CloudSoul
Ressourcen · Blog · NIS2

NIS2 für den Finanzsektor: Die Beziehung zu DORA verstehen

NIS2 und DORA für den Finanzsektor: Verstehen Sie, wie Cybersicherheitsrahmen für Banken, Zahlungsinstitute und Wertpapierfirmen überschneiden.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 22 May 2026 · 7 Min. Lesezeit
NIS2
NIS2 für den Finanzsektor: Die Beziehung zu DORA verstehen

Wer sollte das lesen: Führungskräfte im Finanzdienstleistungssektor, Compliance-Beauftragte, Risikobeauftragte, Banken-IT-Führungskräfte.

Der Finanzsektor nimmt eine einzigartige Position in der NIS2- und der breiteren EU-Regulierungslandschaft ein. Finanzinstitute unterliegen gleichzeitig NIS2 (als wesentliche Dienstleister, ausgewiesen in Anhang I, Sektor 4) und dem Digital Operational Resilience Act (DORA), einer sektorspezifischen Verordnung, die die operative Resilienz im Bank- und Finanzwesen adressiert.

Dieses doppelte Regulierungsregime ist beabsichtigt: NIS2 etabliert eine breite Grundlage für Cybersicherheit in kritischen Sektoren, während DORA spezifischere, sektorspezifische Anforderungen bereitstellt, die die systemische Bedeutung von Finanzmärkten und die Notwendigkeit einer koordinierten regulatorischen Reaktion auf Cybersicherheitsrisiken im Finanzsektor widerspiegeln.

Für Compliance-Beauftragte und Risikoleiter in Finanzdienstleistungen ist das Verständnis der NIS2-DORA-Beziehung unerlässlich. Die beiden Regime haben sich überschneidende Anforderungen (Vorfallsmeldung, Governance, Risikomanagement), aber auch unterscheidende Anforderungen (DORA spezifiziert bestimmte Tests, Drittanbieter-Konzentrationsgrenzen und Anforderungen an die operative Resilienz). Dieser Beitrag entpackt die NIS2-DORA-Beziehung, klärt ihren Geltungsbereich und ihre Interaktion und bietet praktische Hinweise zur Gestaltung eines Compliance-Rahmens, der beide erfüllt.

NIS2-Ausweisung: Der Finanzsektor als kritische Infrastruktur

Anhang I, Sektor 4 von NIS2 weist Finanzinstitute als wesentliche Dienstleister aus. Der Sektor umfasst:

  • Kreditinstitute (Banken).
  • Wertpapierfirmen.
  • Zahlungsinstitute.
  • E-Geld-Institute.
  • Bestimmte Krypto-Asset-Dienstleister.
  • Versicherungsunternehmen (in einigen Mitgliedstaaten).

Die Begründung für die Ausweisung ist klar: Finanzdienstleistungen sind wesentlich für das Funktionieren der EU-Wirtschaft. Die Störung von Banksystemen, Zahlungssystemen oder Märkten kaskadiert schnell durch die Wirtschaft. Ein Ransomware-Angriff auf eine große Bank betrifft Kunden, Unternehmen und andere Finanzinstitute, die von den Diensten der Bank abhängen.

Als wesentliche Dienstleister unterliegen Finanzinstitute den Kernpflichten von NIS2: Umsetzung verhältnismäßiger Cybersicherheitsmaßnahmen, Etablierung von Governance, Management der Vorfallsreaktion, Meldung erheblicher Vorfälle und Management des Drittanbieter-Cybersicherheitsrisikos (Artikel 21-22).

DORA: Sektorspezifische operative Resilienz

Der Digital Operational Resilience Act (DORA), der ab 2023 gilt und bis 2025 schrittweise eingeführt wird, etabliert umfassende Anforderungen an die operative Resilienz für Finanzeinrichtungen. Der Geltungsbereich von DORA ist enger als der von NIS2 (er gilt nur für regulierte Finanzeinrichtungen), aber seine Anforderungen sind präskriptiver.

DORA verlangt von Finanzeinrichtungen:

Kritische oder wichtige Funktionen (CIFs) zu identifizieren: Funktionen, deren Störung den Betrieb der Einrichtung oder des Finanzsystems erheblich beeinträchtigen würde.

Operative Resilienzmaßnahmen zum Schutz von CIFs umzusetzen: Maßnahmen, die Menschen, Prozesse, Technologie und Infrastruktur adressieren.

Die operative Resilienz durch fortgeschrittene bedrohungsgesteuerte Penetrationstests (TLPT) zu testen: Simulation gegnergesteuerter Angriffe zur Identifizierung von Schwachstellen und zum Testen von Reaktionsverfahren.

Drittanbieter-Risiken für die operative Resilienz zu managen: Mit besonderem Augenmerk auf Konzentrationsrisiken (Abhängigkeit von einer kleinen Anzahl von Anbietern) und auf die Auslagerung kritischer oder wichtiger Funktionen.

Vorfälle zu melden, mit unterschiedlichen Kategorien (operative oder sicherheitsbezogene Vorfälle) und spezifischen Meldefristen.

Die Anforderungen von DORA sind spezifischer als die von NIS2. Beispielsweise mandatiert DORA TLPT jährlich (mit einigen Ausnahmen für kleinere Einrichtungen), während NIS2 die Sprache „verhältnismäßiger” Tests verwendet, ohne bestimmte Methodologien vorzuschreiben.

Geltungsbereichsüberschneidung und Beziehung

Die Beziehung zwischen NIS2 und DORA ist hierarchisch mit einigem Zusammenspiel:

Alle DORA-regulierten Einrichtungen (Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute und andere) sind auch NIS2-ausgewiesene wesentliche Dienstleister. Eine Bank unterliegt sowohl NIS2 als auch DORA.

DORA ist präskriptiver: Es spezifiziert bestimmte Anforderungen (TLPT, definierte Vorfallskategorien, Drittanbieter-Konzentrationsgrenzen), die NIS2 nicht mandatiert. In Bereichen, in denen DORA präskriptiver ist, gelten DORA-Standards.

NIS2 hat einen breiteren Geltungsbereich: Er gilt für Finanzinstitute und auch für andere wesentliche Dienstleister (Energie, Gesundheit, Verkehr), die nicht DORA unterliegen. Für Finanzeinrichtungen bietet NIS2 eine Grundlage; DORA fügt sektorspezifische Anforderungen hinzu.

In der Praxis setzen Finanzeinrichtungen ein Compliance-Programm um, das beide Rahmen erfüllt. Dies erfolgt effizient: Die Programme überschneiden sich erheblich, sodass die zusätzliche Belastung durch die Erfüllung beider überschaubar ist.

Governance und Verantwortlichkeit des Vorstands

Sowohl NIS2 als auch DORA erfordern Governance auf Vorstandsebene und Verantwortlichkeit der oberen Führungsebene für Cybersicherheit und operative Resilienz.

NIS2 verlangt, dass die obere Führungsebene Cybersicherheits-Governance-Strukturen etabliert, mit klarer Verantwortlichkeit für Risikomanagement und Vorfallsreaktion.

DORA verlangt, dass der Vorstand mindestens jährlich eine Strategie für die operative Resilienz genehmigt, dass die obere Führungsebene die Strategie umsetzt und dass spezifische Aufsichtsmechanismen auf Vorstandsebene die operative Resilienz adressieren. DORA verlangt außerdem, dass der Vorstand regelmäßig Berichte zu Cybervorfällen und Testergebnissen erhält.

Für Finanzinstitute sind diese Anforderungen komplementär. Eine einzige Governance-Struktur sollte sowohl die Cybersicherheit (NIS2) als auch die operative Resilienz (DORA) adressieren, mit Vorstandsaufsicht über beide.

Risikobewertung und -management

Beide Regime erfordern Risikobewertung und verhältnismäßige Kontrollen.

NIS2 (Artikel 21) verlangt die Umsetzung verhältnismäßiger technischer und organisatorischer Maßnahmen basierend auf der Risikobewertung.

DORA verlangt die Identifizierung kritischer und wichtiger Funktionen, die Bewertung von Abhängigkeiten und Schwachstellen, die diese Funktionen betreffen, und die Umsetzung von Resilienzmaßnahmen zu deren Schutz. DORA ist spezifischer: Es verlangt das Testen der Resilienz und die Dokumentation der Annahmen, die den Resilienzmaßnahmen zugrunde liegen.

Für Finanzeinrichtungen sollte die Risikobewertung kritische Funktionen auf zugrunde liegende IT- und operative Systeme abbilden, Bedrohungen und Schwachstellen für diese Systeme identifizieren und Kontrollen zum Schutz kritischer Funktionen umsetzen. Verhältnismäßigkeit hängt unter beiden Rahmen von der Kritikalität der Funktion ab: Kritischere Funktionen erhalten intensiveres Testen und Überwachen.

Vorfallsmeldung: Unterscheidende Kategorien unter DORA

Eine wichtige Unterscheidung zwischen NIS2 und DORA besteht in der Vorfallsmeldung:

NIS2 verlangt die Meldung „erheblicher” Vorfälle (die Kriterien in Artikel 23(3) erfüllen) innerhalb von 24 Stunden an zuständige Behörden und CSIRTs.

