NIS2-guide
Zurück zum Blog
Finanzsektor
DORA vs NIS2: Praxisleitfaden für Banken, Versicherer und Fintechs (2026)

DORA vs NIS2: Praxisleitfaden für Banken, Versicherer und Fintechs (2026)

9 Min. Lesezeit
AD

Alexandre Durand

Chefredakteur — Cybersicherheitsexperte

Montagmorgen, 9 Uhr. Der CISO einer deutschen Bank erhält zwei Schreiben. Das erste der BaFin erinnert daran, dass die Verordnung DORA (Verordnung (EU) 2022/2554) seit dem 17. Januar 2025 vollständig gilt. Das zweite des BSI weist darauf hin, dass die deutsche NIS2-Umsetzung nun ihre Aktivitäten erfasst. Einfache Frage, komplexe Antwort: Müssen beide Texte angewendet werden, oder hat einer Vorrang?

Diese Verwirrung ist verbreitet. Nach den gemeinsamen Leitlinien der ENISA und der drei Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) hängt die Antwort von einem präzisen Rechtsprinzip ab: der *lex specialis*. So lassen sich beide Regelwerke konkret für eine Bank, einen Versicherer oder ein Fintech in Europa miteinander in Einklang bringen.

DORA und NIS2: zwei Texte, zwei Logiken

DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) ist eine EU-Verordnung — daher in allen Mitgliedstaaten unmittelbar anwendbar, ohne nationale Umsetzung. Im Dezember 2022 verabschiedet, seit dem 17. Januar 2025 anwendbar, richtet sie sich speziell an den Finanzsektor: Banken, Versicherungen, Vermögensverwalter, Zahlungsdienstleister, Kryptowerte-Plattformen, zentrale Gegenparteien und mehr als 20 Kategorien von Finanzunternehmen insgesamt.

NIS2 (Richtlinie 2022/2555) ist eine Richtlinie — sie erfordert die Umsetzung durch jeden Mitgliedstaat. Ihr Anwendungsbereich umfasst 18 hoch kritische und kritische Sektoren, darunter den Bankensektor und die Finanzmarktinfrastrukturen. Die Umsetzung sollte bis zum 17. Oktober 2024 abgeschlossen sein; im Mai 2026 sind mehrere Länder noch im Rückstand.

Der Ansatz unterscheidet sich: DORA behandelt die digitale Betriebsstabilität durchgängig (IKT-Risikomanagement, Tests, Vorfälle, Drittanbieter, Informationsaustausch). NIS2 setzt einen allgemeinen Rahmen für die Cybersicherheit, der für alle kritischen Sektoren gilt.

Echtzeit-Dashboard zur Überwachung operationeller Risiken
Echtzeit-Dashboard zur Überwachung operationeller Risiken

Lex specialis: DORA hat für Finanzunternehmen Vorrang vor NIS2

Erwägungsgrund 28 und Artikel 4 von DORA in Verbindung mit Artikel 4 der Richtlinie 2022/2555 sind eindeutig: Für Finanzunternehmen im Anwendungsbereich von DORA gelten die DORA-Pflichten zum IKT-Risikomanagement, zur Vorfallmeldung und zur Drittanbieterüberwachung — nicht die NIS2-Pflichten.

Praktisch bedeutet das: Eine durch DORA erfasste Bank muss ihre Prozesse nicht doppelt aufsetzen, um NIS2 in diesen Bereichen zu erfüllen. Die BaFin ist die zuständige Behörde, das BSI tritt zurück.

Aber Vorsicht: NIS2 bleibt für Nebenaktivitäten relevant, die nicht von DORA abgedeckt sind. Ein Versicherer, der ein eigenes Rechenzentrum betreibt, das auch Nicht-Finanzunternehmen bedient, oder eine Bank, die kommerziell vertriebene Software entwickelt, behält für diese Bereiche NIS2-Pflichten.

Die 6 wichtigsten Unterschiede

1. Erfasste Unternehmen

DORA erfasst ausdrücklich 21 Kategorien von Finanzunternehmen, von Kreditinstituten bis zu Verwaltern alternativer Investmentfonds, zentralen Gegenparteien und Verwaltern kritischer Referenzwerte. Kleinstunternehmen sind grundsätzlich ausgeschlossen; weitere quantitative Schwellen gelten nicht.

NIS2 erfasst 18 Sektoren mit Größenkriterien (50 Beschäftigte, 10 Mio. EUR Umsatz). "Wesentliche" Einrichtungen sind die großen Organisationen in hoch kritischen Sektoren; "wichtige" Einrichtungen umfassen den Rest.

2. Vorfallmeldung: 4 Stunden vs 24 Stunden

Das ist der auffälligste operative Unterschied.

Unter DORA (Artikel 19) muss ein schwerwiegender IKT-Vorfall innerhalb von nur 4 Stunden nach Einstufung als schwerwiegend gemeldet werden — mit einer absoluten Frist von 24 Stunden ab Erkennung. Der Zwischenbericht ist innerhalb von 72 Stunden fällig, der Abschlussbericht innerhalb eines Monats.

Unter NIS2 (Artikel 23, Richtlinie 2022/2555) ist die Erstmeldung innerhalb von 24 Stunden erforderlich, der vollständige Bericht innerhalb von 72 Stunden und der Abschlussbericht innerhalb eines Monats.

DORA ist also bei der Erstfrist deutlich strenger. Operative Details zum NIS2-Ablauf finden Sie in unserem [Praxisleitfaden zur Vorfallmeldung in 72 Stunden](/de/blog/nis2-vorfallmeldung-72h-praktischer-leitfaden).

3. Überwachung von IKT-Drittanbietern

DORA führt ein Regime ohne Entsprechung ein: ein verpflichtendes Informationsregister aller Verträge mit IKT-Drittanbietern (Artikel 28). "Kritische" Anbieter — typischerweise Cloud-Hyperscaler und große Outsourcer — werden im Rahmen der europäischen Aufsicht (Oversight Framework) direkt von den europäischen Behörden überwacht. EBA, EIOPA und ESMA teilen sich diese Rolle.

NIS2 (Artikel 21(2)(d)) verlangt eine Lieferantenrisikobewertung und Vertragsklauseln, jedoch ohne zentrales Register oder direkte europäische Aufsicht. Vertragliche Best Practices auf NIS2-Seite siehe unser [Artikel zur Lieferkette](/de/blog/nis2-lieferkette-anforderungen-lieferanten).

4. TLPT-Penetrationstests

DORA verlangt TLPT (Threat-Led Penetration Testing) alle 3 Jahre für Finanzunternehmen erheblicher Bedeutung — vor allem Großbanken und Marktinfrastrukturen. Diese Tests, geregelt durch das TIBER-EU-Rahmenwerk der EZB, simulieren reale Angriffe mit Zugriff auf Produktionssysteme.

NIS2 erwähnt Sicherheitstests bei den technischen Maßnahmen des Artikels 21, ohne Tiefe oder Frequenz vorzuschreiben.

Sitzung des Prüfungsausschusses zur Überprüfung des Resilienzrahmens
Sitzung des Prüfungsausschusses zur Überprüfung des Resilienzrahmens

5. Informationsaustausch (Threat Intelligence)

DORA fördert formell den Austausch von Cyberbedrohungsinformationen zwischen Finanzunternehmen (Artikel 45) über sektorale Strukturen wie FS-ISAC oder nationale Finanz-CERTs. NIS2 sieht ebenfalls freiwillige Austauschmechanismen vor (Artikel 29), allerdings ohne dedizierten Finanzsektor-Rahmen.

6. Sanktionen

DORA harmonisiert die Sanktionen nicht auf EU-Ebene; jeder Mitgliedstaat legt die Bußgelder fest. In Deutschland kann die BaFin Sanktionen verhängen, die schwerwiegende Verstöße empfindlich treffen.

