Comply/CheckScope prüfen

NIS2 · Branchenüberblick

Wie betrifft NIS2 Banken — oder gilt für sie zuerst DORA?

Banken sind in Anhang I der NIS2-Richtlinie als Sektor mit hoher Kritikalität gelistet. Praktisch greift für sie aber zuerst DORA (Digital Operational Resilience Act) — die spezifischere Regulierung für den Finanzsektor. NIS2 kommt nur subsidiär zur Anwendung.

NIS2-Check für Banken startenStand: Geprüft gegen NIS2UmsuCG-EntwurfQuelle

Welche Banken-Unternehmen sind NIS2-pflichtig?

Banken sind in Anhang I der NIS2-Richtlinie als „Bankwesen“ (Kreditinstitute nach CRR) gelistet. Schwellen identisch zu anderen Anhang-I-Sektoren (wichtige Einrichtung ab 50 MA / 10 Mio. €, wesentliche Einrichtung ab 250 MA / 50 Mio. €). Praktisch greift jedoch DORA (Verordnung (EU) 2022/2554) als Lex specialis ab 17. Januar 2025 — DORA ist enger zugeschnitten und in vielen Bereichen strenger.

Typische Adressaten

  • Banken im Sinne der CRR (Universal-, Spezial-, Förder-Banken)
  • Sparkassen und Genossenschaftsbanken
  • Wertpapierfirmen unter MiFID II
  • Zahlungsdienstleister und E-Geld-Institute
  • Krypto-Asset-Service-Provider unter MiCAR (eigenständige DORA-Anwendung)

Top-Mindestmaßnahmen für Banken

NIS2 listet in Anhang IV elf generelle Mindestmaßnahmen. Drei sind für die Banken-Branche besonders wirksam — sowohl regulatorisch als auch im realen Bedrohungsbild.

Maßnahme 1 von 3

IKT-Risikomanagement-Rahmen (DORA)

Warum

DORA Art. 5 ff. verlangt einen umfassenden IKT-Risikomanagement-Rahmen — strenger als die NIS2-Generalklausel. BaFin und BSI prüfen die Umsetzung.

In der Praxis

Dokumentierter IKT-Risikomanagement-Prozess mit Governance-Strukturen. Verknüpfung mit MaRisk- und BAIT-Anforderungen. Jährlicher Bericht an Aufsicht.

Maßnahme 2 von 3

IKT-Drittpartei-Management

Warum

DORA Art. 28-39 regelt das IKT-Drittpartei-Management besonders streng. Banken müssen Konzentrations­risiken, Sub-Outsourcing-Ketten und Exit-Strategien dokumentieren.

In der Praxis

Vollständiges IKT-Drittpartei-Register im DORA-Format. Vertrags­anhang gemäß DORA Art. 30. Kritische IKT-Dienstleister bei BaFin meldepflichtig.

Maßnahme 3 von 3

Cyber-Resilience-Testing (TLPT)

Warum

DORA Art. 26-27 verlangt Bedrohungs­orientierte Penetrationstests (Threat-Led Penetration Testing — TLPT) für große Banken. Das geht deutlich über NIS2-Anforderungen hinaus.

In der Praxis

TIBER-EU-Rahmenwerk als Grundlage. Alle 3 Jahre verpflichtend für signifikante Banken. Koordination mit BaFin und Bundesbank.

Lieferketten-Pflicht in der Banken

Banken haben unter DORA besonders strenge Lieferketten-Anforderungen — strenger als NIS2. IKT-Drittpartei-Register, Vertrags-Inhalte und Konzentrations­risiken werden explizit reguliert. Cloud-Anbieter und große IT-Dienstleister können als „kritische IKT-Drittparteien“ unter europäische Direkt­aufsicht fallen.

Typische Lieferanten- und Dienstleister-Beziehungen

  • Cloud-Anbieter (Hyperscaler): DORA-konforme Verträge plus BAIT-Anforderungen
  • Kernbank-Anwender-System-Anbieter (z. B. Finanz Informatik, Atruvia): kritische IKT-Drittparteien
  • Zahlungsverkehrs-Dienstleister: Sub-Outsourcing-Transparenz
  • Krypto-Verwahrer und MiCAR-Dienstleister: eigene DORA-Anwendung

Erste Einordnung

NIS2-Check mit Sektor-Vorbelegung für Banken

Vier Fragen, eine erste Einschätzung — keine Rechtsberatung. Das Tool nutzt eine Sektor-Vorbelegung, die zu Banken-Profilen passt, und zeigt eine priorisierte erste Roadmap.

NIS2-Check für Banken starten

Häufige Fragen zu NIS2 in der Banken

Wenn DORA gilt — brauchen wir uns um NIS2 nicht kümmern?

Im Wesentlichen ja, aber nicht vollständig. NIS2 Art. 4 regelt das Verhältnis zu Sektor-Spezialgesetzgebung. Wo DORA strenger oder gleichwertig ist, verdrängt es NIS2. Restliche NIS2-Bereiche (z. B. einzelne Lieferketten-Aspekte) können relevant bleiben. Eine Gap-Analyse DORA-NIS2 schafft Klarheit.

Wie hängen BAIT und DORA zusammen?

BAIT (Bankaufsichtliche Anforderungen an die IT) ist die nationale Konkretisierung der MaRisk durch die BaFin. DORA ist europäische Verordnung mit Direktwirkung. BAIT bleibt parallel relevant — die BaFin hat angekündigt, BAIT mit DORA zu harmonisieren.

Welche Banken sind „signifikante Institute“ mit TLPT-Pflicht?

DORA Art. 27 nennt Schwellen-Kriterien (Größe, Komplexität, Risikoprofil). EBA, ESMA und EIOPA haben in einem Technical Standard die Auswahl­kriterien konkretisiert. Praktisch betrifft das alle systemrelevanten Banken und große Wertpapierfirmen.

Welche Vorfälle in der Branche sind bekannt?

TARGET2-Probleme 2020 (operativer Ausfall), mehrere Phishing-Wellen gegen Sparkassen 2023, ION-Markets-Ransomware 2023 (Auswirkungen auf europäische Derivate-Märkte). Die Branche ist hochwertiges Ziel — daher die strengere DORA-Regulierung.

Sind kleine Volksbanken auch DORA-pflichtig?

Ja. DORA gilt grundsätzlich für alle Kreditinstitute unter CRR. Es gibt Verhältnismäßigkeits-Klauseln (kleine, nicht-komplexe Institute), aber kein Bagatell-Opt-Out. Die Genossenschafts-Verbünde und Sparkassen-Finanzgruppen organisieren Compliance teils zentral.

Wer ist Aufsichtsbehörde?

BaFin und Deutsche Bundesbank sind nationale Finanzaufsicht für DORA. BSI ist NIS2-Zentrale. Für kritische IKT-Drittparteien kommen europäische Aufsichts­behörden hinzu (Lead Overseer). Bei NIS2-Restbereichen für Banken: BSI.