DORA verlangt die Meldung von „operativen oder sicherheitsbezogenen Vorfällen” mit unterschiedlichen Schwellen und Fristen. DORA definiert „schwerwiegende Vorfälle” (die kritische Funktionen betreffen oder definierte finanzielle oder operative Auswirkungsschwellen erreichen) und verlangt die Meldung innerhalb bestimmter Zeiträume (4 Stunden für einige Vorfälle).

Für Finanzeinrichtungen sind die Vorfallsklassifizierungsrahmen unterschiedlich. Ein Vorfall kann nach NIS2-Kriterien erheblich sein, aber die DORA-Schwelle für schwerwiegende Vorfälle nicht erreichen, oder umgekehrt. Beide Meldepflichten können durch einen einzigen Vorfall ausgelöst werden.

Finanzeinrichtungen sollten integrierte Vorfallsreaktionsverfahren etablieren, die:

  • Vorfälle gegen NIS2- und DORA-Kriterien bewerten.
  • Bestimmen, welche regulatorischen Meldungen erforderlich sind.
  • Die Benachrichtigung mit Regulierungsbehörden koordinieren (um sicherzustellen, dass ein einzelner Vorfall nicht redundant oder widersprüchlich an verschiedene Behörden gemeldet wird).

Drittanbieterrisikomanagement und Konzentrationsrisiko

Sowohl NIS2 als auch DORA erfordern Drittanbieterrisikomanagement, aber DORA fügt spezifische Bestimmungen hinzu, die das Konzentrationsrisiko adressieren.

NIS2 (Artikel 22) verlangt, dass Einrichtungen sicherstellen, dass Drittanbieter verhältnismäßige Cybersicherheitsmaßnahmen umsetzen.

DORA verlangt eine detaillierte Bewertung des Drittanbieter-Risikos für die operative Resilienz, mit besonderem Augenmerk auf:

Konzentrationsrisiko: Wenn kritische Funktionen von einer kleinen Anzahl von Anbietern abhängen. Wenn ein großer Cloud-Anbieter kompromittiert wird oder ausfällt, sind mehrere Finanzinstitute betroffen. DORA verlangt, dass das Konzentrationsrisiko identifiziert und, wo möglich, gemildert wird (z. B. durch geografische Vielfalt, Dienstredundanz oder vertragliche Konzentrationsgrenzen).

Auslagerung kritischer oder wichtiger Funktionen: Wenn Einrichtungen kritische Funktionen auslagern (z. B. Marktdatendienste, Abwicklungssysteme), gelten zusätzliche Anforderungen, einschließlich vorheriger Genehmigung und verstärkter Überwachung.

Subunternehmerrisiko: Wenn Drittanbieter Subunternehmer einsetzen, kann das Konzentrationsrisiko kaskadieren. DORA verlangt Sichtbarkeit in Subunternehmer-Vereinbarungen.

Für Finanzeinrichtungen sollte ein einheitliches Drittanbietermanagement-Programm sowohl die NIS2- als auch die DORA-Anforderungen adressieren. Anbieter-Due-Diligence, Vertragsanforderungen und Überwachungsverfahren sollten beide Rahmen adressieren. Außerdem sollten strategische Entscheidungen darüber, welche Dienste auszulagern und an welche Anbieter, das Konzentrationsrisiko und die Implikationen für die operative Resilienz berücksichtigen.

Testen und Überprüfung der operativen Resilienz

DORA ist präskriptiver zum Testen als NIS2. DORA verlangt:

Fortgeschrittene bedrohungsgesteuerte Penetrationstests (TLPT): Jährlich (mit Ausnahmen für kleinere Einrichtungen) müssen Finanzeinrichtungen simulierte Angriffe durchführen, die von externen Bedrohungsexperten konzipiert werden, und die Fähigkeit der Einrichtung testen, fortgeschrittene Bedrohungen zu erkennen und auf sie zu reagieren.

Szenariotests: Testen der Resilienz kritischer Funktionen unter definierten Szenarien (z. B. Verlust eines großen Anbieters, längere Ausfälle, kaskadierende Ausfälle).

Tests der Vorfallsreaktion und Wiederherstellung: Regelmäßiges Testen von Vorfallsreaktionsverfahren und Wiederherstellungsprozessen.

NIS2 erfordert Tests, schreibt aber keine spezifischen Methodologien oder Frequenzen vor. „Verhältnismäßiges” Testen kann jährliche Penetrationstests für ein großes Institut, aber vierteljährliche Tests für ein kleineres bedeuten.

Für Finanzeinrichtungen legen die Testanforderungen von DORA einen Mindestwert fest. Einrichtungen sollten mindestens das von DORA geforderte Testen durchführen. Je nach Größe und Risikoprofil können zusätzliche Tests (z. B. häufigere Penetrationstests, funktionsübergreifende Vorfallsreaktionsübungen) unter NIS2 verhältnismäßig sein.

