KRITIS Finanz und Versicherungen
Im KRITIS-Sektor Finanz- und Versicherungswesen erbringen KRITIS-Betreiber fünf kritische Dienstleistungen zur Versorgung der Allgemeinheit mit Bargeld, Zahlungsverkehr, Wertpapier-Geschäften und Versicherungen:
- Bargeldversorgung: Abhebungen, Einbringen in Zahlungsverkehr, Belastung Kundenkonto und Bargeldlogistik
- Kartengestützter Zahlungsverkehr: Kartengebundene Autorisierung, Einbringen in Zahlungsverkehr, Belastung Kundenkonto und Gutschriften
- Konventioneller Zahlungsverkehr: Annahme, Einbringen in Zahlungsverkehr, Belastung Kundenkonto, Gutschriften von Überweisungen und Lastschriften
- Wertpapier- und Derivatgeschäfte: Verrechnung, Verbuchung, Handel
- Versicherungsdienstleistungen, Sozialversicherung, Grundsicherung: Verwaltung, Leistung, Auszahlung (u.a. Leben, PKV, Komposit, UV, AV, GKV)
Erbringen Betreiber diese kritischen Dienstleistungen in eigenen Anlagen und überschreiten dabei Schwellenwerte (meist 500 Tsd. versorgte Personen), werden sie KRITIS-Betreiber.
KRITIS-Betreiber
Pflichten als Kritische Infrastruktur
KRITIS-Betreiber unterliegen der KRITIS-Regulierung mit Pflichten für IT-Sicherheit:
- Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
- Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
- KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
- KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
- Cyber Security in KRITIS: Management von Sicherheit (ISMS), Notfällen (BCM) und Risiken und technischen Maßnahmen, Sicherheitsstandards.
- Angriffserkennung (ab 5/2023): Systeme und Prozesse zum Monitoring, Erkennung und Reaktion auf Cyber Angriffe (nach der BSI OH SzA)
- KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfung nachweisen
Anlagen
Der Sektor Finanz- und Versicherungswesen definiert sehr viele Anlagen und Schwellenwerte:
Nr. | Anlage | Beschreibung | Schwellenwert (pro Jahr) | |
---|---|---|---|---|
1. | Bargeldversorgung | |||
1.1.1 | Autorisierungssystem | System zur Autorisierung angefragter Transaktionsbeträge bei Transaktionen aus Geldautomatensystemen durch das kontoführende Institut oder den Zahlungsdienstleister | 15 Mio. | Transaktionen |
1.1.2 | Anbindung an Autorisierungssystem | System zur Anbindung des Geldautomatenbetreibers an ein Autorisierungssystem des kontoführenden Instituts | 15 Mio. | Transaktionen |
1.2.1 | Aufbereitung durch Geldautomatenbetreiber | System zur Verarbeitung von Nachrichten oder Transaktionen aus Geldautomatensystemen, um die Transaktion in den Zahlungsverkehr einzubringen | 15 Mio. | Transaktionen |
1.2.2 | Anbindung an Interbanken-Zahlungsverkehrssystem | System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrs-Systeme anbinden | 18 Mio. | Transaktionen |
1.2.3 | Clearing-System | das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet | 18 Mio. | Transaktionen |
1.2.4 | Settlement-System | zur Verrechnung von Beträgen zwischen den partizipierenden Instituten | 18 Mio. | Transaktionen |
1.3.1 | Kontoführungssystem | der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten | 15 Mio. | verbuchten Transaktionen |
1.4.1 | Cash Center | in denen Bargeld geprüft, gezählt, sortiert, gelagert oder wieder ausgegeben wird | 93,5 Mio. | bearbeitete Banknoten/ |
1.4.2 | IT-System für das Cash Management | zur Berichterstattung, zur Bestellung von Bargeld und zum Cash Management des Wertdienstleisters | 93,5 Mio. | bearbeitete Banknoten/ |
