NIS2-Compliance für den Sektor der Finanzmarktinfrastrukturen

Finanzmarktinfrastrukturen (FMI) ermöglichen das Clearing, die Abwicklung, den Handel und die Erfassung von Finanztransaktionen in der gesamten Europäischen Union. Da sie im Zentrum der Kapitalmärkte und Zahlungsökosysteme stehen, können Cybervorfälle, die diese Einrichtungen betreffen, systemische Folgen haben.

Die NIS-2-Richtlinie legt EU-weite Cybersicherheitsverpflichtungen für wesentliche und wichtige Einrichtungen fest und erweitert den Anwendungsbereich sowie die Durchsetzungskraft des ursprünglichen NIS-Rahmens. Die Einhaltung der NIS-2-Richtlinie durch Finanzmarktinfrastrukturen stärkt die Anforderungen an die operationelle Resilienz von Einrichtungen, deren Störung Märkte destabilisieren könnte.

Die Richtlinie gilt für mittlere und große Organisationen, die in festgelegten Sektoren tätig sind, einschließlich der Finanzmarktinfrastrukturen. Angesichts ihrer systemischen Rolle werden die meisten FMI die einschlägigen Schwellenwerte erfüllen und in den Anwendungsbereich fallen.

Wenn Ihre Organisation als Finanzmarktinfrastruktur tätig ist, kann sie im Rahmen der NIS-2-Richtlinie als wesentliche Einrichtung eingestuft werden.

Der Sektor der Finanzmarktinfrastrukturen ist eingestuft als:

Relevanter Anhang: Anhang I (wesentliche Einrichtungen)

Diese Einrichtungen spielen eine grundlegende Rolle für die Finanzstabilität, indem sie den Wertpapierhandel sowie Clearing- und Abwicklungsfunktionen ermöglichen. Einrichtungen, die die anwendbaren Größenschwellen erfüllen, gelten nach NIS2 als wesentliche Einrichtungen.

• Wesentliche Einrichtung gemäß Anhang I

• Betreiber von Handelsplätzen
• Zentrale Gegenparteien (CCPs)
• Zentralverwahrer (CSDs)

Abdeckung der Subsektoren (Anhang I – Finanzmarktinfrastrukturen):

Die NIS2-Compliance für Finanzmarktinfrastrukturen gilt für:

Angesichts der Größenordnung und der systemischen Bedeutung von Handelsplätzen, zentralen Gegenparteien (CCPs) und Zentralverwahrern (CSDs) fallen die meisten Einrichtungen in diesem Sektor automatisch als wesentliche Einrichtungen in den Anwendungsbereich.

Auch wenn die Anwendbarkeit der NIS2 auf KMU in diesem Sektor aufgrund aufsichtsrechtlicher Zulassungsvorgaben und des betrieblichen Umfangs weniger verbreitet ist, sind alle Einrichtungen erfasst, die die Größenschwellen erreichen. Grenzüberschreitende Finanzmarktinfrastrukturen, die in mehreren Mitgliedstaaten tätig sind, unterliegen weiterhin den NIS2-Pflichten innerhalb des EU-Rahmens, unter Aufsichtskoordination.

• Mittlere Unternehmen (≥ 50 Beschäftigte und/oder 10 Mio. € Jahresumsatz oder Jahresbilanzsumme)
• Große Unternehmen, die diese Schwellenwerte überschreiten

Nach Artikel 21 der NIS-2-Richtlinie müssen Finanzmarktinfrastrukturen geeignete und verhältnismäßige technische und organisatorische Maßnahmen zur Bewältigung von Cybersicherheitsrisiken umsetzen.

Verpflichtende Maßnahmen umfassen:

Für Finanzmarktinfrastrukturen müssen diese NIS2-Sicherheitsmaßnahmen hochvolumige Transaktionssysteme, Clearing-Engines, Abwicklungsplattformen und die Echtzeit-Marktdateninfrastruktur schützen. Robuste Resilienzmaßnahmen, Redundanzplanung und Integritätsschutz sind entscheidend, um systemische Marktstörungen zu verhindern.

Die NIS2-Compliance für Finanzmarktinfrastrukturen erfordert eine Abstimmung zwischen Cybersicherheits-Governance und bestehenden Risikorahmenwerken der Finanzmärkte. Einrichtungen müssen sicherstellen, dass IKT-Resilienzmaßnahmen die Marktkontinuität und die Ziele der Finanzstabilität unterstützen.

• Risikomanagementrahmen
• Verfahren zum Umgang mit Sicherheitsvorfällen
• Geschäftskontinuität und Notfallwiederherstellung
• Sicherheit der Lieferkette
• Sichere Entwicklung und Wartung
• Richtlinien zu Verschlüsselung und Kryptografie
• Zugriffskontrolle und Mehrfaktorauthentifizierung (MFA)
• Schwachstellenmanagement und Patch-Management
• Schulungen zur Cyberhygiene
• Einsatz sicherer Kommunikationsmittel

Finanzmarktinfrastrukturen müssen bei erheblichen Vorfällen den NIS2-Zeitplan für die Meldung von Sicherheitsvorfällen einhalten.

Zu den Meldepflichten gehören:

Meldungen sind an das zuständige nationale CSIRT oder die nach NIS2 benannte zuständige Behörde zu übermitteln.

Angesichts der systemischen Bedeutung von Clearing- und Abwicklungssystemen gelten Vorfälle, die die Handelskontinuität, die Transaktionsintegrität oder den Marktzugang beeinträchtigen, häufig als erheblich. Die 24-Stunden-Meldepflicht nach NIS2 erfordert schnelle Eskalationsprozesse und eine koordinierte Kommunikation mit den Aufsichtsbehörden.

Die Nichteinhaltung der Meldefristen kann zu aufsichtsrechtlichen Durchsetzungsmaßnahmen führen.

Die NIS2-Compliance für Finanzmarktinfrastrukturen begründet eine direkte Verantwortlichkeit des Leitungsorgans.

Wesentliche Governance-Anforderungen umfassen:

Artikel 21 der NIS2-Richtlinie hebt die Cybersicherheit auf die Verantwortung der obersten Leitungsebene an. Die Geschäftsleitung muss sicherstellen, dass Resilienzstrategien, Incident-Management-Protokolle und Risikobewertungen formell dokumentiert und in die Unternehmensgovernance integriert sind.

Für FMIs können Governance-Versäumnisse nicht nur zu behördlichen Sanktionen führen, sondern auch die Stabilität der Finanzmärkte insgesamt gefährden.

• Genehmigung der Maßnahmen des Cybersicherheits-Risikomanagements durch das Leitungsorgan
• Überwachung der Umsetzung und Wirksamkeit
• Verpflichtende Cybersicherheits-Schulungen für das Leitungsorgan
• Mögliche persönliche Haftung nach nationalem Recht

Als Einrichtungen des Anhangs I unterliegen Finanzmarktinfrastrukturen einer proaktiven Aufsicht. Zuständige Behörden können Prüfungen, Inspektionen und Sicherheitsbewertungen durchführen, unabhängig davon, ob ein Sicherheitsvorfall eingetreten ist.

Verwaltungsrechtliche Geldbußen bei Nichteinhaltung sind:

Nationale Umsetzungsgesetze können die aufsichtsrechtliche Koordinierung zwischen Finanzaufsichtsbehörden und den nach NIS2 zuständigen Behörden weiter definieren. Die Richtlinie legt jedoch harmonisierte Mindestschwellen für Sanktionen in allen Mitgliedstaaten fest.

Angesichts des systemischen Risikoprofils von FMIs ist mit einer strengen Durchsetzung zu rechnen, die eng mit den Finanzaufsichtsrahmen abgestimmt ist.

• Wesentliche Einrichtungen: Bis zu €10 Millionen oder 2 % des weltweiten Gesamtjahresumsatzes (je nachdem, welcher Betrag höher ist)

Finanzmarktinfrastrukturen sollten einen strukturierten Compliance-Ansatz verfolgen:

Frühzeitige Vorbereitung reduziert das Durchsetzungsrisiko und schützt die Betriebskontinuität.

1. Führen Sie eine NIS2-Lückenanalyse durch, ausgerichtet an bestehenden Resilienzrahmen für Marktinfrastrukturen
2. Kartieren Sie kritische Clearing-, Abwicklungs- und Handelssysteme
3. Formalisieren Sie ein dokumentiertes Rahmenwerk für das Cybersicherheits-Risikomanagement
4. Aktualisieren Sie die Verfahren zur Reaktion auf Sicherheitsvorfälle und zur Krisenkoordination
5. Überprüfen Sie Verträge mit Drittanbietern für Technologie und Daten
6. Schulen Sie Vorstandsmitglieder und die oberste Leitung
7. Richten Sie einen 24-h/72-h/1-Monat-Meldeworkflow ein

Finanzmarktinfrastrukturen sind im Rahmen von NIS2 sektorspezifischen Risiken ausgesetzt:

Die Einhaltung von NIS2 durch Finanzmarktinfrastrukturen ist daher eine entscheidende Komponente für die systemische Stabilität und die aufsichtsrechtliche Sicherheit.

• Marktstörungen: Cybervorfälle können Handels- oder Abwicklungsprozesse zum Erliegen bringen.
• Systemische Ansteckung: Ausfälle können sich kaskadenartig über die Finanzmärkte ausbreiten.
• Beeinträchtigung der Datenintegrität: Die Manipulation von Transaktionsdaten kann das Vertrauen untergraben.
• Aufsichtsrechtliche Geldbußen: Nichteinhaltung setzt betroffene Einrichtungen erheblichen finanziellen Sanktionen aus.
• Reputationsschäden: Das Marktvertrauen hängt von der operationellen Resilienz ab.