conformis
DORA oder NIS 2 – wo liegt die Grenze? Ein Praxis-Guide für deutsche Finanzinstitute

DORA oder NIS 2 – wo liegt die Grenze? Ein Praxis-Guide für deutsche Finanzinstitute

conformis

conformis

@conformis

Zwei Gesetze, ein Thema – aber wer muss was umsetzen?

Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Deutschland in Kraft. Gleichzeitig gilt DORA für Finanzinstitute bereits seit Januar 2025. Beide Regelwerke adressieren Cybersicherheit und operationelle Resilienz – und beide stellen erhebliche Anforderungen an betroffene Unternehmen.

Für Compliance-Teams in Banken und Versicherungen stellt sich die dringende Frage: Welches Gesetz gilt für uns? Wo überschneiden sich die Anforderungen? Und wo gibt es Spielräume oder Konflikte?

Die Antwort ist komplex – aber entscheidend. Wer die Abgrenzung nicht versteht, riskiert entweder Doppelarbeit oder, schlimmer, regulatorische Lücken.

Grundprinzip: DORA geht vor

Das wichtigste Prinzip vorab: Für den regulierten Finanzsektor hat DORA grundsätzlich Vorrang vor NIS 2.

Die EU-Gesetzgeber haben DORA bewusst als Lex Specialis für den Finanzbereich konzipiert. In den zentralen Bereichen – IKT-Risikomanagement, Cybersicherheits-Anforderungen, Vorfallmeldung, Drittparteienmanagement – gelten für Banken, Zahlungsdienstleister, Wertpapierfirmen, Versicherungen und andere DORA-regulierte Unternehmen die DORA-Anforderungen anstelle der NIS-2-Anforderungen.

Das klingt nach einer einfachen Lösung: DORA umsetzen, NIS 2 ignorieren. Aber so einfach ist es nicht.

Wer fällt unter DORA, wer unter NIS 2?

DORA-Anwendungsbereich

DORA gilt für ein breites Spektrum von Finanzunternehmen, explizit definiert in Art. 2 DORA:

  • Kreditinstitute (Banken, Sparkassen, Genossenschaftsbanken)
  • Zahlungsinstitute und E-Geld-Institute
  • Wertpapierfirmen und Verwalter alternativer Investmentfonds
  • Versicherungsunternehmen und Rückversicherer
  • Zentralverwahrer, zentrale Gegenparteien, Handelsplätze
  • Ratingagenturen, Crowdfunding-Dienstleister
  • Krypto-Asset-Dienstleister (unter MiCAR)
  • IKT-Drittdienstleister für Finanzunternehmen (eingeschränkt)

NIS-2-Anwendungsbereich (in Deutschland)

NIS 2 gilt für „wesentliche" und „wichtige" Einrichtungen aus kritischen Sektoren. Der Finanzsektor ist explizit als wesentlicher Sektor gelistet – umfasst aber auch:

  • Infrastrukturanbieter im Finanzbereich (Börsenbetreiber, Clearingstellen)
  • Anbieter digitaler Infrastruktur (Rechenzentren, Cloud-Anbieter, DNS-Dienste)
  • Öffentliche Verwaltung
  • Gesundheitssektor, Energie, Transport, Trinkwasser

Wo DORA tatsächlich Vorrang hat

In folgenden Bereichen gilt für DORA-regulierte Unternehmen ausschließlich DORA – NIS 2 hat keine zusätzlichen Anforderungen:

IKT-Risikomanagement: DORA definiert einen vollständigen Rahmen (Art. 5–16), der die NIS-2-Anforderungen an Risikoanalyse und Sicherheitsmaßnahmen überlagert.

Vorfallmeldung: DORA schreibt ein dreistufiges Meldesystem vor (4 Stunden / 72 Stunden / 1 Monat). NIS 2 kennt ebenfalls Meldepflichten (24 Stunden Erstmeldung) – für DORA-regulierte Unternehmen gilt ausschließlich die DORA-Systematik.

Drittparteienmanagement: DORA Art. 28–44 enthält umfassende Anforderungen an die Steuerung von IKT-Drittdienstleistern. NIS-2-Anforderungen an Lieferkettensicherheit werden hierdurch ersetzt.

Resilienztests: DORA-TLPT und reguläre IKT-Tests gemäß DORA Art. 25–27 ersetzen die allgemeinen NIS-2-Anforderungen an Sicherheitstests.