2. | Kartengestützter Zahlungsverkehr nach (EU) 2015/751 | |||
2.1.1 | Autorisierungssystem | System zur Autorisierung von angefragten Transaktionsbeträgen bei Transaktionen aus dem kartengestützten Zahlungsverkehr nach Prüfung der Kartendaten durch das kontoführende Institut oder den Zahlungsdienstleister | 21,5 Mio. | autorisierte Transaktionen |
2.1.2 | Anbindung an Autorisierungssystem | System zur Anbindung des Terminalbetreibers (z.B. Netzbetreiber) an ein Autorisierungssystem oder von Transaktionen zum zuständigen Autorisierungssystem | 21,5 Mio. | autorisierte Transaktionen |
2.2.1 | Aufbereitung POS-Terminalbetreiber | System eines Netzbetreibers oder POS-Terminalbetreibers, welches Nachrichten oder Transaktionen von POS-Terminals verarbeitet, um Transaktionen in den Zahlungsverkehr einzubringen | 21,5 Mio. | Transaktionen |
2.2.2 | Annahme POS-Transaktionsdaten | System, das Transaktionen von einem Acquirer annimmt | 21,5 Mio. | Transaktionen |
2.2.3 | Anbindung an Interbanken-Zahlungsverkehrssystem | System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrssysteme anbinden | 18 Mio. | Transaktionen |
2.2.4 | Clearing-System | das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet | 18 Mio. | Transaktionen |
2.2.5 | Settlement-System | zur Verrechnung von Beträgen zwischen den partizipierenden Instituten | 18 Mio. | Transaktionen des Clearing-Systems |
2.3.1 | Kontoführungssystem | der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten | 21,5 Mio. | verbuchte Transaktionen |
3. | Konventioneller Zahlungsverkehr (EU) 260/2012 | |||
3.1.1 | Annahme Überweisung oder Lastschrift | System, mit dem Überweisungen oder Lastschriften des Zahlers durch den Zahlungsdienstleister oder das kontoführende Institut angenommen und verarbeitet werden | 100 Mio. | Transaktionen |
3.2.1 | Anbindung an Interbanken-Zahlungsverkehrssystem | System, das Zahlungsdienstleister an die Interbanken-Zahlungsverkehrs-Systeme anbinden | 100 Mio. | Transaktionen |
3.2.2 | Clearing-System | das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet | 100 Mio. | Transaktionen |
3.2.3 | Settlement-System | zur Verrechnung von Beträgen zwischen den partizipierenden Instituten | 100 Mio. | Transaktionen des Clearing-Systeme |
3.3.1 | Kontoführungssystem | der Zahlungsdienstleister zur elektronischen Führung und Verwaltung der Konten | 100 Mio. | Transaktionen |
4. | Wertpapier- und Derivatgeschäfte | |||
4.1.1 | System einer Clearingstelle | oder einer zentralen Gegenpartei zur Verrechnung von Wertpapier- und Derivatgeschäften; gemäß §1 Abs. 32 KWG |
850 Tsd. | Transaktionen |
4.1.2 | Anbindung für Verrechnung und Verbuchung | System zur Anbindung eines Teilnehmers oder Handelsplattform zu einer Clearingstelle oder zentralen Gegenpartei sowie einer Clearingstelle oder zentralen Gegenpartei zu einer Verbuchungsstelle | 850 Tsd. | Transaktionen |
4.2.1 | Wertpapier-Settlement-System | Wertpapierliefer- und -abrechnungssystem EU 909/2014, Art. 2 Abs. 1 Nr. 10 |
850 Tsd. | Transaktionen |
4.2.2 | Depotführungssystem | zur Prüfung des Depotbestands und für Transaktionen von Depots | 850 Tsd. | Transaktionen |
4.2.3 | Zentralverwahrer | System eines Zentralverwahrers EU 909/2014, Art. 2 Abs. 1 Nr. 1 | 850 Tsd. | Transaktionen |
4.3.1 | Aufbereitung Zahlungsanweisung | System eines Betreibers, welches Wertpapier- oder Derivattransaktionen mittelbar oder unmittelbar verarbeitet, um die Transaktionen in den Zahlungsverkehr einzubringen | 850 Tsd. | Transaktionen |
