BaFin - Navigation & Service

Erscheinung:16.08.2017 Kritische Infrastrukturen - Betreiber im Finanzsektor: Identifizierung und Anforderungen

Die jüngsten großen Angriffe auf die IT-Systeme von Unternehmen haben wieder einmal gezeigt, wie verwundbar auch Kritische Infrastrukturen sind, also Einrichtungen und Anlagen, die für das Funktionieren des Gemeinwesens von hoher Bedeutung sind. Bereits 2015 – also noch vor Inkrafttreten der europäischen Netz- und Informationssicherheits-Richtlinie (NIS-Richtlinie) – schuf der deutsche Gesetzgeber darum entsprechende Regelungen, die er durch das IT-Sicherheitsgesetz (IT-SIG) in das BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik – BSIG) einfügte.

Nun hat er in einer Rechtsverordnung – der Änderungsverordnung zur BSI-Kritisverordnung (BSI-KritisV) – konkretisiert, nach welchen Kriterien Unternehmen des Sektors Finanz- und Versicherungswesen (Finanzsektor) als Betreiber einer Kritischen Infrastruktur zu qualifizieren sind. Deren Identifizierung ist noch nicht abgeschlossen. Schon jetzt lässt sich aber sagen, dass sowohl von der BaFin beaufsichtigte Unternehmen betroffen sein werden als auch Dienstleister, die IT-Services für Banken und Versicherer erbringen.

Die Betreiber Kritischer Infrastrukturen (Kritis-Betreiber) haben nach §§ 8a und 8b BSIG verschiedene Anforderungen zu erfüllen. So müssen sie sich selbst als Kritis-Betreiber identifizieren, indem sie innerhalb von sechs Monaten nach Inkrafttreten der Verordnung – Unternehmen im Finanzsektor also bis zum 22. Dezember1) – eine unternehmenseigene Kontaktstelle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, die rund um die Uhr erreichbar sein muss.

Zudem haben Betreiber Kritischer Infrastrukturen mindestens alle zwei Jahre nachzuweisen, dass sie angemessene organisatorische und technische Vorkehrungen getroffen haben, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden, die für die Funktionsfähigkeit der Kritischen Infrastrukturen maßgeblich sind. Die entsprechenden Auditanforderungen definiert grundsätzlich das BSI – für den Finanzsektor jedoch in Abstimmung mit der BaFin. Die bankaufsichtlichen beziehungsweise versicherungsaufsichtlichen Anforderungen an die IT (BAIT / VAIT) befinden sich derzeit in der Abstimmung. Darüber hinaus können Kritis-Betreiber und ihre Verbände branchenspezifische Sicherheitsstandards erarbeiten, anhand deren die Unternehmen nachweisen können, dass sie den Stand der Technik einhalten.

Methodik zur Identifizierung

Unternehmen, welche möglicherweise als Betreiber einer Kritischen Infrastruktur in Betracht kommen, müssen dies anhand eines dreistufigen Fragenkatalogs selbst überprüfen. Falls sie alle Fragen mit Ja beantworten, so sind sie als Betreiber qualifiziert und müssen dies dem BSI – wie bereits erwähnt – durch die Benennung einer Kontaktstelle mitteilen.

Auf einen Blick:Prüfungsschema

  1. Betreibt das Unternehmen eine kritische Dienstleistung im Sinne der Kritis-Verordnung?
  2. Betreibt das Unternehmen eine Anlage oder Teile davon gemäß Kritis-Verordnung, mit denen die kritische Dienstleistung erbracht wird?
  3. Erreicht oder überschreitet der Umfang, in dem die kritische Dienstleistung erbracht wird, die in der Kritis-Verordnung definierten spezifischen Schwellenwerte?

Die Verordnung identifiziert folgende Dienstleistungen als kritisch: die Bargeldversorgung, den kartengestützten und konventionellen Zahlungsverkehr im Bankenbereich, die Verrechnung und Abwicklung von Wertpapier- und Derivategeschäften sowie die Vertragsverwaltungs-, Leistungs-, Schaden- und Auszahlungssysteme von Versicherern.

