NIS22026-04-174 min Lesezeit

NIS2 für Banken und Finanzdienstleister: Was neben DORA noch gilt (2026)

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 011. Rechtlicher Rahmen: Lex specialis
  2. 022. Welche Finanzunternehmen sind "nur" NIS2-pflichtig?
  3. 033. Die vier wesentlichen Unterschiede NIS2 vs DORA
  4. 044. Die praktische Frage: Ein ICT-Risikoregister oder drei?
  5. 055. Vier-Wege-Umsetzungsplan für doppelt-regulierte Institute
  6. 066. Typische Fallstricke im Finanzsektor
  7. 07Fazit

NIS2 für Banken und Finanzdienstleister: Was neben DORA noch gilt

Banken, Versicherungen, Wertpapierfirmen und Zahlungsdienstleister fallen in Deutschland gleichzeitig unter die NIS2-Richtlinie und die DORA-Verordnung. Viele Institute nehmen fälschlich an, dass DORA die allgemeine NIS2 vollständig ersetzt. Das stimmt nur teilweise und führt in der Praxis zu kritischen Compliance-Lücken.

Dieser Artikel zeigt, wie sich NIS2 und DORA im Finanzsektor überschneiden, wo sie getrennte Pflichten schaffen und wie Finanzdienstleister beide Regime in einem Programm umsetzen können.

1. Rechtlicher Rahmen: Lex specialis

Die NIS2-Richtlinie sieht in Art. 4 ausdrücklich vor, dass spezifische EU-Sektorregelungen mit mindestens gleichwertigen Anforderungen Vorrang haben. DORA (Verordnung 2022/2554) ist eine solche Spezialregelung für den Finanzsektor. Für Finanzunternehmen im DORA-Sinne gilt damit:

  • DORA ersetzt die NIS2-Regelungen zu ICT-Risikomanagement, Incident-Meldung und TLPT
  • NIS2-Regelungen zu Governance, Lieferkettensicherheit, physischer Sicherheit bleiben anwendbar, soweit DORA sie nicht deckungsgleich regelt
  • Das deutsche NIS2UmsuCG regelt in § 29 BSIG-neu das Verhältnis konkret

In der Praxis heißt das: Wer DORA vollständig umsetzt, erfüllt einen großen Teil von NIS2 – aber nicht alles.

2. Welche Finanzunternehmen sind "nur" NIS2-pflichtig?

Nicht jeder Finanzakteur fällt unter DORA. NIS2 (ohne DORA-Vorrang) betrifft u.a.:

  • Finanzmarkt-Peripherie – Fintechs ohne Banklizenz, Vermögensverwalter außerhalb der AIFMD/UCITS-Spannen
  • Kreditvermittler und gebundene Finanzanlagenvermittler
  • Crowdfunding-Plattformen (falls nicht unter ECSPR erfasst)
  • Teile der Versicherungsvermittlung
  • Factoring- und Leasinggesellschaften ohne ICL-Lizenz

Diese Unternehmen tragen die vollen NIS2-Pflichten aus Art. 21 NIS2 / § 30 BSIG-neu.

3. Die vier wesentlichen Unterschiede NIS2 vs DORA

a) ICT-Drittanbieter

  • DORA: umfangreiche Regelungen zu kritischen ICT-Drittanbietern, Exit-Strategien, Konzentrationsrisiko, unionsweites Register
  • NIS2: Lieferkettensicherheit als ein Punkt unter zehn, weniger Detailtiefe

Konsequenz: DORA-Banken haben bereits ein ICT-Register. NIS2-only-Institute müssen es erst aufbauen.

b) Incident-Meldung

  • DORA: 24h / 72h / 1 Monat nach Inkrafttreten der Major-ICT-Incident-Klassifizierung
  • NIS2: 24h / 72h / 1 Monat, aber andere Klassifizierungsschwellen und an BSI, nicht BaFin

