NIS2 & DORA im Finanzsektor
DORA (EU 2022/2554) hat als lex specialis Vorrang — die meisten NIS2-Pflichten entfallen für Finanzunternehmen. Die BSI-Registrierung und technische Absicherung bleiben relevant.
DORA & NIS2 — Was für den Finanzsektor gilt
Der Finanzsektor ist der einzige NIS2-Sektor, für den eine vollständige lex-specialis-Regelung existiert: DORA verdrängt die meisten NIS2-Pflichten. Die technische Absicherung bleibt unter beiden Regelwerken gleichermaßen wichtig.
DORA hat Vorrang (lex specialis)
§28 Abs. 6 BSIG befreit DORA-regulierte Finanzunternehmen von §§30, 31, 32, 35, 36, 38, 39 BSIG — kein NIS2-Risikomanagement, keine NIS2-Meldepflichten, keine NIS2-GF-Haftung. Stattdessen gelten die strengeren DORA-Anforderungen (EU 2022/2554). Die BSI-Registrierungspflicht (§33 BSIG) bleibt bestehen.
BaFin statt BSI
Für DORA-regulierte Unternehmen ist die BaFin zuständige Aufsichtsbehörde — nicht das BSI. DORA verlangt eine Erstmeldung bei schwerwiegenden IKT-Vorfällen innerhalb von 4 Stunden (deutlich strenger als die NIS2-Frist von 24 Stunden).
Online-Banking & Kundenportale
Millionen Kunden nutzen täglich Online-Banking und Kundenportale. Ob unter DORA oder NIS2 — TLS-Konfiguration, Security Headers und API-Absicherung sind unter beiden Regelwerken gleichermaßen relevant.
IKT-Drittanbieter: Dual reguliert
IKT-Dienstleister, die sowohl Finanz- als auch Nicht-Finanzunternehmen bedienen, unterliegen DORA und NIS2 parallel. DORA für Finanzkundenservices, NIS2 für ihre Rolle als Digitale Infrastruktur.
Was für Finanzunternehmen gilt
DORA verdrängt NIS2 bei Risikomanagement, Meldepflichten, GF-Haftung und Aufsicht. Die BSI-Registrierung und technische Absicherung bleiben bestehen.
Technische Anforderungen — unter DORA und NIS2 gleichermaßen relevant
Auch wenn DORA die NIS2-Risikomanagement-Pflichten (§30 BSIG) verdrängt: Die technische Absicherung von Online-Banking, APIs und E-Mail-Infrastruktur bleibt unter beiden Regelwerken essentiell. Wolf-Agents prüft diese Aspekte automatisiert.
| Art. 21 | Maßnahme | Finanzsektor-Relevanz | Status |
|---|---|---|---|
| (a) | Risikoanalyse | ISMS nach ISO 27001, Risikoanalyse für Kernbankensysteme, Online-Banking und Zahlungsinfrastruktur | Fragebogen |
| (d) | Lieferkette | Zahlungsdienstleister, Rechenzentren, FinTech-Partner — DORA verlangt explizites IKT-Drittanbieter-Management | Fragebogen |
| (e) | Sichere Systeme | Online-Banking-Portale, Kundenportale, API-Schnittstellen — Security Headers und TLS-Konfiguration | Automatisiert |
| (h) | Kryptografie | TLS 1.3+ mit starken Cipher Suites, DANE für E-Mail, Verschlüsselung von Transaktionsdaten | Automatisiert |
| (i) | Zugriffskontrolle | Rollenbasierte Zugriffe auf Kernbankensysteme, starke Authentifizierung für Mitarbeiter und Kunden | Fragebogen |
| (f) | Wirksamkeitsprüfung | Kontinuierliches Monitoring, TLPT unter DORA, Score-Trends und automatische Alerts | Automatisiert |
Prüfen → Überwachen → Dokumentieren
Technische Compliance für Finanzunternehmen — relevant unter DORA und NIS2: Automatische Prüfung Ihrer Online-Banking-Portale, E-Mail-Infrastruktur und API-Schnittstellen.
Prüfen
Web Security Scanner prüft Online-Banking, Kundenportale und API-Endpunkte auf Security Headers, TLS-Konfiguration und bekannte Schwachstellen.
Überwachen
Automatisches Monitoring alle 6 Stunden: Score-Verschlechterung, DNS-Änderungen, Blacklist-Listings und Zertifikatsablauf — sofortige Alerts.
Dokumentieren
Score-History, Maßnahmen-Log und Compliance-Report — nachweisbar für BaFin-Prüfungen, BSI-Audits und den Vorstand.
Erfüllt Ihr Institut die NIS2-Anforderungen?
Prüfen Sie in 30 Sekunden, ob Ihr Finanzunternehmen von der NIS2-Richtlinie betroffen ist. Kostenlos, ohne Registrierung.