Klarstellung des Zusammenspiels mit bestehenden Regelwerken
Der CSA2-Entwurf wirkt als branchenübergreifender Rechtsakt komplementär zu sektorspezifischen Regelwerken wie dem Digital Operational Resilience Act (DORA). Für DORA-verpflichtete Institute sollte daher klarer dargestellt werden, wie CSA2, die NIS2-Richtlinie und der Cyber Resilience Act (CRA) zusammenwirken. Eine konsistente Ausgestaltung dieser Regelwerke würde dazu beitragen, regulatorische Klarheit zu schaffen und Überschneidungen zu vermeiden.
Klare Abgrenzung der Zuständigkeiten
Ebenso wichtig ist eine transparente Rollenverteilung zwischen den europäischen und nationalen Institutionen. Eine klare Abgrenzung der Zuständigkeiten zwischen der Agentur der Europäischen Union für Cybersicherheit (ENISA), der Europäischen Bankenaufsichtsbehörde (EBA), der Europäischen Zentralbank (EZB) sowie den nationalen Aufsichtsbehörden würde zur Rechtssicherheit beitragen. Die Stärkung der ENISA als technische Fachinstanz für Cyberrisiken wird grundsätzlich begrüßt. Zugleich erscheint es sinnvoll, bei der Behandlung von Schwachstellen auf etablierte internationale Standards – etwa das System der Common Vulnerabilities and Exposures (CVE) – zurückzugreifen.
EU-konforme Zertifizierungen pragmatisch ausgestalten
Der CSA stärkt die Rolle europäischer Cybersecurity-Zertifizierungen, unter anderem durch die Entwicklung eines Zertifizierungssystems für die „Cyber Posture“ von Unternehmen im Anwendungsbereich der NIS2-Richtlinie. Diese sollen künftig mit einer Konformitätsvermutung verbunden sein. Aus Sicht des Finanzsektors ist es wichtig, dass Zertifizierungen weiterhin freiwillig, risikobasiert und marktorientiert bleiben. Gleichzeitig sollten NIS2-Zertifizierungen als Konformitätsnachweis für IKT-Dienstleister auch im Rahmen von DORA nutzbar sein.
Doppelregulierung vermeiden und praktikable Übergangsregelungen schaffen
Schließlich sollte darauf geachtet werden, Doppelregulierung zu vermeiden. Dies betrifft insbesondere Transparenzpflichten gegenüber Lieferanten, die bereits im Rahmen von DORA erfüllt werden. Auch mögliche Überschneidungen zwischen Hochrisiko-Lieferanten nach CSA2 und kritischen Dienstleistern gemäß DORA sollten berücksichtigt werden. Für den Fall regulatorischer Einschränkungen bei kritischen Komponenten wären zudem angemessene Übergangsfristen und praktikable Härtefallregelungen sinnvoll, um einen geordneten und sicheren Anpassungsprozess zu ermöglichen.
Wesentlich ist in diesem Zusammenhang die kohärente Einbettung der Konsultation in die aktuellen regulatorischen Initiativen zur Vereinfachung. Der im CSA2 vorgesehene Single Entry Point für eine einheitliche Meldung von Vorfällen greift diesen Ansatz auf und bietet die Chance, bestehende Meldeanforderungen stärker zu harmonisieren. Dies ist auch vor dem Hintergrund der aktuellen wettbewerbspolitischen Konsultationen relevant, da ein konsistentes Meldewesen zur Reduzierung von Komplexität und damit zur Stärkung der Wettbewerbsfähigkeit beiträgt. Vor diesem Hintergrund werden wir in den kommenden Wochen insbesondere den Fokus auf ein langfristig konsistentes und praxistaugliches Vorfallsmeldewesen legen.