Konsequenz: Doppelt-regulierte Banken melden doppelt. Matproof bildet beide Meldewege ab und klassifiziert Incidents automatisch nach beiden Schemata.

c) Management-Verantwortung

  • DORA: Art. 5 — Leitungsorgan trägt letzte Verantwortung, muss Strategie und Ressourcen festlegen
  • NIS2: Art. 20 — Leitungsorgan muss Maßnahmen genehmigen, Umsetzung überwachen, kann persönlich haftbar werden

Konsequenz: Die Pflichten überlappen, sind aber nicht identisch. Die Dokumentation muss beides abdecken.

d) Schulungspflichten

  • DORA: ICT-Awareness-Programme, rollenspezifische Schulung
  • NIS2: Cyberhygiene-Schulung für alle + spezifische Leitungsschulung
  • EU AI Act (wenn KI im Einsatz): KI-Kompetenz nach Art. 4 zusätzlich

4. Die praktische Frage: Ein ICT-Risikoregister oder drei?

Viele Institute führen heute:

  • ein DORA-ICT-Risikoregister
  • ein NIS2-Risikoregister
  • ein operationales Risikoregister (MaRisk)
  • ein BCM-Register
  • ein Lieferantenregister

Das ist Verschwendung. Die zugrundeliegenden Risiken sind zu 70-80 % identisch. Eine Multi-Framework-GRC-Plattform führt ein einziges Risikoregister mit Framework-Taggs. Ein ICT-Ausfall wird automatisch unter DORA Art. 6, NIS2 Art. 21 Nr. 3 und MaRisk AT 7.2 einsortiert.

5. Vier-Wege-Umsetzungsplan für doppelt-regulierte Institute

  1. Scope-Klarheit (1 Woche): Welche Tochtergesellschaften, Geschäftsbereiche und IT-Assets fallen unter DORA, welche zusätzlich unter NIS2 bzw. nur unter NIS2?
  2. Control-Mapping (1 Woche): DORA-Controls, NIS2-Maßnahmen aus Art. 21 und MaRisk AT 7.2 in einer Matrix. Identifiziert Dopplungen.
  3. Prozess-Konsolidierung (2-3 Wochen): Incident-Meldeprozess so aufsetzen, dass eine interne Meldung automatisch die richtige externe Meldung (BaFin bei DORA, BSI bei NIS2) auslöst.
  4. Audit-Vorbereitung (laufend): DORA-Prüfung durch BaFin / ECB, NIS2-Prüfung durch BSI. Beide müssen aus denselben Nachweisen bedient werden können.

6. Typische Fallstricke im Finanzsektor

  1. "DORA reicht uns" — falsch, wenn NIS2-spezifische Sektorabschnitte (z.B. Krypto-Werte-Dienstleister, bestimmte Fintechs) betroffen sind
  2. Incident-Klassifizierung inkonsistent — DORA-Major-Incident ist nicht automatisch ein NIS2-Significant-Incident und umgekehrt
  3. Trennung Business Continuity vs. DORA — DORA integriert BCM tief; NIS2 fordert es als eigenständige Maßnahme
  4. Konzernperspektive fehlt — Konzerne müssen beide Regime für Töchter separat bewerten

Fazit

Für Banken, Versicherungen und Finanzdienstleister ist NIS2 neben DORA zu denken, nicht statt DORA. Das deutsche NIS2UmsuCG regelt das Verhältnis, aber es entstehen eigenständige Pflichten zu Lieferkette, Governance und bestimmten Finanzakteuren außerhalb des DORA-Scopes.

Die effiziente Umsetzung nutzt die 70-80 % Überschneidung – mit einer Multi-Framework-Plattform, die beide Regime aus denselben Nachweisen bedient und doppelte Arbeit eliminiert.

Weiterführend:

NIS2 BankenNIS2 FinanzdienstleisterNIS2 DORA AbgrenzungNIS2 VersicherungNIS2 BaFinFinanzsektor NIS2

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern