Erstreckung der Fiktion Kritischer Infrastrukturen sowie Ausdehnung des Melderegimes und organisatorischer Anforderungen auf weitere Tätigkeiten der Erbringer von Wertpapierdienstleistungen.
Im Zuge der Änderung der Neufassung des Kritischen Infrastrukturregimes – bestehend aus dem Ge-setz über das Bundesamt für Sicherheit in der Informationstechnologie (BSI-Gesetz) und der nachran-gigen Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-Kritisverordnung) – wird die Fiktion Kritischer Infrastrukturen über die Abwicklung von Wertpapiergeschäften hinaus auch auf Bereiche des Wertpapierhandels erstreckt. Materiell-rechtlich erfasst ist dabei ein „System für das Erzeugen von Aufträgen zum Handel von Wertpapieren und Derivaten und Weiterleiten an einen Handelsplatz“. Un-ternehmen, die danach von der zu Jahresbeginn geänderten BSI-Kritisverordnung erfasst sind, haben regelmäßig zu ermitteln, ob im vorherigen Kalenderjahr ein sog. Versorgungsgrad von 6.750.000 Transaktionen erreicht bzw. überschritten worden ist. Ist dies nicht der Fall, gilt das Unternehmen nicht als Kritische Infrastruktur und unterfällt nicht dem BSI-Regime.
Unternehmen, die hingegen als Kritische Infrastrukturen dem BSI-Regime unterfallen, haben materiell-rechtlich insbesondere die Anforderungen des § 8a BSI-Gesetzes sowie des § 9 i.V.m. Anhang Teil 1 bis 3 BSI-Kritisverordnung zu erfüllen und die entsprechenden Sicherheitsstrukturen nebst Meldere-gime vorzuhalten – bei neu erfassten Unternehmen gilt dies ab dem 01.04.2022. Die Erfüllung dieser Anforderungen ist dem Bundesamt erstmalig („spätestens zwei Jahre“ nach Erfassung als Kritische Infrastruktur) und danach regelmäßig alle zwei Jahre nachzuweisen. Das Über-/Unterschreiten des ge-nannten Schwellenwerts im jeweiligen Vorjahr ist jährlich bis Ende März des Folgejahres zu überprüfen – erstmalig mithin Ende März 2022.
Eine Reihe praktischer Auslegungsfragen zum Geltungsbereich der Verordnung und deren genauen Vorgaben erscheinen noch nicht abschließend geklärt bzw. einen gewissen „Spielraum“ zu bieten. Insbesondere bleibt es auch weiteren Verwaltungshinweisen vorbehalten, wann man es im Einzelfall bzw. konkret mit einem System für das Erzeugen von Aufträgen zum Handel von Wertpapieren und Derivaten und Weiterleiten an einen Handelsplatz zu tun hat.
Überdies dürften Wertpapierhandelsunternehmen, die künftighin als Kritische Infrastrukturen gelten, vielfach ohnehin bereits aus sonstigen bestehenden materiellen Aufsichtsanforderungen (namentlich MiFID-Regime, MaRisk, MaComp und BAIT) Sicherheitsstrukturen aufweisen, die denen des BSI-Regimes materiell bereits entsprechen.
Zu beachten ist in diesem Zusammenhang auch der Verordnungsentwurf der EU-Kommission „DORA (Digital Operational Resilience Act)“, der der Stärkung der operationellen Resilienz des Finanzsektors dient und insbesondere darauf abzielt, die digitalen Fähigkeiten der Unternehmen auch im Falle eines Cyberangriffs aufrecht zu erhalten. Wie sich das Kritis-Regime und die DORA-Verordnung zukünftig materiell-rechtlich „zueinander“ verhalten bzw. ob eines der Regelwerke das andere „überlagert“, bleibt einstweilen abzuwarten und ist der weiteren gemeinschaftsrechtlichen Entwicklung vorbehalten.
Praxistipp
Unternehmen, die im Rahmen der Erbringung von Wertpapierdienstleistungen (Handel und Abwick-lung) tätig sind, sollten ermitteln, ob das Kritis-Regime generell auf sie anwendbar ist, ob ggf. signifi-kante Schwellenwerte über- oder unterschritten werden und welche Meldeerfordernisse sowie gemäß § 8a Abs. 1 BSI-Gesetz umzusetzende Maßnahmen ggf. mit einer Einbeziehung verbunden sind. In die-sem Zusammenhang empfiehlt es sich, auch weitere Hinweise des Bundesamtes für Sicherheit in der Informationstechnologie sowie der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sorgfältig zu verfolgen.