NIS-2 im Finanzsektor: Banken, Versicherer und DORA

Wenn Sie in der Finanzbranche arbeiten und sich fragen, ob NIS-2 für Sie gilt – die Antwort ist kompliziert. Der Finanzsektor gehört zwar zu den kritischen Sektoren unter NIS-2, aber es gibt ein anderes Regelwerk, das Vorrang hat: DORA. Die gute Nachricht: Sie müssen wahrscheinlich nicht beide parallel erfüllen. Die schlechte: DORA ist in vielen Punkten strenger.

Das Zusammenspiel von NIS-2 und DORA

NIS-2 erfasst im Finanzbereich Kreditinstitute, Handelsplätze und zentrale Gegenparteien. Aber für den gesamten Finanzsektor gilt seit dem 17. Januar 2025 DORA – der Digital Operational Resilience Act.

DORA ist eine EU-Verordnung, also direkt anwendbar, keine nationale Umsetzung nötig. Und DORA geht vor. Das Prinzip nennt sich “lex specialis derogat legi generali” – das speziellere Gesetz verdrängt das allgemeinere. Die NIS-2-Richtlinie selbst stellt das in Artikel 4 klar (siehe auch Erwägungsgrund 16 DORA): Wenn sektorspezifische Rechtsakte mindestens gleichwertige Anforderungen stellen, gelten diese vorrangig.

In Deutschland ist das durch § 28 Abs. 6 BSIG konkretisiert: Finanzunternehmen im Sinne von Art. 2 Abs. 2 DORA sind von wesentlichen materiellen Pflichten des BSIG ausgenommen – das betrifft die Risikomanagementmaßnahmen (§ 30), die Meldepflichten (§ 32), die Aufsicht und die Schulungspflicht der Geschäftsleitung (§§ 35, 36, 38, 39). Eine Komplettbefreiung ist es trotzdem nicht: Bestimmte Registrierungs- und Listungspflichten bleiben bestehen.

Was heißt das praktisch? Wenn Sie Bank, Versicherung, Wertpapierfirma, Zahlungsinstitut, E-Geld-Institut, zentrale Gegenpartei, Handelsplatz, Ratingagentur oder Pensionsfonds sind – dann ist DORA Ihr primäres Regelwerk, nicht NIS-2.

Es gibt zwei Ausnahmen, die häufig übersehen werden. Erstens: IT-Dienstleister, die für den Finanzsektor kritisch sind. Wenn die europäischen Aufsichtsbehörden Sie als “kritischen IKT-Drittdienstleister” einstufen, können sowohl DORA als auch NIS-2 relevant sein. Zweitens: Versicherungsvermittler, die als Klein- oder Mittelunternehmen gelten (< 250 Mitarbeitende und ≤ 50 Mio. EUR Umsatz), sind nach Art. 2 Abs. 3 lit. e DORA aus DORA ausgenommen und fallen typischerweise auch nicht unter NIS-2 – pauschale “Versicherer = nur DORA”-Aussagen greifen also zu kurz.

Was DORA fordert – und warum es oft strenger ist

DORA verlangt einiges. Beim IKT-Risikomanagement müssen Sie einen Governance-Rahmen haben, alle IKT-Assets identifizieren und klassifizieren, Schutzmaßnahmen entsprechend dem Risiko implementieren, und Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten nachweisen.

Beim Vorfallsmanagement wird es interessant: Die DORA-Erstmeldung folgt einer Doppelfrist nach Art. 5 der Delegierten Verordnung (EU) 2025/301. Spätestens 4 Stunden nach der Klassifizierung eines Vorfalls als “schwerwiegend” muss die Meldung raus – und in keinem Fall später als 24 Stunden nach Kenntnisnahme. Was zuerst eintritt, gilt. Das ist deutlich enger als die 24/72-Stunden-Logik von NIS-2 und erfordert geölte Klassifizierungs- und Meldeprozesse.

Bei Resilienz-Tests verlangt DORA jährliche Tests aller IKT-Systeme. Für die Institute, die die zuständige Aufsichtsbehörde nach Art. 26 Abs. 8 DORA explizit identifiziert (typischerweise systemrelevante oder kritische Marktteilnehmer), kommt mindestens alle drei Jahre ein “Threat-led Penetration Testing” (TLPT) dazu – echte Angreifer-Simulationen, nicht nur standardisierte Scans. Wichtig: TLPT trifft nicht jedes “bedeutende” Institut automatisch, sondern nur die von der Aufsicht explizit benannten Unternehmen.

Und das Drittparteienrisiko: DORA verlangt eine Strategie, ein Register aller IKT-Verträge, Due Diligence bei Auswahl und Überwachung, und detaillierte vertragliche Mindestanforderungen. Das geht deutlich weiter als die Lieferkettensicherheit unter NIS-2.

Die Unterschiede auf einen Blick

Aspekt	NIS-2	DORA
Rechtsform	Richtlinie (nationale Umsetzung)	Verordnung (direkt anwendbar)
Geltungsbereich	Sektorübergreifend	Finanzsektor
Erstmeldung Vorfall	24 Stunden	4 h nach Klassifizierung / max. 24 h nach Kenntnis
Penetrationstests	Nach Ermessen	Verpflichtend
Drittparteien	Lieferkettensicherheit	Detailliertes Regime
Aufsicht	BSI	BaFin + ESAs

Die BaFin ist Ihr Ansprechpartner, nicht das BSI

Für den Finanzsektor ist die BaFin zuständig, nicht das BSI. Die BaFin überwacht die DORA-Compliance, nimmt Vorfallsmeldungen entgegen, führt Prüfungen durch und verhängt Sanktionen.

Das ist keine völlig neue Situation. Finanzunternehmen unterlagen schon vorher strengen Anforderungen: MaRisk, BAIT für Banken, VAIT für Versicherungen, KAIT für Kapitalverwaltungsgesellschaften, ZAIT für Zahlungsdienste.

Hier hat sich 2025/2026 viel bewegt: VAIT, KAIT und ZAIT wurden mit Ablauf des 16. Januar 2025 aufgehoben – ihre Inhalte sind in DORA aufgegangen. BAIT wird stufenweise abgeschafft und tritt vollständig zum 31. Dezember 2026 außer Kraft. MaRisk bleibt bestehen, allerdings werden die IT-bezogenen Passagen in der 9. MaRisk-Novelle gestrichen, die seit April 2026 in der BaFin-Konsultation läuft.

Wenn Sie MaRisk und BAIT schon erfüllen, haben Sie eine gute Ausgangsbasis. Aber DORA setzt in einigen Bereichen nochmal drauf, und die nationalen IT-Rundschreiben verlieren parallel an Bedeutung.

Was Sie jetzt tun sollten

Erstens: Klarheit schaffen. Fällt primär DORA oder NIS-2 für Sie? In den allermeisten Fällen im Finanzsektor ist es DORA. Nutzen Sie Ihre bestehende Compliance mit MaRisk und BAIT als Basis und machen Sie eine Gap-Analyse gegen DORA.

Zweitens: Governance anpassen. IKT-Risikomanagement muss auf Geschäftsleitungsebene verankert sein. Verantwortlichkeiten müssen klar definiert sein. Berichtswege müssen funktionieren.

Drittens: Das Drittparteienmanagement ernst nehmen. Erstellen Sie ein Register aller IKT-Verträge. Identifizieren Sie kritische Dienstleister. Prüfen Sie Verträge auf DORA-Konformität. Entwickeln Sie Exitstrategien.

Viertens: Vorfallsmanagement auf die DORA-Doppelfrist trimmen. Spätestens 4 Stunden nach Klassifizierung als schwerwiegend, in keinem Fall später als 24 Stunden nach Kenntnisnahme. Das verlangt Klassifizierungskriterien, die schnell greifen, und Meldeprozesse, die sofort anlaufen. Üben Sie das.

Fünftens: Resilienz-Tests planen. Jährliche Tests sind Pflicht. Wenn Sie ein bedeutendes Finanzunternehmen sind, planen Sie Budget für Threat-led Penetration Testing ein. Und wählen Sie qualifizierte Tester.

Für IT-Dienstleister im Finanzsektor

Wenn Sie als IT-Dienstleister für Finanzunternehmen arbeiten, werden Sie DORA spüren – über Ihre Kunden.

DORA schreibt detaillierte Vertragsklauseln vor: Beschreibung der Dienstleistungen, Leistungsziele und Service Levels, Sicherheitsanforderungen, Audit-Rechte des Finanzunternehmens und der Aufsicht, Kündigungsregelungen und Exitunterstützung.

Ihre Kunden werden diese Anforderungen an Sie weitergeben. Bereiten Sie sich vor: Entwickeln Sie DORA-konforme Vertragsvorlagen. Stellen Sie sicher, dass Sie audit-fähig sind. Streben Sie Zertifizierungen an. Etablieren Sie Vorfallsmeldeprozesse an Ihre Finanzkunden.

Wenn Sie als kritischer IKT-Drittdienstleister eingestuft werden, kommt direkte Aufsicht durch die europäischen Behörden hinzu. Das ist ein anderes Level.

Am Ende

Für den Finanzsektor ist DORA das maßgebliche Regelwerk – nicht NIS-2. Die Anforderungen sind in vielen Bereichen strenger, insbesondere bei den Meldepflichten und den Resilienz-Tests.

Das ist keine Katastrophe. Finanzunternehmen, die MaRisk, BAIT und ähnliches schon erfüllen, haben eine solide Basis. Aber DORA verlangt Anpassungen, vor allem beim Drittparteienmanagement und bei den Tests.

Die Botschaft: Der Finanzsektor ist regulatorisch gut aufgestellt, aber DORA setzt neue Maßstäbe. Wer die Anforderungen ernst nimmt, verbessert nicht nur die Compliance, sondern auch die echte Widerstandsfähigkeit gegen Cyberangriffe. Und das ist am Ende das, was zählt.