4.4.1 | Erzeugen von Aufträgen zum Handel | System zur Annahme und Weiterleitung von Kundenaufträgen an Handelsplätze | 6,75 Mio. | Transaktionen |
4.5.1 | Handelsplatz | System im Sinne (EU) 2014/65 Artikel 4 Nr. 24 | 850 Tsd. | Transaktionen |
4.6.1 | Sonstige Depotführung | System zur Prüfung des Depotbestands und für Transaktionen | 6,75 Mio. | Transaktionen |
5. | Versicherungsdienstleistungen | |||
Lebensversicherung (LV), private Krankenversicherung (PKV), Kompositversicherung (Komp) | ||||
5.1.1 | Vertragsverwaltungssystem | Speicherung/Verarbeitung von Informationen zum Versicherungsvertragsverhältnis | 500 Tsd. 2 Mio. 500 Tsd. | Leistungsfälle LV Leistungsfälle PKV Leistungsfälle Komp |
5.1.2 | Leistungssystem | Bearbeitung von Leistungen Lebens- und private Kranken-Versicherungen | 500 Tsd. 2 Mio. | Leistungsfälle LV Leistungsfälle PKV |
5.1.3 | Schadenssystem Komposit | Bearbeitung von Schäden Schaden- und Unfallversicherungen | 500 Tsd. | Leistungsfälle Komp |
5.1.4 | Auszahlungssystem | Auszahlung der Leistungen, Entschädigung oder Versicherungsleistung an Zahlungsempfänger | 500 Tsd. 2 Mio. | Leistungsfälle LV Leistungsfälle PKV |
Sozialversicherung und Grundsicherung: Unfallversicherung (UV), Arbeitslosenversicherung (AV), Rentenversicherung (RV), gesetzliche Krankenversicherung (GKV), Pflegeversicherung (PV), Grundsicherung | ||||
5.2.1 | Verwaltungs- und Zahlungssystem gesetzliche Kranken- und Pflegeversicherung | integriertes Anwendungssystem im Bereich der gesetzlichen Kranken- und Pflegeversicherung | 3 Mio. | Versicherte GKV/PV |
5.2.2 | Leistungssystem | integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsrechtlichen Entgeltersatzleistungen der gesetzlichen Renten-, Unfall- und Arbeitslosenversicherung | 500 Tsd. 500 Tsd. 500 Tsd. | Leistungsfälle UV/AV Versicherungskonten RV Leistungsfälle Grundsicherung |
5.2.3 | Auszahlungssystem | Auszahlung der Leistungen, Entschädigung oder Versicherungsleistung an Zahlungsempfänger | 500 Tsd. 500 Tsd. 500 Tsd. | Leistungsfälle UV/AV Versicherungskonten RV Leistungsfälle Grundsicherung |
Schwellenwerte
Bargeldversorgung
Für die Bargeldversorgung an Geldautomaten (1.1.1 bis 1.2.1, 1.3.1) berechnet sich der Schwellenwert aus 30 Transaktionen pro Person pro Jahr mit inländischen Karten an Geldautomaten für 500.000 versorgte Personen:
- 15 Mio. Transaktionen pro Jahr
Für die Bargeldversorgung in Cash-Centern (1.4.1 und 1.4.2) berechnet sich der Schwellenwert aus 187 bearbeiteten Banknoten pro Person pro Jahr für 500.000 versorgte Personen
- 93,5 Mio. Banknoten pro Jahr
Zahlungsverkehr
Der Schwellenwert für Anlagen des Zahlungsverkehrs (1.2.2 und 2.2.3), Clearing (1.2.3 und 2.2.4) und Settlement (1.2.4 und 2.2.5) berechnet sich aus 36 Transaktionen pro Person pro Jahr mit inländischen Karten an POS-Terminals und Geldautomaten für 500.000 versorgte Personen:
- 18 Mio. Transaktionen pro Jahr
Kartengestützer Zahlungsverkehr
Für Zahlungsverkehr mit Karten (2.1.1 bis 2.2.2, 2.3.1) berechnet sich der Schwellenwert aus 43 Transaktionen pro Person pro Jahr mit inländischen Karten an POS-Terminals für 500.000 versorgte Personen:
- 21,5 Mio. Transaktionen pro Jahr
Konventioneller Zahlungsverkehr
Für konventionellen Zahlungsverkehr mit Überweisungen und Lastschriften (3.1.1 bis 3.3.1) berechnet sich der Schwellenwert aus 200 Transaktionen pro Person pro Jahr für 500.000 versorgte Personen:
- 100 Mio. Transaktionen pro Jahr
Wertpapier- und Derivatgeschäften
Für die Abwicklung von Geschäften mit Wertpapieren und Derivaten (4.1.1 bis 4.3.1, 4.5.1) berechnet sich der Schwellenwert aus 1,7 Transaktionen pro Person pro Jahr, bei den Aufträgen für Handel und sonstige Depotführung aus 13,5 Transaktionen pro Person pro Jahr für 500.000 versorgte Personen:
- 850 Tsd. Transaktionen pro Jahr (4.1.1 bis 4.3.1, 4.5.1)
- 6,75 Mio. Transaktionen pro Jahr (4.4.1, 4.6.1)
Versicherungen
Für Lebensversicherungen, Schaden-/Unfallversicherungen (Komposit) und Sozialversicherungen (gesetzliche Renten-, Unfall-, Arbeitslosen-Versicherung) ist der Schwellenwert direkt 500. Tsd. (bzw. 1 Leistungsfall pro Person pro Jahr):
- 500 Tsd. Leistungsfälle pro Jahr
Für die privaten Krankenversicherungen berechnet sich der Schwellenwert aus 4 Leistungsfällen pro Person pro Jahr für 500.000 versorgte Personen:
- 2 Mio. Leistungsfälle pro Jahr
Für die gesetzlichen Kranken- und Pflegeversicherungen (ist der Schwellenwert in der KritisV ohne Herleitung:
- 3 Mio. Versicherte
Fristen
Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahres ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.
- Für Kompositversicherungen (5.1.3, 5.1.7, 5.1.11) soll der Schwellenwert abweichend dazu durchschnittlich über drei Kalenderjahre gemittelt werden.
-
Bei Lebensversicherungen (5.1.1, 5.1.4, 5.1.8)
sind nur ablaufende Verträge mit Auszahlung der Versicherungsleistung zu berücksichtigen.
Regulierung und Standards
Weitere Gesetze
BaFin und EZB
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) teilt sich mit dem BSI die Aufsicht von KRITIS-Betreibern aus dem Finanz- und Versicherungssektor: Banken, Versicherungen und ihren Dienstleistern. Betreiber im Sektor unterliegen neben dem BSIG teilweise dem KWG, ZAG oder auch der SSM-Verordnung und Regulierung der Europäischen Zentralbank (EZB).
BAIT
Für die Belange dieser Betreiber gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Betreiber Kritischer Infrastrukturen. Das soll Doppelbelastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.
Branchenstandards
Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.
B3S
- Branchenspezifischer Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer B3S-GKV/PV (Ersatzkassen), vdek, Version 1.2, Webseite des BSI
Industrienormen
- Rundschreiben 10/2017 (BA) - Bankaufsichtliche Anforderungen an die IT (BAIT), Bundesanstalt für Finanzdienstleistungsaufsicht, September 2018
Weitere Informationen
Literatur
Weitere Literatur zum Sektor und seinen Branchen.
- Aufsicht über Kritische Infrastrukturen im Finanzwesen - ein Überblick über den Status quo, BaFinPerspektiven 1 2020, Bundesanstalt für Finanzdienstleistungsaufsicht, Mai 2020
- ENISA-Studie EU Cybersecurity Initiatives in the Finance Sector, European Union Agency for Cybersecurity, March 2021
Quellen
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geƤndert worden ist
- Gesetz über das Kreditwesen (Kreditwesengesetz - KWG) in der Fassung der Bekanntmachung vom 9. September 1998 (BGBl. I S. 2776), das zuletzt durch Artikel 4 Absatz 7 des Gesetzes vom 10. Juli 2020 (BGBl. I S. 1633) geändert worden ist
- VERORDNUNG (EU) Nr. 909/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Juli 2014, zur Verbesserung der Wertpapierlieferungen und -abrechnungen in der Europäischen Union und über Zentralverwahrer sowie zur Änderung der Richtlinien 98/26/EG und 2014/65/EU und der Verordnung (EU) Nr. 236/2012