NIS-2 im Finanzsektor: Banken, Versicherungen und Zahlungsdienstleister
Die Anforderungen der NIS-2-Richtlinie für den Finanzsektor: Was Banken, Versicherungen und Finanzdienstleister beachten müssen und wie sich NIS-2 zu DORA verhält.
NIS-2 Redaktion
Wenn Sie in der Finanzbranche arbeiten und sich fragen, ob NIS-2 für Sie gilt – die Antwort ist kompliziert. Der Finanzsektor gehört zwar zu den kritischen Sektoren unter NIS-2, aber es gibt ein anderes Regelwerk, das Vorrang hat: DORA. Die gute Nachricht: Sie müssen wahrscheinlich nicht beide parallel erfüllen. Die schlechte: DORA ist in vielen Punkten strenger.
Das Zusammenspiel von NIS-2 und DORA
NIS-2 erfasst im Finanzbereich Kreditinstitute, Handelsplätze und zentrale Gegenparteien. Aber für den gesamten Finanzsektor gibt es seit Januar 2025 DORA – den Digital Operational Resilience Act.
DORA ist eine EU-Verordnung, also direkt anwendbar, keine nationale Umsetzung nötig. Und DORA geht vor. Das Prinzip nennt sich “lex specialis derogat legi generali” – das speziellere Gesetz verdrängt das allgemeinere. Die NIS-2-Richtlinie selbst stellt das in Artikel 4 klar: Wenn sektorspezifische Rechtsakte mindestens gleichwertige Anforderungen stellen, gelten diese vorrangig.
Was heißt das praktisch? Wenn Sie Bank, Versicherung, Wertpapierfirma, Zahlungsinstitut, E-Geld-Institut, zentrale Gegenpartei, Handelsplatz, Ratingagentur oder Pensionsfonds sind – dann ist DORA Ihr primäres Regelwerk, nicht NIS-2.
Es gibt eine Ausnahme: IT-Dienstleister, die für den Finanzsektor kritisch sind. Wenn die europäischen Aufsichtsbehörden Sie als “kritischen IKT-Drittdienstleister” einstufen, können sowohl DORA als auch NIS-2 relevant sein. Aber das betrifft nur wenige Unternehmen.
Was DORA fordert – und warum es oft strenger ist
DORA verlangt einiges. Beim IKT-Risikomanagement müssen Sie einen Governance-Rahmen haben, alle IKT-Assets identifizieren und klassifizieren, Schutzmaßnahmen entsprechend dem Risiko implementieren, und Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten nachweisen.
Beim Vorfallsmanagement wird es interessant: Die Erstmeldung muss innerhalb von vier Stunden erfolgen – nicht 24 Stunden wie bei NIS-2. Das ist ein erheblicher Unterschied. Vier Stunden, nachdem Sie einen schwerwiegenden Vorfall erkannt haben, muss die Meldung raus. Das erfordert gut geölte Prozesse.
Bei Resilienz-Tests verlangt DORA jährliche Tests aller IKT-Systeme. Für bedeutende Finanzunternehmen kommt alle drei Jahre ein “Threat-led Penetration Testing” dazu – echte Angreifer-Simulationen, nicht nur standardisierte Scans.
Und das Drittparteienrisiko: DORA verlangt eine Strategie, ein Register aller IKT-Verträge, Due Diligence bei Auswahl und Überwachung, und detaillierte vertragliche Mindestanforderungen. Das geht deutlich weiter als die Lieferkettensicherheit unter NIS-2.
Die Unterschiede auf einen Blick
| Aspekt | NIS-2 | DORA |
|---|---|---|
| Rechtsform | Richtlinie (nationale Umsetzung) | Verordnung (direkt anwendbar) |
| Geltungsbereich | Sektorübergreifend | Finanzsektor |
| Erstmeldung Vorfall | 24 Stunden | 4 Stunden |
| Penetrationstests | Nach Ermessen | Verpflichtend |
| Drittparteien | Lieferkettensicherheit | Detailliertes Regime |
| Aufsicht | BSI | BaFin + ESAs |
Die BaFin ist Ihr Ansprechpartner, nicht das BSI
Für den Finanzsektor ist die BaFin zuständig, nicht das BSI. Die BaFin überwacht die DORA-Compliance, nimmt Vorfallsmeldungen entgegen, führt Prüfungen durch und verhängt Sanktionen.