Die möglichen Anlagenkategorien sind für die einzelnen Finanzdienstleistungen im Anhang der Verordnung aufgeführt. So sind beispielsweise der Kritischen Dienstleistung „Konventioneller Zahlungsverkehr“ folgende Anlagenkategorien zugeordnet:

  • System zur Annahme einer Überweisung oder Lastschrift,
  • System zur Anbindung an ein Interbanken-Zahlungsverkehrssystem, Clearing-System und Settlement-System (Einbringen in den Zahlungsverkehr)
  • Kontoführungssystem (Belastung und Gutschrift auf Kundenkonten)

Relevantes Bemessungskriterium für das Erreichen der Schwellenwerte ist bei Banken und Finanzmarktinfrastrukturen in erster Linie die Zahl der dienstleistungsbezogenen Transaktionen, bei Versicherern die Zahl der Leistungs- beziehungsweise Schadenfälle pro Jahr. So gilt zum Beispiel für die Anlagenkategorie „System zur Anbindung an ein Interbanken-Zahlungsverkehrssystem“ ein Schwellenwert von 100 Millionen Transaktionen pro Jahr.2)

Unterschiedliche Definitionen des „Betreibers“ im Finanzsektor

Die Verordnung enthält zwei unterschiedliche Definitionen für den Begriff des „Betreibers“ innerhalb des Finanzsektors. Für die kritischen Dienstleistungen Bargeldversorgung, kartengestützter und konventioneller Zahlungsverkehr sowie Verrechnung und Abwicklung von Wertpapier- und Derivategeschäften ist relevant, welches Unternehmen „unter Berücksichtigung der tatsächlichen Umstände“ bestimmenden Einfluss auf die Anlage hat, die zur Erbringung der kritischen Dienstleistung genutzt wird. Hingegen ist bei Versicherungsdienstleistungen relevant, welches Unternehmen „unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände“ bestimmenden Einfluss auf die Anlage hat.

Diese unterschiedliche Ausgestaltung des Betreiberbegriffs wird sich aller Voraussicht nach bei der Auslagerung Kritischer IT-Dienstleistungen auswirken. Solche Auslagerungen spielen im Finanzsektor eine wichtige Rolle. Während im Hinblick auf die Kritischen Dienstleistungen von Banken und Finanzmarktinfrastrukturen der jeweilige IT-Dienstleister als Betreiber der Kritischen Infrastruktur anzusehen sein dürfte, könnten bei Versicherungsdienstleistungen die Versicherer selbst als Betreiber zu qualifizieren sein.

Dies ergibt sich daraus, dass für die Beantwortung der Frage, wer beherrschenden Einfluss auf eine Anlage zur Erbringung Kritischer Versicherungsdienstleistungen hat, eine Gesamtschau der rechtlichen, wirtschaftlichen und tatsächlichen Umstände maßgeblich ist. Es kommt also – anders als bei Banken und Finanzmarktinfrastrukturen – nicht allein darauf an, welches Unternehmen die jeweilige Anlage innehat und betreibt (tatsächliche Umstände); dies ist grundsätzlich der IT-Dienstleister. Vielmehr dürfte insbesondere die Berücksichtigung der rechtlichen Umstände, namentlich der Weisungsrechte des Versicherungsunternehmens gegenüber seinem IT-Dienstleister, dazu führen, dass der Versicherer selbst als Betreiber anzusehen ist.

Künftige Aufsicht über Kritis-Betreiber im Finanzsektor

Einige der Unternehmen, die nach den genannten Kriterien als Betreiber kritischer Infrastrukturen zu qualifizieren sind, unterliegen neben der Aufsicht durch das BSI zugleich auch der Aufsicht durch die BaFin, beispielsweise Banken und Versicherer. In diesen Fällen kommt es somit zu einer dualen Aufsicht.

Es ist ein gemeinsames Anliegen von BaFin und BSI, etwaige Mehrbelastungen, die sich daraus für die betroffenen Unternehmen ergeben könnten, im Rahmen des rechtlich Vertretbaren so gering wie möglich zu halten. Beide Behörden befinden sich dazu derzeit in einem intensiven Austausch, um zeitnah eine gemeinsame Aufsichtsstrategie zu entwickeln und diese anschließend zu operationalisieren. Ziel ist es, die technische Kompetenz des BSI und die operative Aufsichtskompetenz der BaFin im Sinne eines effizienten Ressourceneinsatzes zu bündeln.

Hinweis

Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.

Fußnoten:

  1. 1) Für vier der acht kritischen Sektoren gilt die erste Fassung der Kritis-Verordnung von 2016, so dass deren Frist bereits abgelaufen ist.
  2. 2) Berechnungsformeln siehe BGBl. I 2017, Seite 1915.

Zusatzinformationen

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback