{"id":1134,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=1134"},"modified":"2024-08-11T19:28:36","modified_gmt":"2024-08-11T19:28:36","slug":"praambel","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/de\/richtlinie-4\/praambel\/","title":{"rendered":"Pr\u00e4ambel"},"content":{"rendered":"
in Erw\u00e4gung nachstehender Gr\u00fcnde:<\/p>\n\n\n\n
vom 14. Dezember 2022<\/p>\n\n\n\n
\u00fcber die digitale operative Widerstandsf\u00e4higkeit des Finanzsektors und zur \u00c4nderung der Verordnungen (EG) Nr. 1060\/2009, (EU) Nr. 648\/2012, (EU) Nr. 600\/2014, (EU) Nr. 909\/2014 und (EU) 2016\/1011<\/p>\n\n\n\n
(Text mit Bedeutung f\u00fcr den EWR)<\/p>\n\n\n\n
DAS EUROP\u00c4ISCHE PARLAMENT UND DER RAT DER EUROP\u00c4ISCHEN UNION,<\/p>\n\n\n\n
gest\u00fctzt auf den Vertrag \u00fcber die Arbeitsweise der Europ\u00e4ischen Union, insbesondere auf Artikel 114, auf Vorschlag der Europ\u00e4ischen Kommission, nach \u00dcbermittlung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme der Europ\u00e4ischen Zentralbank (1), nach Stellungnahme des Europ\u00e4ischen Wirtschafts- und Sozialausschusses (2), gem\u00e4\u00df dem ordentlichen Gesetzgebungsverfahren (3), in Erw\u00e4gung ziehen,<\/p>\n\n\n\n
in Erw\u00e4gung nachstehender Gr\u00fcnde:<\/p>\n\n\n\n
(1) Im digitalen Zeitalter unterst\u00fctzt die Informations- und Kommunikationstechnologie (IKT) komplexe Systeme, die f\u00fcr allt\u00e4gliche Aktivit\u00e4ten genutzt werden. Sie h\u00e4lt unsere Volkswirtschaften in Schl\u00fcsselsektoren, einschlie\u00dflich des Finanzsektors, am Laufen und verbessert das Funktionieren des Binnenmarktes. Die zunehmende Digitalisierung und Vernetzung verst\u00e4rken auch die IKT RisikoRisiko<\/span> Bezeichnet das Potenzial f\u00fcr Verluste oder St\u00f6rungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausma\u00df eines solchen Verlusts oder einer solchen St\u00f6rung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedr\u00fcckt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>Dadurch werden die Gesellschaft als Ganzes und das Finanzsystem im Besonderen anf\u00e4lliger f\u00fcr Cyber-Bedrohungen oder IKT-St\u00f6rungen. W\u00e4hrend die allgegenw\u00e4rtige Nutzung von IKT-Systemen und die starke Digitalisierung und Konnektivit\u00e4t heute zu den Hauptmerkmalen der T\u00e4tigkeit der Finanzinstitute in der Union geh\u00f6ren, muss ihre digitale Widerstandsf\u00e4higkeit noch besser ber\u00fccksichtigt und in ihren breiteren operativen Rahmen integriert werden.<\/p>\n\n\n\n (2) Der Einsatz von IKT hat in den letzten Jahrzehnten eine zentrale Rolle bei der Erbringung von Finanzdienstleistungen gespielt, so dass sie inzwischen f\u00fcr die typischen t\u00e4glichen Funktionen aller Finanzunternehmen von entscheidender Bedeutung sind. Die Digitalisierung erstreckt sich beispielsweise auf den Zahlungsverkehr, der zunehmend von Bargeld und Papier auf digitale L\u00f6sungen umgestellt wird, sowie auf das Clearing und die Abrechnung von Wertpapieren, den elektronischen und algorithmischen Handel, Kredit- und Finanzierungsgesch\u00e4fte, Peer-to-Peer-Finanzierung, Kreditw\u00fcrdigkeitspr\u00fcfung, Forderungsmanagement und Back-Office-T\u00e4tigkeiten. Auch der Versicherungssektor hat sich durch den Einsatz von IKT ver\u00e4ndert, von der Entstehung von Versicherungsvermittlern, die ihre Dienstleistungen online anbieten und mit InsurTech arbeiten, bis hin zum digitalen Underwriting von Versicherungen. Das Finanzwesen ist nicht nur im gesamten Sektor weitgehend digital geworden, sondern die Digitalisierung hat auch die Verflechtungen und Abh\u00e4ngigkeiten innerhalb des Finanzsektors und mit Drittanbietern von Infrastruktur und Dienstleistungen vertieft.