Seit Oktober 2024 gilt NIS2, seit Januar 2025 ist DORA (Digital Operational Resilience Act) verbindlich. Für viele Finanzunternehmen gelten beide Regelwerke gleichzeitig. Das führt zu Verwirrung: Was überschneidet sich? Was ist zusätzlich nötig? Und wo drohen Doppelarbeiten?
Was ist DORA?
DORA ist eine EU-Verordnung speziell für den Finanzsektor, die seit dem 17. Januar 2025 unmittelbar gilt. Sie betrifft Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Kreditinstitute, FinTechs und deren IT-Dienstleister. Ziel ist die digitale operationale Resilienz: Finanzunternehmen müssen IKT-Risiken systematisch managen und Cyberangriffe überstehen können.
Kostenlose Erstberatung anfragen
Antwort innerhalb von 24 Stunden
- IKT-Risikomanagement: vollständiges Framework vorgeschrieben
- Meldepflicht für schwerwiegende IKT-Vorfälle (innerhalb 4h erste Meldung, 72h Detailbericht)
- Digitale operationale Resilienztests: TLPT (Threat-Led Penetration Testing) für systemrelevante Institute
- Management von Drittanbieter-Risiken: Vertragsanforderungen für alle IKT-Dienstleister
- Informationsaustausch über Cyberbedrohungen innerhalb des Sektors
Was ist der Unterschied zu NIS2?
NIS2 ist sektorübergreifend und betrifft Unternehmen aus 18 Sektoren, darunter Banken und Finanzmarktinfrastrukturen. DORA ist sektorspezifisch und geht für den Finanzsektor deutlich tiefer. Wo NIS2 allgemeine Anforderungen stellt, definiert DORA konkrete technische Standards und Testverfahren.
Wichtig: DORA-Compliance ersetzt NIS2 für Finanzunternehmen nicht vollständig. Beide Regelwerke haben eigene Aufsichtsbehörden und Meldepflichten. Die BaFin überwacht DORA in Deutschland, das BSI ist für NIS2 zuständig.
Wer ist von DORA betroffen?
- Kreditinstitute und Banken jeder Größe
- Versicherungsunternehmen und Rückversicherer
- Wertpapierfirmen und Fondsgesellschaften (AIFM, UCITS)
- Zahlungsdienstleister und E-Geld-Institute
- Krypto-Dienstleister (nach MiCA lizenziert)
- IKT-Drittdienstleister für kritische Finanzunternehmen (Cloud, Rechenzentren, Software)
- Datenbereitstellungsdienste und Handelsplätze
TLPT: Penetrationstests als DORA-Pflicht
DORA schreibt für systemrelevante Finanzinstitute Threat-Led Penetration Testing (TLPT) vor. Das sind gezielte, bedrohungsgesteuerte Penetrationstests nach dem TIBER-EU-Framework, die reale Angreifergruppen simulieren. TLPT geht deutlich über Standard-Pentests hinaus und muss von akkreditierten Testanbietern durchgeführt werden.
Auch kleinere Finanzinstitute, die nicht zwingend TLPT benötigen, müssen regelmäßige IKT-Sicherheitstests durchführen. Netzwerk-Penetrationstests, Web-Applikations-Tests und Social-Engineering-Simulationen sind explizit als geeignete Testmethoden in DORA Art. 26 aufgeführt.
Überschneidungen zwischen NIS2 und DORA
- Beide: Risikoanalyse und Sicherheitsrichtlinien
- Beide: Incident Management und Meldepflichten (aber unterschiedliche Fristen und Behörden)
- Beide: Business Continuity und Krisenmanagement
- Beide: Schulungen und Awareness-Programme
- Nur DORA: TLPT und bedrohungsgesteuerte Tests
- Nur DORA: Detailliertes Drittanbieter-Register und Vertragsanforderungen
- Nur NIS2: Supply-Chain-Sicherheit für Nicht-IKT-Zulieferer
Praktische Empfehlung: Dual-Compliance-Ansatz
Schritt 1: Betroffenheitsanalyse
Klären Sie zunächst: Fallen Sie unter DORA, NIS2 oder beide? Als Faustregel gilt: Alle regulierten Finanzinstitute fallen unter DORA. Zusätzlich unter NIS2 fallen Banken und Finanzmarktinfrastrukturen, die die Schwellenwerte (50 MA oder 10 Mio. € Umsatz) überschreiten.
Schritt 2: Gap-Analyse gegen beide Regelwerke
Eine strukturierte Gap-Analyse identifiziert, welche Maßnahmen für NIS2, welche für DORA und welche für beide benötigt werden. Viele Maßnahmen - wie Penetrationstests, Incident-Management-Prozesse und Schulungen - erfüllen Anforderungen beider Regelwerke gleichzeitig.
Schritt 3: Penetrationstest als Nachweis
Ein professioneller Penetrationstest ist der effizienteste Weg, Compliance-Nachweise für beide Regelwerke gleichzeitig zu erbringen. Er adressiert NIS2 Art. 21(2)(e) und (f) sowie DORA Art. 26 (IKT-Sicherheitstests) in einem Schritt.
Bußgelder und Haftung
- DORA: Bis zu 1% des täglichen weltweiten Umsatzes pro Verstoß (ohne gesetzliche Obergrenze)
- NIS2 Banken: Bis zu 10 Mio. € oder 2% des Jahresumsatzes
- DORA: Persönliche Haftung von Geschäftsleitern bei grober Fahrlässigkeit
- BaFin kann temporäre Geschäftsverbote für Führungskräfte verhängen
Fazit: Doppelte Pflicht, einfache Lösung
NIS2 und DORA zusammen klingen nach doppeltem Aufwand. In der Praxis überschneiden sich die Anforderungen erheblich. Wer einen strukturierten Dual-Compliance-Ansatz wählt, erfüllt beide Regelwerke mit deutlich weniger Ressourcen als zwei separate Projekte. Der erste Schritt ist immer gleich: eine ehrliche Bestandsaufnahme, was bereits vorhanden ist und was fehlt.
Ihre IT-Sicherheit beginnt heute.
Warten Sie nicht auf einen Angriff. Kontaktieren Sie uns für eine kostenlose Erstberatung und erfahren Sie, wie sicher Ihre IT wirklich ist.