Wo NIS 2 dennoch relevant bleibt

Trotz des grundsätzlichen Vorrangs von DORA gibt es Bereiche, in denen NIS 2 für Finanzunternehmen nicht vollständig verdrängt wird:

Unternehmen am Rand des DORA-Anwendungsbereichs

Nicht jedes Unternehmen im weiteren Finanzsektor ist vollständig DORA-reguliert. Bestimmte Finanzholdings, Dienstleistungsgesellschaften von Finanzgruppen oder branchennahe Unternehmen können unter NIS 2 fallen, ohne vollständig dem DORA-Regime zu unterliegen.

IKT-Drittdienstleister der Finanzbranche

DORA reguliert kritische IKT-Drittdienstleister (Cloud-Anbieter, Rechenzentren) über ein eigenes Aufsichtsregime. Gleichzeitig können diese Anbieter als Betreiber digitaler Infrastruktur unter NIS 2 fallen. Hier können beide Regelwerke nebeneinander gelten – DORA für die Finanzdienstleistungsbeziehung, NIS 2 für die allgemeine Cybersicherheitspflicht.

Governance und Managementverantwortung

NIS 2 enthält spezifische Anforderungen an die persönliche Haftung von Geschäftsleitern für Cybersicherheitsmängel – ein Aspekt, der in DORA weniger explizit ausgearbeitet ist. In der deutschen Umsetzung wurden diese Anforderungen beibehalten und können für Finanzinstitute ergänzend relevant sein.

Meldepflichten im direkten Vergleich

Aspekt DORA NIS 2
Erstmeldung 4 Stunden nach Klassifizierung 24 Stunden nach Kenntnis
Zwischenbericht 72 Stunden 72 Stunden
Abschlussbericht 1 Monat 1 Monat
Empfänger BaFin / Sektorbehörde BSI (für NIS-2-Unternehmen)
Schwellenwerte Definiert in DORA RTS Definiert in NIS-2-Durchführungsrecht

Für DORA-regulierte Finanzunternehmen gilt: Meldungen gehen an die BaFin nach DORA-Schema. Eine separate NIS-2-Meldung an das BSI ist in der Regel nicht erforderlich, sofern der Vorfall primär IKT-bezogen ist und das Unternehmen vollständig unter DORA fällt.

Sanktionen und Haftung

Beide Regelwerke sehen erhebliche Sanktionen vor:

NIS 2 in Deutschland:

  • Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes
  • Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des globalen Jahresumsatzes
  • Persönliche Haftung von Geschäftsleitern möglich

DORA:

  • Keine direkt anwendbaren Bußgeldrahmen in DORA selbst – Sanktionen erfolgen über nationale Umsetzungsgesetze (FinmadiG in Deutschland)
  • BaFin kann Verwaltungsmaßnahmen verhängen, öffentliche Bekanntmachungen anordnen und in schweren Fällen Zulassungen einschränken

Die praktische Empfehlung: Erst DORA, dann den Rand prüfen

Für die meisten deutschen Kreditinstitute und Versicherungen ist der Ansatz klar:

Priorität 1: DORA vollständig umsetzen. Damit deckt man den Kernbereich ab und ist für NIS-2-Prüfungen durch die BaFin in der Regel gut aufgestellt.

Priorität 2: Den eigenen Konzernperimeter prüfen. Gibt es Tochtergesellschaften oder verbundene Unternehmen, die nicht vollständig unter DORA fallen? Diese können unter NIS 2 fallen und benötigen eine separate Compliance-Betrachtung.

Priorität 3: Drittanbieter-Landschaft analysieren. Cloud-Anbieter, Rechenzentren und kritische IKT-Dienstleister können doppelt reguliert sein – sowohl über DORA-Anforderungen (die das Finanzunternehmen einzuholen hat) als auch direkt über NIS 2.

Fazit

DORA und NIS 2 sind keine Alternativen – sie sind komplementäre Regelwerke, deren Abgrenzung Sorgfalt erfordert. Der grundsätzliche Vorrang von DORA für Finanzinstitute ist klar, aber nicht absolut.

Institute, die beide Regelwerke in einer einzigen Compliance-Übersicht abbilden können – mit klarer Markierung, welche Anforderung aus welchem Regelwerk stammt und welche Policies und Kontrollen dagegen abgesichert sind –, sind für Prüfungen durch BaFin und BSI optimal aufgestellt.

conformis bildet DORA, NIS 2 und alle weiteren relevanten Frameworks in einer Plattform ab. Das Mapping zeigt auf Anforderungsebene, welche Kontrolle welches Regelwerk erfüllt – und wo noch Lücken bestehen.

Hören Sie auf, in Regulatorik zu ertrinken.

Sehen Sie in 15 Minuten live, welche BaFin-Anforderungen Sie erfüllen – und welche nicht. Ohne Verpflichtung.

Demo buchenKostenlose Gap-Analyse starten →