<\/p>\n\n\n\n (3) Der Europ\u00e4ische Ausschuss f\u00fcr Systemrisiken (European Systemic Risk Board, ESRB) hat in einem Bericht \u00fcber systemische Cyberrisiken im Jahr 2020 bekr\u00e4ftigt, dass die bestehende starke Verflechtung von Finanzunternehmen, Finanzm\u00e4rkten und Finanzmarktinfrastrukturen und insbesondere die gegenseitigen Abh\u00e4ngigkeiten ihrer IKT-Systeme ein systemisches Risiko darstellen k\u00f6nnten SchwachstelleSchwachstelle<\/span> Bezeichnet eine Schw\u00e4che, Anf\u00e4lligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden k\u00f6nnen. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> weil sich lokalisierte Cyber-Vorf\u00e4lle schnell von einem der rund 22 000 Finanzunternehmen der Union auf das gesamte Finanzsystem ausbreiten k\u00f6nnen, ohne dass geografische Grenzen eine Rolle spielen. Schwerwiegende IKT-Verst\u00f6\u00dfe im Finanzsektor betreffen nicht nur isolierte Finanzunternehmen. Sie ebnen auch den Weg f\u00fcr die Ausbreitung \u00f6rtlich begrenzter Schwachstellen \u00fcber die finanziellen \u00dcbertragungskan\u00e4le und k\u00f6nnen negative Folgen f\u00fcr die Stabilit\u00e4t des Finanzsystems der Union haben, wie z. B. Liquidit\u00e4tsengp\u00e4sse und einen allgemeinen Verlust des Vertrauens in die Finanzm\u00e4rkte.<\/p>\n\n\n\n (4) In den letzten Jahren hat das IKT-Risiko die Aufmerksamkeit der internationalen, europ\u00e4ischen und nationalen politischen Entscheidungstr\u00e4ger, Regulierungsbeh\u00f6rden und StandardStandard<\/span> Eine technische Spezifikation, die von einem anerkannten Normungsgremium zur wiederholten oder st\u00e4ndigen Anwendung angenommen wurde, deren Einhaltung nicht zwingend vorgeschrieben ist und bei der es sich um eine der folgenden Normen handelt:\r(a) \"internationale Norm\" eine Norm, die von einem internationalen Normungsgremium angenommen wurde; b) \"europ\u00e4ische Norm\" eine Norm, die von einer europ\u00e4ischen Normungsorganisation angenommen wurde; c) \"harmonisierte Norm\" eine europ\u00e4ische Norm, die auf der Grundlage eines Antrags der Kommission auf Anwendung der Harmonisierungsrechtsvorschriften der Union angenommen wurde; d) \"nationale Norm\" eine Norm, die von einem nationalen Normungsgremium angenommen wurde - Definition gem\u00e4\u00df Artikel 2 Nummer 1 der Verordnung (EU) Nr. 1025\/2012 des Europ\u00e4ischen Parlaments und des Rates.<\/span><\/span><\/span>-Gremien in dem Versuch, die digitale Widerstandsf\u00e4higkeit zu verbessern, Standards festzulegen und die Regulierungs- und Aufsichtsarbeit zu koordinieren. Auf internationaler Ebene zielen der Basler Ausschuss f\u00fcr Bankenaufsicht, der Ausschuss f\u00fcr Zahlungsverkehr und Marktinfrastrukturen, der Rat f\u00fcr Finanzstabilit\u00e4t, das Institut f\u00fcr Finanzstabilit\u00e4t sowie die G7 und die G20 darauf ab, den zust\u00e4ndigen Beh\u00f6rden und Marktteilnehmern in den verschiedenen Rechtsordnungen Instrumente an die Hand zu geben, um die Widerstandsf\u00e4higkeit ihrer Finanzsysteme zu st\u00e4rken. Diese Arbeit wurde auch durch die Notwendigkeit vorangetrieben, das IKT-Risiko im Kontext eines stark vernetzten globalen Finanzsystems geb\u00fchrend zu ber\u00fccksichtigen und eine gr\u00f6\u00dfere Koh\u00e4renz der einschl\u00e4gigen bew\u00e4hrten Verfahren anzustreben.