.1 | Autorisierungssystem | System zur Autorisierung angefragter Transaktionsbeträge bei Transaktionen aus Geldautomatensystemen durch das kontoführende Institut oder den Zahlungsdienstleister | 15 Mio. | Transaktionen |
| 1.1.2 | Anbindung an Autorisierungssystem | System zur Anbindung des Geldautomatenbetreibers an ein Autorisierungssystem des kontoführenden Instituts | 15 Mio. | Transaktionen |
| 1.2.1 | Aufbereitung durch Geldautomatenbetreiber | System zur Verarbeitung von Nachrichten oder Transaktionen aus Geldautomatensystemen, um die Transaktion in den Zahlungsverkehr einzubringen | 15 Mio. | Transaktionen |
| 1.2.2 | Anbindung an Interbanken-Zahlungsverkehrssystem | System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrs-Systeme anbinden | 18 Mio. | Transaktionen |
| 1.2.3 | Clearing-System | das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet | 18 Mio. | Transaktionen |
| 1.2.4 | Settlement-System | zur Verrechnung von Beträgen zwischen den partizipierenden Instituten | 18 Mio. | Transaktionen |
| 1.3.1 | Kontoführungssystem | der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten | 15 Mio. | verbuchten Transaktionen |
| 1.4.1 | Cash Center | in denen Bargeld geprüft, gezählt, sortiert, gelagert oder wieder ausgegeben wird | 93,5 Mio. | bearbeitete Banknoten/ |
| 1.4.2 | IT-System für das Cash Management | zur Berichterstattung, zur Bestellung von Bargeld und zum Cash Management des Wertdienstleisters | 93,5 Mio. | bearbeitete Banknoten/ |
| 2. | Kartengestützter Zahlungsverkehr nach (EU) 2015/751 | |||
| 2.1.1 | Autorisierungssystem | System zur Autorisierung von angefragten Transaktionsbeträgen bei Transaktionen aus dem kartengestützten Zahlungsverkehr nach Prüfung der Kartendaten durch das kontoführende Institut oder den Zahlungsdienstleister | 21,5 Mio. | autorisierte Transaktionen |
| 2.1.2 | Anbindung an Autorisierungssystem | System zur Anbindung des Terminalbetreibers (z.B. Netzbetreiber) an ein Autorisierungssystem oder von Transaktionen zum zuständigen Autorisierungssystem | 21,5 Mio. | autorisierte Transaktionen |
| 2.2.1 | Aufbereitung POS-Terminalbetreiber | System eines Netzbetreibers oder POS-Terminalbetreibers, welches Nachrichten oder Transaktionen von POS-Terminals verarbeitet, um Transaktionen in den Zahlungsverkehr einzubringen | 21,5 Mio. | Transaktionen |
| 2.2.2 | Annahme POS-Transaktionsdaten | System, das Transaktionen von einem Acquirer annimmt | 21,5 Mio. | Transaktionen |
| 2.2.3 | Anbindung an Interbanken-Zahlungsverkehrssystem | System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrssysteme anbinden | 18 Mio. | Transaktionen |
| 2.2.4 | Clearing-System | das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet | 18 Mio. | Transaktionen |
| 2.2.5 | Settlement-System | zur Verrechnung von Beträgen zwischen den partizipierenden Instituten | 18 Mio. | Transaktionen des Clearing-Systems |
| 2.3.1 | Kontoführungssystem | der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten | 21,5 Mio. | verbuchte Transaktionen |
| 3. | Konventioneller Zahlungsverkehr (EU) 260/2012 | |||
| 3.1.1 | Annahme Überweisung oder Lastschrift | System, mit dem Überweisungen oder Lastschriften des Zahlers durch den Zahlungsdienstleister oder das kontoführende Institut angenommen und verarbeitet werden | 100 Mio. | Transaktionen |
| 3.2.1 | Anbindung an Interbanken-Zahlungsverkehrssystem | System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrs-Systeme anbinden | 100 Mio. | Transaktionen |
| 3.2.2 | Clearing-System | das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet | 100 Mio. | Transaktionen |
| 3.2.3 | Settlement-System | zur Verrechnung von Beträgen zwischen den partizipierenden Instituten | 100 Mio. | Transaktionen des Clearing-Systeme |