Das ist keine völlig neue Situation. Finanzunternehmen unterlagen schon vorher strengen Anforderungen: MaRisk, BAIT für Banken, VAIT für Versicherungen, KAIT für Kapitalverwaltungsgesellschaften, ZAIT für Zahlungsdienste. DORA harmonisiert und ersetzt teilweise diese nationalen Anforderungen.
Wenn Sie MaRisk und BAIT schon erfüllen, haben Sie eine gute Ausgangsbasis. Aber DORA setzt in einigen Bereichen nochmal drauf.
Was Sie jetzt tun sollten
Erstens: Klarheit schaffen. Fällt primär DORA oder NIS-2 für Sie? In den allermeisten Fällen im Finanzsektor ist es DORA. Nutzen Sie Ihre bestehende Compliance mit MaRisk und BAIT als Basis und machen Sie eine Gap-Analyse gegen DORA.
Zweitens: Governance anpassen. IKT-Risikomanagement muss auf Geschäftsleitungsebene verankert sein. Verantwortlichkeiten müssen klar definiert sein. Berichtswege müssen funktionieren.
Drittens: Das Drittparteienmanagement ernst nehmen. Erstellen Sie ein Register aller IKT-Verträge. Identifizieren Sie kritische Dienstleister. Prüfen Sie Verträge auf DORA-Konformität. Entwickeln Sie Exitstrategien.
Viertens: Vorfallsmanagement auf vier Stunden trimmen. Das ist ein großer Unterschied zu 24 Stunden. Sie brauchen Klassifizierungskriterien, die schnell greifen. Sie brauchen Meldeprozesse, die sofort losgehen. Üben Sie das.
Fünftens: Resilienz-Tests planen. Jährliche Tests sind Pflicht. Wenn Sie ein bedeutendes Finanzunternehmen sind, planen Sie Budget für Threat-led Penetration Testing ein. Und wählen Sie qualifizierte Tester.
Für IT-Dienstleister im Finanzsektor
Wenn Sie als IT-Dienstleister für Finanzunternehmen arbeiten, werden Sie DORA spüren – über Ihre Kunden.
DORA schreibt detaillierte Vertragsklauseln vor: Beschreibung der Dienstleistungen, Leistungsziele und Service Levels, Sicherheitsanforderungen, Audit-Rechte des Finanzunternehmens und der Aufsicht, Kündigungsregelungen und Exitunterstützung.
Ihre Kunden werden diese Anforderungen an Sie weitergeben. Bereiten Sie sich vor: Entwickeln Sie DORA-konforme Vertragsvorlagen. Stellen Sie sicher, dass Sie audit-fähig sind. Streben Sie Zertifizierungen an. Etablieren Sie Vorfallsmeldeprozesse an Ihre Finanzkunden.
Wenn Sie als kritischer IKT-Drittdienstleister eingestuft werden, kommt direkte Aufsicht durch die europäischen Behörden hinzu. Das ist ein anderes Level.
Am Ende
Für den Finanzsektor ist DORA das maßgebliche Regelwerk – nicht NIS-2. Die Anforderungen sind in vielen Bereichen strenger, insbesondere bei den Meldepflichten und den Resilienz-Tests.
Das ist keine Katastrophe. Finanzunternehmen, die MaRisk, BAIT und ähnliches schon erfüllen, haben eine solide Basis. Aber DORA verlangt Anpassungen, vor allem beim Drittparteienmanagement und bei den Tests.
Die Botschaft: Der Finanzsektor ist regulatorisch gut aufgestellt, aber DORA setzt neue Maßstäbe. Wer die Anforderungen ernst nimmt, verbessert nicht nur die Compliance, sondern auch die echte Widerstandsfähigkeit gegen Cyberangriffe. Und das ist am Ende das, was zählt.
Schlagworte
War dieser Artikel hilfreich?
Prüfen Sie jetzt kostenlos, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist.