Kreditinstitute, Investmentfirmen und andere Finanzdienstleister gehören zu den am strengsten regulierten Sektoren der NIS-2-Richtlinie. Als Betreiber hochkritischer Infrastruktur sind Banken im Regelfall als besonders wichtige Einrichtungen eingestuft – mit weitreichenden Cybersicherheitspflichten und proaktiver Behördenaufsicht. Gleichzeitig gilt im Finanzsektor eine gesetzlich geregelte Besonderheit: Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz – kurz DORA – ist als Lex-specialis-Rechtsakt konzipiert, der für bestimmte Regelungsbereiche die NIS2-Anforderungen ersetzt, aber nicht vollständig verdrängt. Dieser Leitfaden erklärt, welche Banken von NIS2 betroffen sind, wie das Verhältnis zu DORA konkret geregelt ist und welche Pflichten für Kreditinstitute in der Praxis entstehen. Den übergeordneten Rahmen der technischen und organisatorischen Anforderungen nach NIS2 beschreibt der Leitfaden zu den NIS2-Sicherheitsanforderungen.
Banken als besonders wichtige Einrichtungen — Einstufung nach NIS2
Das Bankenwesen gehört nach Anhang I der NIS-2-Richtlinie (EU) 2022/2555 zum Kreis der hochkritischen Sektoren. Anhang I nennt den Sektor „Bankwesen“ unter Ziffer 3 ausdrücklich als einen der acht Sektoren, aus denen besonders wichtige Einrichtungen hervorgehen können. Im deutschen Recht — umgesetzt durch das NIS2UmsuCG und das neu gefasste BSIG — fallen folgende Finanzinstitute in den Anwendungsbereich:
- Kreditinstitute im Sinne von Artikel 4 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 575/2013 (CRR) – Unternehmen, die Einlagen oder andere rückzahlbare Gelder des Publikums entgegennehmen und Kredite auf eigene Rechnung gewähren
- Zentrale Gegenparteien (CCPs) im Sinne der EMIR-Verordnung
- Handelsplätze nach MiFID II, insbesondere geregelte Märkte und multilaterale Handelssysteme
- Zentralverwahrer (CSDs) und systemrelevante Wertpapierfirmen oberhalb der CRR-Schwellenwerte
- Versicherungsunternehmen ab bestimmten Größenschwellen (erfasst in Anhang I unter Ziffer 4: „Finanzmarktinfrastrukturen“)
Für die Einstufung als besonders wichtige Einrichtung (essential entity) gelten grundsätzlich Schwellenwerte: Unternehmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von über 50 Millionen Euro in Anhang-I-Sektoren sind automatisch besonders wichtige Einrichtungen. Mittelgroße Unternehmen (50–249 Mitarbeiter oder 10–50 Millionen Euro Umsatz) fallen als wichtige Einrichtungen (important entities) in den Anwendungsbereich. Für bestimmte Finanzmarktinfrastrukturen — insbesondere CCPs und Handelsplätze — kann die mitgliedstaatliche Aufsicht eine systemische Bedeutung unabhängig von der Größe begründen.
Die Einstufung als besonders wichtige Einrichtung hat direkte Konsequenzen für die Aufsichtsintensität: Das BSI ist befugt, proaktive Kontrollen ohne konkreten Anlassfall durchzuführen. Bußgelder nach § 65 BSIG können bei besonders wichtigen Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Einen vollständigen Überblick der Einstufungskriterien bietet der Leitfaden zum NIS2-Anwendungsbereich.
DORA als Lex-specialis — Welches Recht gilt für den Finanzsektor?
Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor — der Digital Operational Resilience Act (DORA) — ist am 17. Januar 2025 vollständig in Kraft getreten. Als EU-Verordnung gilt DORA in allen 27 Mitgliedstaaten unmittelbar und bedarf keiner nationalen Umsetzung. Ihr Anwendungsbereich deckt praktisch das gesamte regulierte Finanzwesen ab: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Versicherungsunternehmen, Ratingagenturen, Kryptowerte-Dienstleister, Zentralverwahrer und viele weitere.