NIS2 (Artikel 34) deckelt die Bußgelder bei 10 Mio. EUR oder 2 % des weltweiten Umsatzes für wesentliche Einrichtungen, 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen. Details zu Sanktionen und persönlicher Geschäftsführerhaftung finden Sie in unserer [Analyse der NIS2-Sanktionen](/de/blog/nis2-sanktionen-geschaeftsfuehrer).

Beide Regelwerke in der Praxis steuern

Für eine Bank oder einen Versicherer im Anwendungsbereich von DORA besteht der pragmatische Ansatz darin, ein einheitliches Compliance-Programm aufzubauen, mit DORA als Hauptgrundlage und NIS2 als Ausnahme für Restbereiche.

*Schritt 1 — Aktivitäten kartieren.* Kerngeschäftliche Tätigkeiten (Kreditvergabe, Vermögensverwaltung, Zahlungen, Handel) fallen unter DORA. Nebenaktivitäten (kommerzielle Softwareveröffentlichung, Cloud-Dienste für Nicht-Finanzunternehmen, interne Telekommunikationsinfrastruktur) können unter NIS2 verbleiben.

*Schritt 2 — Auf die strengsten Fristen ausrichten.* Wenn DORA 4 Stunden verlangt und NIS2 24 Stunden, muss Ihr Reaktionsdispositiv 4-Stunden-fähig sein. Der NIS2-Abschlussbericht (1 Monat) deckt sich mit DORA, kein Konflikt.

*Schritt 3 — Ein einziges Drittanbieterregister.* Erstellen Sie ein IKT-Drittanbieterregister, das die DORA-Anforderungen (Artikel 28) erfüllt — diese Detailtiefe deckt komfortabel ab, was NIS2 verlangt.

*Schritt 4 — Geteilte Governance.* Die Verantwortlichkeiten der Geschäftsleitung sind in beiden Texten nahezu identisch. Siehe unsere [Analyse zu Artikel 20 NIS2](/de/blog/nis2-artikel-20-geschaeftsleitung-verantwortung) — diese Pflichten gelten auch unter DORA über die EBA-Leitlinien zur IKT-Risikogovernance.

*Schritt 5 — Tests und Resilienz.* Richten Sie ein Testprogramm ein, das das DORA-TLPT (das strengste) erfüllt — es deckt mechanisch die NIS2-Anforderungen ab.

Zeitplan 2026 und Non-Compliance-Risiken

DORA ist seit dem 17. Januar 2025 anwendbar. Es gibt keine Übergangsfrist mehr. Die europäischen Behörden haben ihre ersten Inspektionen im ersten Quartal 2025 begonnen; Berichte über schwerwiegende Vorfälle werden in Echtzeit verlangt.

Bei NIS2 ist die deutsche Umsetzung im Verzug; mehrere Mitgliedstaaten ebenfalls. Die Europäische Kommission hat 2025 Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten eingeleitet — der regulatorische Druck wächst.

Das am meisten unterschätzte Risiko für den Finanzsektor ist nicht das Bußgeld. Es ist die verspätete Vorfallmeldung, die zu einem zusätzlichen Signal für die Aufsicht wird, oder das Drittanbieterversagen, das das Fehlen eines Kontinuitätsplans offenbart. Die ersten DORA-Sanktionsfälle, die für Ende 2026 erwartet werden, werden wahrscheinlich diese Aspekte betreffen.

Für den internen Audit-Start deckt unsere [kostenlose NIS2-Checkliste](/de/checkliste) die Grundlagen ab. Für DORA-spezifische Pflichten — Drittanbieterregister, TLPT, Vorfalltaxonomie — verweisen Sie auf die gemeinsamen Leitlinien von ENISA + EBA + EIOPA + ESMA.

*Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für situationsspezifische Beratung wenden Sie sich an einen auf europäisches Finanzaufsichtsrecht spezialisierten Anwalt.*

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar.