NIS2 + DORA für Banken + Finanzdienstleister
TL;DR
- DORA (Verordnung (EU) 2022/2554) hat Vorrang für Finanz-Sektor seit 17.01.2025
- NIS2 ergänzt bei Bereichen außerhalb DORA-Scope (z.B. Cyber-Risiken in Konzern-IT)
- BaFin-Aufsicht: § 25a KWG + DORA + NIS2 kombiniert
- Vorfall-Meldung: 4h Initial / 72h Follow-up / 1-Monats-Bericht (DORA RTS)
- Bei Verstoß: bis 1 % Tagesumsatz pro Tag (DORA Art. 50)
Hauptartikel: Hauptartikel: NIS2-Umsetzung Deutschland — der vollständige Pillar-Artikel zum Thema.
1. DORA Vorrang vor NIS2
DORA (Digital Operational Resilience Act, VO 2022/2554) gilt für Finanzdienstleister seit 17.01.2025. NIS2-Anforderungen werden durch DORA ersetzt für diesen Sektor (lex specialis).
2. DORA-Pflichten
ICT-Risk-Management, Incident-Reporting, ICT-Resilience-Testing, ICT-Drittanbieter-Risiko, Cybersecurity-Information-Sharing.
3. BaFin-Aufsicht
BaFin als zuständige Aufsicht für DORA-Compliance. Plus MaRisk + KAGB + KWG.
4. Penetration-Testing-Pflicht
DORA Art. 26: Threat-Led Penetration Testing (TLPT) für signifikante Institute. Frequenz: alle 3 Jahre.
5. Drittanbieter-Vertragsklauseln
DORA Art. 28: spezifische Pflicht-Klauseln für IT-Dienstleister von Banken — strenger als § 30 BSIG.
6. Bußgeldrisiko
DORA: bis 1% des Konzernumsatzes (signifikante Institute). MaRisk + § 56 KWG-Bußgelder zusätzlich.
Häufig gestellte Fragen
Was gilt: NIS2 oder DORA?
Reicht ISO 27001?
Quellen
- BSIG 2025 (konsolidierte Fassung) — § 28, § 30 BSIG (Stand: 02.05.2026)
- DORA — Verordnung (EU) 2022/2554 (Stand: 02.05.2026; anwendbar 17.01.2025; lex specialis zu NIS2)
- Richtlinie (EU) 2022/2555 (NIS2) — Art. 4 (Lex-Specialis-Vorrang DORA) (Stand: 02.05.2026)
- NIS-2-Umsetzungsgesetz — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026)