<\/p>\n\n\n\n (5) Trotz gezielter politischer und gesetzgeberischer Initiativen auf Unionsebene und auf nationaler Ebene stellt das IKT-Risiko nach wie vor eine Herausforderung f\u00fcr die operative Widerstandsf\u00e4higkeit, Leistungsf\u00e4higkeit und Stabilit\u00e4t des Finanzsystems der Union dar. Die Reformen, die auf die Finanzkrise von 2008 folgten, st\u00e4rkten in erster Linie die finanzielle Widerstandsf\u00e4higkeit des Finanzsektors der Union und zielten darauf ab, die Wettbewerbsf\u00e4higkeit und Stabilit\u00e4t der Union aus wirtschaftlicher und aufsichtsrechtlicher Sicht sowie im Hinblick auf das Marktverhalten zu sichern. Obwohl die IKT-Sicherheit und die digitale Widerstandsf\u00e4higkeit Teil des operationellen Risikos sind, standen sie weniger im Mittelpunkt der Regulierungsagenda nach der Finanzkrise und wurden nur in einigen Bereichen der Finanzdienstleistungspolitik und der Regulierungslandschaft der Union bzw. nur in einigen wenigen Mitgliedstaaten entwickelt.<\/p>\n\n\n\n (6) In ihrer Mitteilung vom 8. M\u00e4rz 2018 mit dem Titel \"FinTech-Aktionsplan: F\u00fcr einen wettbewerbsf\u00e4higeren und innovativeren europ\u00e4ischen Finanzsektor\" hob die Kommission hervor, dass es von gr\u00f6\u00dfter Bedeutung ist, den Finanzsektor der Union widerstandsf\u00e4higer zu machen, auch in operativer Hinsicht, um seine technologische Sicherheit und sein reibungsloses Funktionieren zu gew\u00e4hrleisten, seine rasche Wiederherstellung nach IKT-Verletzungen und -Vorf\u00e4llen sicherzustellen und letztlich die wirksame und reibungslose Erbringung von Finanzdienstleistungen in der gesamten Union, auch in Stresssituationen, zu erm\u00f6glichen und gleichzeitig das Vertrauen der Verbraucher und des Marktes zu erhalten.<\/p>\n\n\n\n (7) Im April 2019 haben die durch die Verordnung (EU) Nr. 1093\/2010 des Europ\u00e4ischen Parlaments und des Rates (4) eingerichtete Europ\u00e4ische Aufsichtsbeh\u00f6rde (Europ\u00e4ische Bankenaufsichtsbeh\u00f6rde) (EBA), die durch die Verordnung (EU) Nr. 1094\/2010 des Europ\u00e4ischen Parlaments und des Rates (5) eingerichtete Europ\u00e4ische Aufsichtsbeh\u00f6rde (Europ\u00e4ische Aufsichtsbeh\u00f6rde f\u00fcr das Versicherungswesen und die betriebliche Altersversorgung) (EIOPA) und die Europ\u00e4ische Aufsichtsbeh\u00f6rde (Europ\u00e4ische Wertpapier- und Marktaufsichtsbeh\u00f6rde), (\"ESMA\"), die durch die Verordnung (EU) Nr. 1095\/2010 des Europ\u00e4ischen Parlaments und des Rates (6) eingerichtet wurde (zusammen als \"Europ\u00e4ische Aufsichtsbeh\u00f6rden\" oder \"ESAs\" bezeichnet), haben gemeinsam eine technische Beratung herausgegeben, in der ein koh\u00e4renter Ansatz f\u00fcr IKT-Risiken im Finanzbereich gefordert und empfohlen wird, die digitale operative Widerstandsf\u00e4higkeit der Finanzdienstleistungsbranche durch eine sektorspezifische Initiative der Union in angemessener Weise zu st\u00e4rken.<\/p>\n\n\n\n (8) Der Finanzsektor der Union wird durch ein einheitliches Regelwerk reguliert und unterliegt einem europ\u00e4ischen System der Finanzaufsicht. Dennoch sind die Bestimmungen \u00fcber die digitale operationelle Widerstandsf\u00e4higkeit und die IKT-Sicherheit noch nicht vollst\u00e4ndig oder durchg\u00e4ngig harmonisiert, obwohl die digitale operationelle Widerstandsf\u00e4higkeit f\u00fcr die Gew\u00e4hrleistung der Finanzstabilit\u00e4t und der Marktintegrit\u00e4t im digitalen Zeitalter von entscheidender Bedeutung ist und nicht weniger wichtig ist als z. B. gemeinsame aufsichtsrechtliche oder Marktverhaltensstandards. Das einheitliche Regelwerk und das Aufsichtssystem sollten daher so weiterentwickelt werden, dass sie auch die digitale operationelle Widerstandsf\u00e4higkeit abdecken, indem die Mandate der zust\u00e4ndigen Beh\u00f6rden gest\u00e4rkt werden, damit sie das IKT-Risikomanagement im Finanzsektor \u00fcberwachen k\u00f6nnen, um die Integrit\u00e4t und Effizienz des Binnenmarktes zu sch\u00fctzen und sein ordnungsgem\u00e4\u00dfes Funktionieren zu erleichtern.<\/p>\n\n\n\n (9) Unterschiedliche Rechtsvorschriften und uneinheitliche nationale Regulierungs- oder Aufsichtsans\u00e4tze in Bezug auf das IKT-Risiko f\u00fchren zu Hindernissen f\u00fcr das Funktionieren des Binnenmarktes f\u00fcr Finanzdienstleistungen und behindern die reibungslose Aus\u00fcbung der Niederlassungsfreiheit und die Erbringung von Dienstleistungen f\u00fcr grenz\u00fcberschreitend t\u00e4tige Finanzunternehmen. Auch der Wettbewerb zwischen Finanzunternehmen der gleichen Art, die in verschiedenen Mitgliedstaaten t\u00e4tig sind, k\u00f6nnte verzerrt werden. Dies gilt insbesondere f\u00fcr Bereiche, in denen die Harmonisierung auf Unionsebene sehr begrenzt ist, wie z. B. bei der Pr\u00fcfung der digitalen operationellen Belastbarkeit, oder nicht vorhanden ist, wie z. B. bei der \u00dcberwachung des IKT-Drittrisikos. Unterschiede, die sich aus den auf nationaler Ebene geplanten Entwicklungen ergeben, k\u00f6nnten weitere Hindernisse f\u00fcr das Funktionieren des Binnenmarkts zum Nachteil der Marktteilnehmer und der Finanzstabilit\u00e4t schaffen.<\/p>\n\n\n\n (10) Da die Bestimmungen \u00fcber IKT-Risiken bisher nur teilweise auf Unionsebene behandelt wurden, gibt es L\u00fccken oder \u00dcberschneidungen in wichtigen Bereichen, wie z.B. bei den IKT-bezogenen VorfallVorfall<\/span> Bezeichnet ein Ereignis, das die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit gespeicherter, \u00fcbermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder \u00fcber sie zug\u00e4nglichen Dienste beeintr\u00e4chtigt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> Berichterstattung und Pr\u00fcfung der digitalen operationellen Belastbarkeit sowie Unstimmigkeiten infolge sich abzeichnender divergierender nationaler Vorschriften oder einer kostenineffizienten Anwendung sich \u00fcberschneidender Vorschriften. Dies ist besonders nachteilig f\u00fcr einen IKT-intensiven Nutzer wie den Finanzsektor, da technologische Risiken keine Grenzen kennen und der Finanzsektor seine Dienstleistungen in gro\u00dfem Umfang grenz\u00fcberschreitend innerhalb und au\u00dferhalb der Union erbringt. Einzelne Finanzunternehmen, die grenz\u00fcberschreitend t\u00e4tig sind oder \u00fcber mehrere Zulassungen verf\u00fcgen (z. B. ein Finanzinstitut UnternehmenEntit\u00e4t<\/span> bezeichnet eine nat\u00fcrliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegr\u00fcndet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten aus\u00fcben kann. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> k\u00f6nnen eine Zulassung f\u00fcr Banken, Wertpapierfirmen und Zahlungsinstitute haben, die jeweils von einer anderen zust\u00e4ndigen Beh\u00f6rde in einem oder mehreren Mitgliedstaaten erteilt wird), stehen vor operativen Herausforderungen bei der Bew\u00e4ltigung von IKT-Risiken und der Abmilderung negativer Auswirkungen von IKT-Vorf\u00e4llen auf eigene Faust und auf koh\u00e4rente, kosteneffiziente Weise.<\/p>\n\n\n\n (11) Da das einheitliche Regelwerk nicht von einem umfassenden IKT- oder Betriebsrisikorahmen begleitet wurde, ist eine weitere Harmonisierung der wichtigsten Anforderungen an die digitale operationelle Widerstandsf\u00e4higkeit aller Finanzunternehmen erforderlich. Die Entwicklung von IKT-Kapazit\u00e4ten und der allgemeinen Widerstandsf\u00e4higkeit von Finanzunternehmen auf der Grundlage dieser zentralen Anforderungen im Hinblick auf die \u00dcberwindung von Betriebsausf\u00e4llen w\u00fcrde dazu beitragen, die Stabilit\u00e4t und Integrit\u00e4t der Finanzm\u00e4rkte in der Union zu erhalten und somit ein hohes Ma\u00df an Anleger- und Verbraucherschutz in der Union zu gew\u00e4hrleisten. Da diese Verordnung zum reibungslosen Funktionieren des Binnenmarkts beitragen soll, sollte sie sich auf die Bestimmungen des Artikels 114 des Vertrags \u00fcber die Arbeitsweise der Europ\u00e4ischen Union (AEUV) in der Auslegung gem\u00e4\u00df der st\u00e4ndigen Rechtsprechung des Gerichtshofs der Europ\u00e4ischen Union (Gerichtshof) st\u00fctzen.<\/p>\n\n\n\n (12) Diese Verordnung zielt darauf ab, die Anforderungen an das IKT-Risiko als Teil der Anforderungen an das operationelle Risiko zu konsolidieren und zu verbessern, die bisher in verschiedenen Rechtsakten der Union getrennt behandelt wurden. Diese Rechtsakte deckten zwar die Hauptkategorien des Finanzrisikos ab (z. B. Kreditrisiko, Marktrisiko, Gegenparteiausfallrisiko und Liquidit\u00e4tsrisiko, Marktverhaltensrisiko), deckten aber zum Zeitpunkt ihrer Annahme nicht alle Komponenten der operationellen Belastbarkeit umfassend ab. Bei der Weiterentwicklung der Vorschriften f\u00fcr das operationelle Risiko in diesen Rechtsakten der Union wurde h\u00e4ufig ein traditioneller quantitativer Risikoansatz bevorzugt (d. h. die Festlegung einer Eigenkapitalanforderung zur Deckung des IKT-Risikos), statt gezielter qualitativer Vorschriften f\u00fcr den Schutz, die Erkennung, die Eind\u00e4mmung, die Wiederherstellung und die Reparatur von IKT-bezogenen Vorf\u00e4llen oder f\u00fcr die Berichterstattung und digitale Testm\u00f6glichkeiten. Diese Rechtsakte dienten in erster Linie dazu, wesentliche Vorschriften zur Aufsicht, zur Marktintegrit\u00e4t oder zum Verhalten abzudecken und zu aktualisieren. Durch die Konsolidierung und Aktualisierung der verschiedenen Vorschriften zum IKT-Risiko sollten erstmals alle Bestimmungen, die sich mit dem digitalen Risiko im Finanzsektor befassen, auf koh\u00e4rente Weise in einem einzigen Rechtsakt zusammengef\u00fchrt werden. Daher schlie\u00dft diese Verordnung die L\u00fccken oder behebt Unstimmigkeiten in einigen der fr\u00fcheren Rechtsakte, auch in Bezug auf die darin verwendete Terminologie, und bezieht sich ausdr\u00fccklich auf IKT-Risiken durch gezielte Vorschriften \u00fcber IKT-Risikomanagementkapazit\u00e4ten, Meldung von Vorf\u00e4llen, Pr\u00fcfung der operativen Belastbarkeit und \u00dcberwachung von IKT-Drittrisiken. Diese Verordnung sollte daher auch das Bewusstsein f\u00fcr IKT-Risiken sch\u00e4rfen und anerkennen, dass IKT-Vorf\u00e4lle und ein Mangel an operativer Widerstandsf\u00e4higkeit die Solidit\u00e4t von Finanzunternehmen gef\u00e4hrden k\u00f6nnen.<\/p>\n\n\n\n (13) Finanzunternehmen sollten beim Umgang mit IKT-Risiken unter Ber\u00fccksichtigung ihrer Gr\u00f6\u00dfe und ihres Gesamtrisikoprofils sowie der Art, des Umfangs und der Komplexit\u00e4t ihrer Dienstleistungen, T\u00e4tigkeiten und Gesch\u00e4fte denselben Ansatz und dieselben prinzipienbasierten Regeln verfolgen. Eine einheitliche Vorgehensweise tr\u00e4gt dazu bei, das Vertrauen in das Finanzsystem zu st\u00e4rken und seine Stabilit\u00e4t zu erhalten, insbesondere in Zeiten, in denen eine hohe Abh\u00e4ngigkeit von IKT-Systemen, -Plattformen und -Infrastrukturen besteht, was mit einem erh\u00f6hten digitalen Risiko verbunden ist. Die Einhaltung einer grundlegenden Cyber-Hygiene sollte auch verhindern, dass der Wirtschaft hohe Kosten auferlegt werden, indem die Auswirkungen und Kosten von IKT-St\u00f6rungen minimiert werden.<\/p>\n\n\n\n (14) Eine Verordnung tr\u00e4gt dazu bei, die regulatorische Komplexit\u00e4t zu verringern, die aufsichtliche Konvergenz zu f\u00f6rdern und die Rechtssicherheit zu erh\u00f6hen, und sie tr\u00e4gt auch dazu bei, die Befolgungskosten zu begrenzen, insbesondere f\u00fcr grenz\u00fcberschreitend t\u00e4tige Finanzunternehmen, und Wettbewerbsverzerrungen zu verringern. Daher ist die Wahl einer Verordnung zur Schaffung eines gemeinsamen Rahmens f\u00fcr die digitale operationelle Widerstandsf\u00e4higkeit von Finanzunternehmen der geeignetste Weg, um eine einheitliche und koh\u00e4rente Anwendung aller Komponenten des IKT-Risikomanagements durch den Finanzsektor der Union zu gew\u00e4hrleisten.<\/p>\n\n\n\n (15) Die Richtlinie (EU) 2016\/1148 des Europ\u00e4ischen Parlaments und des Rates (7) war die erste horizontale CybersicherheitCybersecurity<\/span> \"Cybersicherheit\" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019\/881; - Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a>\r\r\"Cybersicherheit\" bezeichnet die T\u00e4tigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu sch\u00fctzen; - Definition gem\u00e4\u00df Artikel 2 Nummer 1 der Verordnung (EU) 2019\/881;<\/span><\/span><\/span> auf Unionsebene erlassener Rahmen, der auch f\u00fcr drei Arten von Finanzunternehmen gilt, n\u00e4mlich Kreditinstitute, Handelspl\u00e4tze und zentrale Gegenparteien. Da die Richtlinie (EU) 2016\/1148 jedoch einen Mechanismus zur Identifizierung von Betreibern wesentlicher Dienste auf nationaler Ebene vorsieht, wurden in der Praxis nur bestimmte Kreditinstitute, Handelspl\u00e4tze und zentrale Gegenparteien, die von den Mitgliedstaaten identifiziert wurden, in den Anwendungsbereich der Richtlinie aufgenommen und m\u00fcssen daher die in der Richtlinie festgelegten Anforderungen an die IKT-Sicherheit und die Meldung von Vorf\u00e4llen erf\u00fcllen. Die Richtlinie (EU) 2022\/2555 des Europ\u00e4ischen Parlaments und des Rates (8) legt ein einheitliches Kriterium f\u00fcr die Bestimmung der Unternehmen fest, die in den Anwendungsbereich der Richtlinie fallen (Gr\u00f6\u00dfenkappungsregel), wobei die drei Arten von Finanzunternehmen ebenfalls in den Anwendungsbereich der Richtlinie fallen.