Regulatorische Aufsicht und Koordination

NIS2 und DORA werden durch verschiedene regulatorische Kanäle umgesetzt:

NIS2 wird durch nationale Cybersicherheitsbehörden, sektorale Regulierungsbehörden und zuständige Behörden umgesetzt, die von Mitgliedstaaten ausgewiesen werden. Regulierungsbehörden des Finanzsektors (Bankenbehörden, Finanzmarktbehörden) dienen oft als zuständige Behörden für NIS2 im Finanzsektor.

DORA wird durch Finanzregulierungsbehörden umgesetzt: die Europäische Zentralbank (EZB) für Banken innerhalb der Eurozone, die Europäische Bankenaufsichtsbehörde (EBA) für Zahlungsinstitute und Wertpapierfirmen und andere Finanzbehörden.

Es gibt erhebliche Überschneidungen bei Regulierungsbehörden: Die nationale Regulierungsbehörde einer Bank kann sowohl als zuständige Behörde unter NIS2 als auch als direkter Aufseher unter DORA dienen. Diese Koordination ist vorteilhaft: Eine einzige Regulierungsbehörde kann die Konformität mit beiden Rahmen bewerten und die Aufsicht koordinieren.

Finanzeinrichtungen können jedoch Anfragen von mehreren regulatorischen Stellen erhalten (NIS2-zuständige Behörde, CSIRT, DORA-Regulierungsbehörde usw.). Es ist wichtig zu klären, welche Behörde Autorität über welche Aspekte der Konformität hat, und die Kommunikation zu koordinieren.

Wichtige Erkenntnisse

  • Finanzinstitute sind als wesentliche Dienstleister unter NIS2 (Anhang I, Sektor 4) ausgewiesen und unterliegen präskriptiveren Anforderungen unter DORA. Alle DORA-regulierten Einrichtungen sind auch NIS2-ausgewiesen.
  • Beide Rahmen erfordern Governance, Risikobewertung, verhältnismäßige Kontrollen, Vorfallsmeldung und Drittanbieterrisikomanagement. NIS2 bietet eine Grundlage; DORA fügt sektorspezifische Anforderungen hinzu.
  • Vorfallsmelderahmen unterscheiden sich: NIS2 verlangt die Meldung erheblicher Vorfälle innerhalb von 24 Stunden; DORA definiert schwerwiegende Vorfälle mit unterschiedlichen Meldefristen (z. B. 4 Stunden für bestimmte Vorfälle). Beide können durch einen einzigen Vorfall ausgelöst werden.
  • DORA spezifiziert Testanforderungen (jährliches TLPT, Szenariotests) und Konzentrationsrisikobewertung präskriptiver als NIS2. Diese sollten in ein umfassendes Test- und operatives Resilienzprogramm integriert werden.
  • Das Drittanbieterrisikomanagement sollte die Anforderungen beider Rahmen adressieren, mit besonderem Augenmerk auf das Konzentrationsrisiko unter DORA (wo kritische Funktionen von einer kleinen Anzahl von Anbietern abhängen).
  • Die Governance auf Vorstandsebene sollte sowohl die Cybersicherheit (NIS2) als auch die operative Resilienz (DORA) adressieren, mit integrierten Aufsichtsverfahren und regelmäßiger Berichterstattung.
  • Die regulatorische Aufsicht kann von einer einzigen Behörde (der Finanzregulierungsbehörde, die sowohl als NIS2-zuständige Behörde als auch als DORA-Aufseher dient) oder von mehreren Behörden ausgeübt werden. Die Koordination der regulatorischen Kommunikation ist wichtig.
Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.

Weiterlesen

Mehr aus dem Blog.

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt
NIS2 · 31 May 2026

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt

Luxemburg hat NIS2 mit dem Gesetz vom 5. Mai 2026 umgesetzt und ILR, HCPN sowie CIRCL als institutionelle Säulen benannt. Was jede wesentliche und wichtige Einrichtung wissen muss.
Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher
NIS2 · 29 May 2026

Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher

Verstehen Sie den Rahmen für die koordinierte Schwachstellenoffenlegung nach NIS2 Artikel 12. Wie Forscher, Anbieter und CSIRTs im neuen europäischen CVD-Prozess zusammenarbeiten.
NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen
NIS2 · 27 May 2026

NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen

Verstehen Sie die NIS2-Anforderungen für Hersteller von Fahrzeugen, Elektronik und Maschinen. Was „wichtige Einrichtungen" gemäß Anhang II umsetzen müssen.