| 3.3.1 | Kontoführungssystem | der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten | 100 Mio. | Transaktionen |
| 4. | Wertpapier- und Derivatgeschäfte | |||
| 4.1.1 | System einer Clearingstelle | oder einer zentralen Gegenpartei zur Verrechnung von Wertpapier- und Derivatgeschäften; gemäß §1 Abs. 32 KWG |
850 Tsd. | Transaktionen |
| 4.1.2 | Anbindung für Verrechnung und Verbuchung | System zur Anbindung eines Teilnehmers oder Handelsplattform zu einer Clearingstelle oder zentralen Gegenpartei sowie einer Clearingstelle oder zentralen Gegenpartei zu einer Verbuchungsstelle | 850 Tsd. | Transaktionen |
| 4.2.1 | Wertpapier-Settlement-System | Wertpapierliefer- und -abrechnungssystem EU 909/2014, Art. 2 Abs. 1 Nr. 10 |
850 Tsd. | Transaktionen |
| 4.2.2 | Depotführungssystem | zur Prüfung des Depotbestands und für Transaktionen von Depots | 850 Tsd. | Transaktionen |
| 4.2.3 | Zentralverwahrer | System eines Zentralverwahrers EU 909/2014, Art. 2 Abs. 1 Nr. 1 | 850 Tsd. | Transaktionen |
| 4.3.1 | Aufbereitung Zahlungsanweisung | System eines Betreibers, welches Wertpapier- oder Derivattransaktionen mittelbar oder unmittelbar verarbeitet, um die Transaktionen in den Zahlungsverkehr einzubringen | 850 Tsd. | Transaktionen |
| 4.4.1 | Erzeugen von Aufträgen zum Handel | System zur Annahme und Weiterleitung von Kundenaufträgen an Handelsplätze | 6,75 Mio. | Transaktionen |
| 4.5.1 | Handelsplatz | System im Sinne (EU) 2014/65 Artikel 4 Nr. 24 | 850 Tsd. | Transaktionen |
| 4.6.1 | Sonstige Depotführung | System zur Prüfung des Depotbestands und für Transaktionen | 6,75 Mio. | Transaktionen |
| 5. | Versicherungsdienstleistungen | |||
| Lebensversicherung (LV), private Krankenversicherung (PKV), Kompositversicherung (Komp) | ||||
| 5.1.1 | Vertragsverwaltungssystem | Speicherung/Verarbeitung von Informationen zum Versicherungsvertragsverhältnis | 500 Tsd. 2 Mio. 500 Tsd. | Leistungsfälle LV Leistungsfälle PKV Leistungsfälle Komp |
| 5.1.2 | Leistungssystem | Bearbeitung von Leistungen Lebens- und private Kranken-Versicherungen | 500 Tsd. 2 Mio. | Leistungsfälle LV Leistungsfälle PKV |
| 5.1.3 | Schadenssystem Komposit | Bearbeitung von Schäden Schaden- und Unfallversicherungen | 500 Tsd. | Leistungsfälle Komp |
| 5.1.4 | Auszahlungssystem | Auszahlung der Leistungen, Entschädigung oder Versicherungsleistung an Zahlungsempfänger | 500 Tsd. 2 Mio. | Leistungsfälle LV Leistungsfälle PKV |
| Sozialversicherung und Grundsicherung: Unfallversicherung (UV), Arbeitslosenversicherung (AV), Rentenversicherung (RV), gesetzliche Krankenversicherung (GKV), Pflegeversicherung (PV), Grundsicherung | ||||
| 5.2.1 | Verwaltungs- und Zahlungssystem gesetzliche Kranken- und Pflegeversicherung | integriertes Anwendungssystem im Bereich der gesetzlichen Kranken- und Pflegeversicherung | 500 Tsd | Versicherte GKV/PV (ab 2024) |
| 5.2.2 | Leistungssystem | integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsrechtlichen Entgeltersatzleistungen der gesetzlichen Renten-, Unfall- und Arbeitslosenversicherung | 500 Tsd. 500 Tsd. 500 Tsd. | Leistungsfälle UV/AV Versicherungskonten RV Leistungsfälle Grundsicherung |
| 5.2.3 | Auszahlungssystem | Auszahlung der Leistungen, Entschädigung oder Versicherungsleistung an Zahlungsempfänger | 500 Tsd. 500 Tsd. 500 Tsd. | Leistungsfälle UV/AV Versicherungskonten RV Leistungsfälle Grundsicherung |
Die letzten Änderungen der aktuellen KRITIS-Verordnung von 2023:
- ⚡ ab 2024: Anlage Verwaltungs- und Zahlungssystem GKV/PV mit gesunkenem Schwellenwert von 3 Mio. auf 500 Tsd.
Schwellenwerte
Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.
Bargeldversorgung
Für die Bargeldversorgung an Geldautomaten (1.1.1 bis 1.2.1, 1.3.1) berechnet sich der Schwellenwert aus 30 Transaktionen pro Person pro Jahr mit inländischen Karten an Geldautomaten für 500.000 versorgte Personen:
- 15 Mio. Transaktionen pro Jahr
Für die Bargeldversorgung in Cash-Centern (1.4.1 und 1.4.2) berechnet sich der Schwellenwert aus 187 bearbeiteten Banknoten pro Person pro Jahr für 500.000 versorgte Personen
- 93,5 Mio. Banknoten pro Jahr
Zahlungsverkehr
Der Schwellenwert für Anlagen des Zahlungsverkehrs (1.2.2 und 2.2.3), Clearing (1.2.3 und 2.2.4) und Settlement (1.2.4 und 2.2.5) berechnet sich aus 36 Transaktionen pro Person pro Jahr mit inländischen Karten an POS-Terminals und Geldautomaten für 500.000 versorgte Personen:
- 18 Mio. Transaktionen pro Jahr
Kartengestützer Zahlungsverkehr
Für Zahlungsverkehr mit Karten (2.1.1 bis 2.2.2, 2.3.1) berechnet sich der Schwellenwert aus 43 Transaktionen pro Person pro Jahr mit inländischen Karten an POS-Terminals für 500.000 versorgte Personen:
- 21,5 Mio. Transaktionen pro Jahr
Konventioneller Zahlungsverkehr
Für konventionellen Zahlungsverkehr mit Überweisungen und Lastschriften (3.1.1 bis 3.3.1) berechnet sich der Schwellenwert aus 200 Transaktionen pro Person pro Jahr für 500.000 versorgte Personen:
- 100 Mio. Transaktionen pro Jahr
Wertpapier- und Derivatgeschäften
Für die Abwicklung von Geschäften mit Wertpapieren und Derivaten (4.1.1 bis 4.3.1, 4.5.1) berechnet sich der Schwellenwert aus 1,7 Transaktionen pro Person pro Jahr, bei den Aufträgen für Handel und sonstige Depotführung aus 13,5 Transaktionen pro Person pro Jahr für 500.000 versorgte Personen:
- 850 Tsd. Transaktionen pro Jahr (4.1.1 bis 4.3.1, 4.5.1)
- 6,75 Mio. Transaktionen pro Jahr (4.4.1, 4.6.1)
Versicherungen
Für Lebensversicherungen, Schaden-/Unfallversicherungen (Komposit) und Sozialversicherungen (gesetzliche Renten-, Unfall-, Arbeitslosen-Versicherung) ist der Schwellenwert direkt 500. Tsd. (bzw. 1 Leistungsfall pro Person pro Jahr):
- 500 Tsd. Leistungsfälle pro Jahr
Für die privaten Krankenversicherungen berechnet sich der Schwellenwert aus 4 Leistungsfällen pro Person pro Jahr für 500.000 versorgte Personen:
- 2 Mio. Leistungsfälle pro Jahr
Für die gesetzlichen Kranken- und Pflegeversicherungen (ist der Schwellenwert in der KritisV ohne Herleitung:
- 3 Mio. Versicherte
Fristen
Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.
- Für Kompositversicherungen (5.1.3, 5.1.7, 5.1.11) soll der Schwellenwert abweichend dazu durchschnittlich über drei Kalenderjahre gemittelt werden.
-
Bei Lebensversicherungen (5.1.1, 5.1.4, 5.1.8)
sind nur ablaufende Verträge mit Auszahlung der Versicherungsleistung zu berücksichtigen.
NIS2
Einrichtungen
Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.
| Nr. | Teilsektor | Einrichtungsart^ | Besonderheit |
|---|---|---|---|
| Finanzwesen (Sektor, Anlage 1) | |||
| 3.1 | Bankwesen (Teilsektor) | ||
| 3.1.1 | Kreditinstitute | Einrichtungen deren Tätigkeit darin besteht, Einlagen oder andere rückzahlbare Gelder des Publikums entgegenzunehmen und Kredite für eigene Rechnung zu gewähren |
|
| 3.2 | Finanzmarktinfrastruktur (Teilsektor) | ||
| 3.2.1 | Handelsplätze im Sinne §2 (22) WpHG | ||
| 3.2.2 | Zentrale Gegenparteien | Partei, die zwischen die Gegenparteien der auf einem oder mehreren Märkten gehandelten Kontrakte tritt und somit als Käufer für jeden Verkäufer bzw. als Verkäufer für jeden Käufer fungiert |
|
DORA-Ausschlüsse
Finanzunternehmen, die unter die DORA-Verordnung der EU fallen, können per Definition keine NIS2-Einrichtung werden und erhalten daher keine NIS2-Pflichten. Diese Unternehmen werden über DORA reguliert und nicht von NIS2. DORA auferlegt ihnen ähnliche, teils deutlich detailliertere Pflichten, die betroffene Unternehmen ab Januar 2025 anwenden müssen.
Regulierung und Standards
Gesetze Finanz- und Versicherungssektor
Bestimmte Betreiber im Finanz- und Versicherungssektor fallen neben KRITIS und NIS2 auch unter weitere Regulierung. Es entsteht Mehrfachregulierung für viele Betreiber.
Digital Operational Resilience Act (DORA)
Finanzunternehmen werden ab 2025 in der EU durch DORA, den Digital Operational Resilience Act reguliert. DORA betrifft viele Unternehmen im Finanz- und Versicherungssektor und muss ab Januar 2025 umgesetzt werden. Diese werden in DORA als Finanzunternehmen definiert und müssen umfangreiche Pflichten erfüllen, die über die NIS2-Anforderungen hinausgehen.
Unternehmen wie Kreditinstitute, Zahlungsdienstleister, Wertpapierfirmen, Ratingagenturen, Verwalter alternativer Investmentfonds, Versicherungs- und Rückversicherungsunternehmen u.a., die unter den Anwendungsbereich von DORA fallen, können per Definition keine NIS2-Einrichtung werden und sind daher von den NIS2-Pflichten ausgenommen.
Von DORA regulierten Betreibern kritischer Anlagen im Finanzsektor erwartet das BSI anscheinend laut eigener FAQ (Ist für Finanzunternehmen, die unter DORA fallen ...) seit Januar 2025 keine KRITIS-Prüfungen mehr.
BaFin und EZB
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) teilt sich mit dem BSI die Aufsicht von KRITIS-Betreibern aus dem Finanz- und Versicherungssektor: Banken, Versicherungen und ihren Dienstleistern. Betreiber im Sektor unterliegen neben dem BSIG teilweise dem KWG, ZAG oder auch der SSM-Verordnung und Regulierung der Europäischen Zentralbank (EZB).
BAIT
Für die Belange dieser Betreiber gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Betreiber Kritischer Infrastrukturen. Das soll Doppelbelastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.
Zur Vermeidung von Doppelregulierung sollen die BAIT ab Januar 2025 außer Kraft gesetzt werden, sobald DORA anzuwenden ist.
Branchenstandards
Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.
B3S
- Branchenspezifischer Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV, vdek & BAK GKV, Version 1.3.28 (gültig bis März 2025)
- Branchenspezifischer Sicherheitsstandard des Bundesverbandes der electronic cash-Netzbetreiber, BecN e.V., Version 2.0, Website des BSI (gültig bis Mai 2025)
- Branchenspezifischer Sicherheitsstandard Allianz Deutschland AG, Allianz ONE-Business Solutions GmbH, Verison 2.0, Website des BSI (gültig bis März 2025)
Industrienormen
- Rundschreiben 10/2017 (BA) - Bankaufsichtliche Anforderungen an die IT (BAIT), Bundesanstalt für Finanzdienstleistungsaufsicht, September 2018
Weitere Informationen
Literatur
- Aufsicht über Kritische Infrastrukturen im Finanzwesen - ein Überblick über den Status quo, BaFinPerspektiven 1 2020, Bundesanstalt für Finanzdienstleistungsaufsicht, Mai 2020
- ENISA-Studie EU Cybersecurity Initiatives in the Finance Sector, European Union Agency for Cybersecurity, March 2021
- Nachweise gemäß § 8a Absatz 3 BSIG,
Ist für Finanzunternehmen, die unter DORA fallen, ab dem 17. Januar 2025 die Abgabe eines KRITIS-Nachweises ... erforderlich?
, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik, Januar 2025
Quellen
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
- Gesetz über das Kreditwesen (Kreditwesengesetz - KWG) in der Fassung der Bekanntmachung vom 9. September 1998 (BGBl. I S. 2776), das zuletzt durch Artikel 4 Absatz 7 des Gesetzes vom 10. Juli 2020 (BGBl. I S. 1633) geändert worden ist
- VERORDNUNG (EU) Nr. 909/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Juli 2014, zur Verbesserung der Wertpapierlieferungen und -abrechnungen in der Europäischen Union und über Zentralverwahrer sowie zur Änderung der Richtlinien 98/26/EG und 2014/65/EU und der Verordnung (EU) Nr. 236/2012