<\/p>\n\n\n\n (16) Da diese Verordnung jedoch den Grad der Harmonisierung der verschiedenen Komponenten der digitalen Widerstandsf\u00e4higkeit erh\u00f6ht, indem sie Anforderungen an das IKT-Risikomanagement und die Meldung von IKT-bezogenen Vorf\u00e4llen einf\u00fchrt, die im Vergleich zu den im geltenden Finanzdienstleistungsrecht der Union festgelegten Anforderungen strenger sind, stellt dieses h\u00f6here Niveau auch im Vergleich zu den in der Richtlinie (EU) 2022\/2555 festgelegten Anforderungen eine st\u00e4rkere Harmonisierung dar. Folglich stellt diese Verordnung lex specialis im Hinblick auf die Richtlinie (EU) 2022\/2555 dar. Gleichzeitig ist es von entscheidender Bedeutung, eine enge Beziehung zwischen dem Finanzsektor und dem horizontalen Cybersicherheitsrahmen der Union, wie er derzeit in der Richtlinie (EU) 2022\/2555 festgelegt ist, aufrechtzuerhalten, um die Koh\u00e4renz mit den von den Mitgliedstaaten angenommenen Cybersicherheitsstrategien zu gew\u00e4hrleisten und es den Finanzaufsichtsbeh\u00f6rden zu erm\u00f6glichen, von Cybervorf\u00e4llen Kenntnis zu erlangen, die andere unter diese Richtlinie fallende Sektoren betreffen.<\/p>\n\n\n\n (17) Gem\u00e4\u00df Artikel 4 Absatz 2 des Vertrags \u00fcber die Europ\u00e4ische Union und unbeschadet der gerichtlichen \u00dcberpr\u00fcfung durch den Gerichtshof sollte diese Verordnung die Zust\u00e4ndigkeit der Mitgliedstaaten in Bezug auf wesentliche staatliche Aufgaben im Bereich der \u00f6ffentlichen Sicherheit, der Verteidigung und des Schutzes der nationalen Sicherheit, z. B. in Bezug auf die Weitergabe von Informationen, die dem Schutz der nationalen Sicherheit zuwiderlaufen w\u00fcrden, nicht ber\u00fchren.<\/p>\n\n\n\n (18) Um sektor\u00fcbergreifendes Lernen zu erm\u00f6glichen und die Erfahrungen anderer Sektoren bei der Bew\u00e4ltigung von Cyberbedrohungen wirksam zu nutzen, sollten die in der Richtlinie (EU) 2022\/2555 genannten Finanzinstitute Teil des \"\u00d6kosystems\" der genannten Richtlinie bleiben (z. B. Kooperationsgruppe und Computer Security Incident Response Teams (CSIRTs)) Die ESAs und die zust\u00e4ndigen nationalen Beh\u00f6rden sollten in der Lage sein, an den strategischen Grundsatzdiskussionen und den technischen Arbeiten der Kooperationsgruppe im Rahmen der genannten Richtlinie teilzunehmen und Informationen auszutauschen und weiter mit den gem\u00e4\u00df der genannten Richtlinie benannten oder eingerichteten einheitlichen Ansprechpartnern zusammenzuarbeiten. Die im Rahmen dieser Verordnung zust\u00e4ndigen Beh\u00f6rden sollten auch die CSIRTs konsultieren und mit ihnen zusammenarbeiten. Die zust\u00e4ndigen Beh\u00f6rden sollten auch in der Lage sein, die gem\u00e4\u00df der Richtlinie (EU) 2022\/2555 benannten oder eingerichteten zust\u00e4ndigen Beh\u00f6rden um fachliche Beratung zu ersuchen und Kooperationsvereinbarungen zu treffen, um wirksame und reaktionsschnelle Koordinierungsmechanismen zu gew\u00e4hrleisten.<\/p>\n\n\n\n (19) Da die digitale Widerstandsf\u00e4higkeit und die physische Widerstandsf\u00e4higkeit von Finanzunternehmen eng miteinander verkn\u00fcpft sind, ist in dieser Verordnung und in der Richtlinie (EU) 2022\/2557 des Europ\u00e4ischen Parlaments und des Rates (9) ein koh\u00e4renter Ansatz in Bezug auf die Widerstandsf\u00e4higkeit kritischer Unternehmen erforderlich. Da die physische Widerstandsf\u00e4higkeit von Finanzunternehmen durch die in dieser Verordnung geregelten IKT-Risikomanagement- und Berichterstattungspflichten umfassend behandelt wird, sollten die in den Kapiteln III und IV der Richtlinie (EU) 2022\/2557 festgelegten Pflichten nicht f\u00fcr Finanzunternehmen gelten, die in den Anwendungsbereich jener Richtlinie fallen.<\/p>\n\n\n\n