DORA und NIS2: Doppelter Regulierungsdruck trifft Finanzbranche
22.03.2026 - 03:39:20 | boerse-global.de
Die europĂ€ische Finanzbranche steckt im MĂ€rz 2026 in einem beispiellosen Compliance-Stresstest. Gleich zwei neue IT-Sicherheitsregularien â DORA und NIS2 â fordern Banken und Versicherungen zeitgleich heraus. Viele Unternehmen kĂ€mpfen mit den komplexen Anforderungen, wĂ€hrend die Aufsichtsbehörden bereits die ersten Fristen durchsetzen.
Der groĂe MĂ€rz-Countdown
FĂŒr die Finanzaufsicht ist dieser Monat ein Meilenstein. Seit dem 9. MĂ€rz mĂŒssen alle Finanzunternehmen in Deutschland ihr DORA-Informationsregister bei der BaFin einreichen. Diese umfangreiche Liste aller VertrĂ€ge mit IT-Dienstleistern muss bis zum 30. MĂ€rz in speziellen Formaten vorliegen. Doch der Branche geht die Zeit aus.
Die Dokumentation von DienstleisterverhĂ€ltnissen ist unter DORA und der DSGVO gleichermaĂen kritisch, da LĂŒcken im Verarbeitungsverzeichnis teure BuĂgelder nach sich ziehen können. Diese kostenlose Excel-Vorlage mit Schritt-fĂŒr-Schritt-Anleitung macht Ihre Datenschutz-Dokumentation prĂŒfungssicher und spart wertvolle Zeit. Verarbeitungsverzeichnis nach Art. 30 DSGVO in unter einer Stunde erstellt
Eine Analyse vom 20. MĂ€rz 2026 zeigt: Fast die HĂ€lfte der befragten Institute hĂ€lt die Erstellung genau dieses Registers fĂŒr die gröĂte Herausforderung. Bereits vor der EinfĂŒhrung gaben nur rund ein Drittel der groĂen europĂ€ischen Finanzunternehmen an, allen DORA-Anforderungen gewachsen zu sein. Die BaFin wird nicht nur die pĂŒnktliche Einreichung prĂŒfen, sondern auch VollstĂ€ndigkeit und Genauigkeit. UnvollstĂ€ndige Meldungen gelten bereits als VerstoĂ.
Zwei Regeln, ein Ziel â wer setzt sich durch?
Wie passen die EU-Verordnung DORA und die Richtlinie NIS2 zusammen? Juristen erklĂ€ren es mit dem Prinzip âLex Specialisâ: Das speziellere Gesetz geht vor. FĂŒr Finanzinstitute ist DORA das speziellere Regelwerk. Es ĂŒberstimmt nationale NIS2-Umsetzungen wie das deutsche BSI-Gesetz in zentralen Bereichen: IT-Risikomanagement, Störungsmeldungen und das Management von IT-Dienstleistern.
Bedeutet das Entwarnung? Keineswegs. NIS2 behĂ€lt seine GĂŒltigkeit fĂŒr physische Sicherheit, Betriebstechnologie und Lieferketten auĂerhalb der IT. Eine Bank muss also ihre Cloud-Infrastruktur nach DORA absichern, die physische Sicherheit ihres Rechenzentrums aber zusĂ€tzlich nach NIS2 regulieren.
Ein weiterer Unterschied liegt in der Rechtsnatur. DORA gilt als EU-Verordnung seit dem 17. Januar 2025 direkt in allen Mitgliedsstaaten. NIS2 hingegen ist eine Richtlinie, die national umgesetzt werden musste. In Deutschland endete die Frist zur Registrierung beim Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) bereits am 6. MĂ€rz. Viele Unternehmen verzögerte der bĂŒrokratische Prozess, der spezielle ELSTER-Zertifikate erforderte.
Wettlauf gegen die Uhr: Unterschiedliche Meldefristen
Ein kritischer Unterschied betrifft die Geschwindigkeit, mit der Störungen gemeldet werden mĂŒssen. Beide Regularien wollen schnelle Informationen fĂŒr die Behörden â aber mit unterschiedlichem Tempo.
DORA setzt die Branche unter enormen Zeitdruck. Bei einem schwerwiegenden IT-Vorfall muss die erste Meldung an die zustĂ€ndige Aufsicht â in Deutschland die BaFin â innerhalb von nur vier Stunden nach der Einstufung erfolgen.
WĂ€hrend DORA und NIS2 die IT-Resilienz forcieren, verschĂ€rfen neue Gesetze wie die KI-Verordnung die Compliance-Lage fĂŒr Unternehmen zusĂ€tzlich. Dieser kostenlose Leitfaden erklĂ€rt verstĂ€ndlich die neuen Anforderungen und Fristen, damit Sie Ihre Systeme rechtzeitig rechtssicher klassifizieren. EU-KI-Verordnung kompakt: Jetzt kostenloses E-Book sichern
NIS2 sieht eine gestaffelte Meldepflicht vor: Eine erste Warnung muss innerhalb von 24 Stunden an das BSI gehen, eine formelle Meldung innerhalb von 72 Stunden und ein abschlieĂender Bericht nach einem Monat. Finanzinstitute brauchen daher hochspezialisierte Prozesse, um je nach Vorfall die richtige Behörde im richtigen Zeitfenster zu informieren.
Lieferketten unter der Lupe
Die Sicherheit der Zulieferer ist beiden Regeln wichtig, doch DORA geht hier einen radikal neuen Weg. Artikel 28 verpflichtet nicht nur zum Informationsregister. Die Verordnung ermöglicht auch eine direkte europĂ€ische Aufsicht ĂŒber kritische IT-Dienstleister wie groĂe Cloud-Anbieter. EuropĂ€ische Aufsichtsbehörden können diese Anbieter nun gemeinsam mit nationalen Stellen wie der BaFin direkt kontrollieren.
NIS2 verlangt zwar auch eine Bewertung der direkten Zulieferer, etabliert aber keine vergleichbare zentrale Aufsicht. FĂŒr Banken bedeutet das: Ihre digitale Lieferkette wird unter DORA extrem streng ĂŒberwacht â inklusive dokumentierter Ausstiegsszenarien. Die ĂŒbrige Lieferkette fĂ€llt unter die allgemeineren Risikomanagement-Pflichten von NIS2.
Hohe Strafen und der Blick nach vorn
Ein Bericht der EU-Kommission Mitte MĂ€rz 2026 bescheinigt dem Finanzsektor eine gute WiderstandsfĂ€higkeit. DORA wird als Grundpfeiler dieser StabilitĂ€t gelobt. FĂŒr den einzelnen Konzern bleibt der Aufwand jedoch immens. Die finanziellen Konsequenzen bei VerstöĂen sind drakonisch.
DORA ermöglicht Geldstrafen von bis zu 2 Prozent des weltweiten Jahresumsatzes oder bis zu zwei Millionen Euro fĂŒr spezifische Cybersecurity-Verfehlungen. Auch öffentliche RĂŒgen und der Entzug von Betriebslizenzen sind möglich. NIS2 sieht Ă€hnlich hohe Strafen vor und fĂŒhrt explizit eine persönliche Haftung fĂŒr VorstĂ€nde ein, wenn sie notwendige RisikomaĂnahmen vernachlĂ€ssigen.
WĂ€hrend die Branche auf den 30. MĂ€rz zusteuert, wĂ€chst der Druck. Analysten erwarten, dass die Aufseher 2026 von der Implementierungs- in die Durchsetzungsphase wechseln. Am besten positioniert sind jene Unternehmen, die NIS2 und DORA nicht als isolierte Checklisten, sondern als integriertes Rahmenwerk fĂŒr eine umfassende Unternehmensresilienz begreifen.
So schÀtzen die Börsenprofis Aktien ein!
FĂŒr. Immer. Kostenlos.