Das Verhältnis zwischen DORA und NIS2 ist durch einen gesetzlich geregelten Lex-specialis-Mechanismus bestimmt. Artikel 1 Absatz 2 DORA in Verbindung mit Artikel 2 Absatz 5 NIS2 legt fest: Die Kapitel II bis IV und Kapitel VI von DORA gehen den gleichwertigen Anforderungen der NIS-2-Richtlinie vor. Konkret bedeutet das:
- Kapitel II DORA (IKT-Risikomanagementrahmen, Art. 5–16) verdrängt die NIS2-Anforderungen zum Risikomanagement nach Artikel 21 NIS2 für den Finanzsektor
- Kapitel III DORA (Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle, Art. 17–23) verdrängt die NIS2-Meldepflichten nach Artikel 23 NIS2
- Kapitel IV DORA (Testen der digitalen operationalen Resilienz, Art. 24–27) ersetzt entsprechende NIS2-Testanforderungen
- Kapitel VI DORA (Regelungen für den Informationsaustausch, Art. 45–46) verdrängt die NIS2-Informationsaustausch-Pflichten
Diese Verdrängung ist keine vollständige Befreiung von NIS2 — sie gilt nur für die Bereiche, in denen DORA gleichwertige oder strengere Anforderungen enthält. Kapitel V DORA (IKT-Drittparteienrisikomanagement) gehört ausdrücklich nicht zum verdrängenden Regelungsbereich. Eine detaillierte Gegenüberstellung beider Regelwerke bietet der Vergleichsartikel NIS2 vs. DORA.
Was gilt zusätzlich zu DORA? NIS2-Pflichten, die Banken weiterhin treffen
Für Kreditinstitute und andere Finanzinstitute verbleiben NIS2-Pflichten, die DORA nicht gleichwertig abdeckt. Die folgende Tabelle zeigt das Nebeneinander beider Regelwerke:
| Regelungsbereich | DORA | NIS2 | Welches Recht gilt? |
|---|---|---|---|
| IKT-Risikomanagementrahmen | Kap. II, Art. 5–16 | Art. 21 Abs. 1–2 | DORA verdrängt NIS2 |
| Vorfallklassifizierung und -meldung | Kap. III, Art. 17–23 | Art. 23 NIS2 | DORA verdrängt NIS2 |
| Resilienztests (TLPT) | Kap. IV, Art. 24–27 | Art. 21 Abs. 2 lit. g | DORA verdrängt NIS2 |
| IKT-Drittparteienrisiko (Lieferkette) | Kap. V, Art. 28–44 | Art. 21 Abs. 2 lit. d | Beide Regime können parallel gelten |
| Informationsaustausch | Kap. VI, Art. 45–46 | Art. 29 NIS2 | DORA verdrängt NIS2 |
| BSI-Registrierung | Keine Entsprechung | § 33 BSIG | NIS2 gilt weiterhin |
| Management-Governance und Haftung | Teilweise Art. 5 DORA | Art. 20 NIS2, § 38 BSIG | NIS2 gilt ergänzend |
| Grundlegende Cyberhygiene | Teilweise Kap. II DORA | Art. 21 Abs. 2 lit. b | Koordiniertes Regime |
Besonders relevant ist der Bereich der Lieferkettensicherheit: DORA Kapitel V (Art. 28–44) enthält ein eigenständiges Rahmenwerk für das IKT-Drittparteienrisiko mit weitreichenden Anforderungen an die Vertragsgestaltung mit kritischen IKT-Drittdienstleistern. Da Kapitel V ausdrücklich nicht zu den verdrängenden Kapiteln nach Artikel 1 Absatz 2 DORA gehört, kann das NIS2-Lieferkettensicherheitsgebot nach Artikel 21 Absatz 2 Buchstabe d parallel Anwendung finden, soweit es über die DORA-Anforderungen hinausgeht.
Eine weitere wesentliche Restpflicht unter NIS2 betrifft die Registrierung beim BSI: Banken, die in Deutschland als besonders wichtige oder wichtige Einrichtungen eingestuft sind, müssen sich beim BSI-Meldeportal registrieren. Die Registrierungsfrist lief am 6. März 2026 ab. DORA enthält keine eigenständige Registrierungspflicht bei der nationalen Cybersicherheitsbehörde — diese bleibt eine rein NIS2-basierte Pflicht. Ebenso gilt die persönliche Haftung der Geschäftsleitung nach § 38 BSIG als eigenständige NIS2-Anforderung, die durch DORA nicht vollständig abgedeckt wird.
BaFin und BSI — Geteilte Aufsichtsverantwortung im Finanzsektor
Die Aufsichtsstruktur für Banken unter NIS2 und DORA ist komplex, weil zwei Behörden mit unterschiedlichen Mandaten zuständig sind.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist die zuständige Behörde für die DORA-Compliance im deutschen Finanzsektor. Sie überwacht die Einhaltung der DORA-Anforderungen, ist Adressatin für IKT-Vorfallmeldungen nach DORA und berichtet gegenüber der Europäischen Bankaufsichtsbehörde (EBA). Für Kreditinstitute, die der direkten EZB-Aufsicht unterliegen (bedeutende Institute im Single Supervisory Mechanism, SSM), übt die EZB die DORA-Aufsicht wahr, unterstützt durch die Deutsche Bundesbank.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bleibt die zuständige Behörde für NIS2 — insbesondere für Registrierung, nicht durch DORA verdrängte Meldepflichten und behördenübergreifende Cybersicherheitsmaßnahmen. Für Finanzinstitute entstehen damit zwei parallele Berichtspflichten:
- Erhebliche IKT-bezogene Vorfälle: Meldung an BaFin nach DORA Artikel 19 (Frühwarnung binnen 24 Stunden nach Kenntnisnahme, Erstmeldung 72 Stunden, Abschlussbericht 1 Monat)
- NIS2-Meldepflichten, soweit nicht von DORA verdrängt: Meldung an BSI nach § 32 BSIG
- Vorfälle mit DSGVO-Relevanz: Meldung an die zuständige Datenschutzbehörde (BfDI oder Landesbehörde)
Im bestehenden deutschen Regulierungsrahmen ergänzen MaRisk (Mindestanforderungen an das Risikomanagement) und BAIT (Bankaufsichtliche Anforderungen an die IT) die gesetzlichen Vorgaben. Die BaFin hat signalisiert, dass DORA und das bestehende BAIT-Regime koordiniert anzuwenden sind. Kreditinstitute, die bereits BAIT-konform arbeiten, haben eine solide Ausgangsbasis für die DORA-Umsetzung — müssen aber prüfen, wo DORA über BAIT hinausgeht: insbesondere bei den Anforderungen an Threat-Led Penetration Tests (TLPT) nach der TIBER-EU-Methodik, beim strukturierten Register kritischer IKT-Drittdienstleister und bei den neuen DORA-Vertragsklauseln für kritische IKT-Lieferanten.
Die zehn NIS2-Sicherheitsanforderungen im Bankkontext
Für die Bereiche, in denen NIS2 neben DORA weiterhin gilt, bilden die zehn Sicherheitsmaßnahmen des Artikels 21 Absatz 2 NIS2 den Orientierungsrahmen. Für Kreditinstitute zeigt die folgende Übersicht die wichtigsten Bezüge zu bestehenden deutschen Regulierungsanforderungen:
| Sicherheitsmaßnahme (Art. 21 Abs. 2 NIS2) | Bankspezifischer Kontext | Bestehendes nationales Recht |
|---|---|---|
| Risikoanalyse und Sicherheitsrichtlinien | Risikoinventur, risikobasierte Priorisierung | MaRisk AT 2.2; BAIT Tz. 3–12; DORA Art. 6–9 |
| Behandlung von Sicherheitsvorfällen | Incident-Response-Prozess, Eskalationspfade | MaRisk AT 7.3; DORA Art. 17–23 (verdrängt NIS2) |
| Business Continuity / Krisenmanagement | BCP/DRP, RTO/RPO, regelmäßige Tests | MaRisk AT 7.3; BAIT Tz. 45–52; DORA Art. 11–14 |
| Sicherheit der Lieferkette | IKT-Drittdienstleister, Vertragspflichten | MaRisk AT 9; DORA Kap. V parallel anwendbar |
| Wirksamkeitsbewertung | Interne Revision, externe Audits, Penetrationstests | MaRisk AT 4.4; DORA Art. 24–27 (TLPT) |
| Kryptografie und Verschlüsselung | Schlüsselverwaltung, TLS-Standards, HSM-Einsatz | BAIT Tz. 37–38; DORA Art. 10 Abs. 2 |
| Personalsicherheit und Zugriffskontrolle | Least Privilege, MFA, privilegierte Zugänge | MaRisk AT 7.1; BAIT Tz. 24–36; DORA Art. 9 |
| Grundlegende Cyberhygiene | Patch-Management, Schwachstellen-Scanning | BAIT Tz. 55–60; DORA Art. 10–11 |
| Asset-Management und MFA | Systemverzeichnis, MFA als Standard | BAIT Inventar-Anforderungen; DORA Art. 8 Abs. 4 |
| BSI-Registrierung (eigenständige NIS2-Pflicht) | Registrierung beim BSI-Meldeportal (MELDP) | § 33 BSIG — kein DORA-Äquivalent |
Banken, die bereits unter MaRisk und BAIT reguliert sind, haben typischerweise eine fortgeschrittene Ausgangssituation. Die größten Compliance-Lücken liegen häufig in den DORA-spezifischen Neuerungen: dem IKT-Drittparteienregister nach DORA Artikel 28 Absatz 3 (Pflicht zur Meldung des Registers an die zuständige Behörde auf Anfrage), den neuen Vertragsklauseln für kritische IKT-Lieferanten nach DORA Anhang und den TLPT-Tests nach der TIBER-EU-Methodik. Diese Bereiche bestehen neben dem etablierten deutschen Regulierungsrahmen und bedürfen gesonderter Aufmerksamkeit.
Compliance-Fahrplan für Kreditinstitute
Für Banken und Kreditinstitute, die ihre NIS2- und DORA-Compliance systematisch aufbauen möchten, empfiehlt sich folgende Schrittfolge:
Schritt 1: Betroffenheitsanalyse und Einstufung. Ermitteln Sie, ob Ihr Institut als besonders wichtige oder als wichtige Einrichtung nach NIS2 einzustufen ist. Kreditinstitute im Sinne der CRR sind in der Regel von NIS2 erfasst; die genaue Kategorie hängt von Größe und systemischer Bedeutung ab. Gleichzeitig ist zu prüfen, welche DORA-Anforderungen vollumfänglich gelten — insbesondere ob Ihr Institut als bedeutendes Institut im SSM unter direkter EZB-Aufsicht steht.
Schritt 2: BSI-Registrierung. Falls noch nicht erfolgt, ist die Registrierung beim BSI-Meldeportal (MELDP) unverzüglich nachzuholen. Für besonders wichtige Einrichtungen drohen bei fehlender Registrierung Bußgelder nach § 65 BSIG. Diese Pflicht besteht unabhängig von der DORA-Compliance.
Schritt 3: Gap-Analyse gegen MaRisk, BAIT und DORA. Ermitteln Sie, welche Anforderungen aus DORA über die bestehenden MaRisk- und BAIT-Pflichten hinausgehen. Schwerpunkte sind typischerweise: IKT-Drittparteienregister nach DORA Artikel 28, TLPT-Anforderungen nach DORA Artikel 26 und die neuen Vertragsklauseln für kritische IKT-Dienstleister nach DORA Anhang.
Schritt 4: Parallele Meldewege einrichten. Richten Sie getrennte Meldekanäle ein: DORA-Meldungen an die BaFin nach dem dreistufigen Verfahren; NIS2-Meldungen an das BSI für Vorfälle, die nicht durch DORA vollständig abgedeckt sind. Benennen Sie dedizierte Ansprechpartner für beide Kanäle und stellen Sie sicher, dass die 24-Stunden-Frühwarnfrist eingehalten werden kann.
Schritt 5: IKT-Drittparteienregister aufbauen. DORA verlangt ein vollständiges Register aller IKT-Drittdienstleister mit Klassifizierung kritischer vs. nicht-kritischer Anbieter. Das Register ist der zuständigen Behörde auf Anfrage vorzulegen und auf dem neuesten Stand zu halten. In der Praxis ist die Erstellung dieses Registers einer der aufwändigsten Compliance-Schritte für Kreditinstitute mit zahlreichen IKT-Dienstleistern.
Schritt 6: Governance und jährliche Überprüfung. Sowohl NIS2 als auch DORA verlangen eine dokumentierte Management-Verantwortung und regelmäßige Überprüfung der Sicherheitsmaßnahmen. Die persönliche Haftung der Geschäftsleitung nach § 38 BSIG und Artikel 5 DORA erfordert, dass Vorstände und Geschäftsführer die NIS2/DORA-Compliance aktiv steuern und überwachen — delegierbar, aber nicht enthaftend.
Häufig gestellte Fragen
Gilt NIS2 noch für Banken, die bereits DORA unterliegen?
Ja — NIS2 gilt für Banken weiterhin, jedoch nur für Bereiche, die DORA nicht gleichwertig abdeckt. Der Lex-specialis-Mechanismus des Artikels 1 Absatz 2 DORA verdrängt NIS2 für das IKT-Risikomanagement (Kap. II), die Vorfallmeldung (Kap. III), Resilienztests (Kap. IV) und den Informationsaustausch (Kap. VI). Nicht verdrängt werden: die BSI-Registrierungspflicht nach § 33 BSIG, ergänzende Lieferkettensicherheitspflichten und die Management-Governance-Anforderungen nach § 38 BSIG.
Wer ist die zuständige Behörde für Banken — BaFin oder BSI?
Beide Behörden sind zuständig — für unterschiedliche Rechtsakte. Die BaFin überwacht die DORA-Compliance; das BSI ist zuständige NIS2-Behörde. Für bedeutende Kreditinstitute im Single Supervisory Mechanism nimmt die EZB die DORA-Aufsicht wahr. Banken müssen beiden Behörden gegenüber berichtspflichtig sein und unterschiedliche Meldewege vorhalten.
Müssen sich Banken beim BSI registrieren, obwohl sie DORA unterliegen?
Ja. Die BSI-Registrierung ist eine NIS2-Pflicht nach § 33 BSIG, die durch DORA nicht verdrängt wird. Sie muss unabhängig von der DORA-Compliance erfüllt werden. Die Registrierungsfrist endete am 6. März 2026; wer sich noch nicht registriert hat, sollte dies unverzüglich nachholen, um Bußgelder zu vermeiden.
Welche Sanktionen drohen Banken bei Verstößen gegen NIS2 und DORA?
Unter NIS2 drohen für besonders wichtige Einrichtungen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (§ 65 BSIG). Unter DORA setzen die Mitgliedstaaten die konkreten Sanktionshöhen fest; die EBA-Leitlinien sehen für schwerwiegende Verstöße erhebliche Geldbußen vor, die in ihrer Dimension vergleichbar mit NIS2-Sanktionen sein können. Eine parallele Verhängung von Sanktionen durch BSI und BaFin für identische Sachverhalte würde am Doppelbestrafungsverbot (ne bis in idem) zu messen sein — die Rechtsanwendung in der Praxis ist hier noch im Entstehen.
Dieser Artikel stellt allgemeine Informationen bereit und stellt keine Rechts- oder Regulierungsberatung dar. Die Anforderungen können je nach Einrichtungstyp, Größe und konkretem Geschäftsmodell variieren. Für eine auf Ihre Situation zugeschnittene Einschätzung empfehlen wir die Hinzuziehung eines qualifizierten Rechtsanwalts oder NIS2/DORA-Compliance-Spezialisten.
Quellen
- Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS-2-Richtlinie) — EUR-Lex, insbesondere Artikel 2, 3, 21, 23 und Anhang I
- Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA) — EUR-Lex, insbesondere Artikel 1, 5–16, 17–23, 24–27, 28–44
- BSIG (NIS2UmsuCG-Fassung), insbesondere §§ 28, 32, 33, 38, 65 — Bundesministerium der Justiz, Gesetze im Internet
- Digital Operational Resilience Act (DORA) — Informationen für beaufsichtigte Unternehmen — Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
- NIS-2-Umsetzung in Deutschland — Orientierungshilfen für betroffene Unternehmen — Bundesamt für Sicherheit in der Informationstechnik (BSI)
