DORA und NIS2: Doppelter Regulierungsdruck trifft Finanzbranche

Die europäische Finanzbranche steckt im März 2026 in einem beispiellosen Compliance-Stresstest. Gleich zwei neue IT-Sicherheitsregularien – DORA und NIS2 – fordern Banken und Versicherungen zeitgleich heraus. Viele Unternehmen kämpfen mit den komplexen Anforderungen, während die Aufsichtsbehörden bereits die ersten Fristen durchsetzen.

Der große März-Countdown

Für die Finanzaufsicht ist dieser Monat ein Meilenstein. Seit dem 9. März müssen alle Finanzunternehmen in Deutschland ihr DORA-Informationsregister bei der BaFin einreichen. Diese umfangreiche Liste aller Verträge mit IT-Dienstleistern muss bis zum 30. März in speziellen Formaten vorliegen. Doch der Branche geht die Zeit aus.

Die Dokumentation von Dienstleisterverhältnissen ist unter DORA und der DSGVO gleichermaßen kritisch, da Lücken im Verarbeitungsverzeichnis teure Bußgelder nach sich ziehen können. Diese kostenlose Excel-Vorlage mit Schritt-für-Schritt-Anleitung macht Ihre Datenschutz-Dokumentation prüfungssicher und spart wertvolle Zeit. Verarbeitungsverzeichnis nach Art. 30 DSGVO in unter einer Stunde erstellt

Eine Analyse vom 20. März 2026 zeigt: Fast die Hälfte der befragten Institute hält die Erstellung genau dieses Registers für die größte Herausforderung. Bereits vor der Einführung gaben nur rund ein Drittel der großen europäischen Finanzunternehmen an, allen DORA-Anforderungen gewachsen zu sein. Die BaFin wird nicht nur die pünktliche Einreichung prüfen, sondern auch Vollständigkeit und Genauigkeit. Unvollständige Meldungen gelten bereits als Verstoß.

Zwei Regeln, ein Ziel – wer setzt sich durch?

Wie passen die EU-Verordnung DORA und die Richtlinie NIS2 zusammen? Juristen erklären es mit dem Prinzip „Lex Specialis“: Das speziellere Gesetz geht vor. Für Finanzinstitute ist DORA das speziellere Regelwerk. Es überstimmt nationale NIS2-Umsetzungen wie das deutsche BSI-Gesetz in zentralen Bereichen: IT-Risikomanagement, Störungsmeldungen und das Management von IT-Dienstleistern.

Bedeutet das Entwarnung? Keineswegs. NIS2 behält seine Gültigkeit für physische Sicherheit, Betriebstechnologie und Lieferketten außerhalb der IT. Eine Bank muss also ihre Cloud-Infrastruktur nach DORA absichern, die physische Sicherheit ihres Rechenzentrums aber zusätzlich nach NIS2 regulieren.

Ein weiterer Unterschied liegt in der Rechtsnatur. DORA gilt als EU-Verordnung seit dem 17. Januar 2025 direkt in allen Mitgliedsstaaten. NIS2 hingegen ist eine Richtlinie, die national umgesetzt werden musste. In Deutschland endete die Frist zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 6. März. Viele Unternehmen verzögerte der bürokratische Prozess, der spezielle ELSTER-Zertifikate erforderte.

Wettlauf gegen die Uhr: Unterschiedliche Meldefristen

Ein kritischer Unterschied betrifft die Geschwindigkeit, mit der Störungen gemeldet werden müssen. Beide Regularien wollen schnelle Informationen für die Behörden – aber mit unterschiedlichem Tempo.

DORA setzt die Branche unter enormen Zeitdruck. Bei einem schwerwiegenden IT-Vorfall muss die erste Meldung an die zuständige Aufsicht – in Deutschland die BaFin – innerhalb von nur vier Stunden nach der Einstufung erfolgen.

Während DORA und NIS2 die IT-Resilienz forcieren, verschärfen neue Gesetze wie die KI-Verordnung die Compliance-Lage für Unternehmen zusätzlich. Dieser kostenlose Leitfaden erklärt verständlich die neuen Anforderungen und Fristen, damit Sie Ihre Systeme rechtzeitig rechtssicher klassifizieren. EU-KI-Verordnung kompakt: Jetzt kostenloses E-Book sichern

NIS2 sieht eine gestaffelte Meldepflicht vor: Eine erste Warnung muss innerhalb von 24 Stunden an das BSI gehen, eine formelle Meldung innerhalb von 72 Stunden und ein abschließender Bericht nach einem Monat. Finanzinstitute brauchen daher hochspezialisierte Prozesse, um je nach Vorfall die richtige Behörde im richtigen Zeitfenster zu informieren.

Lieferketten unter der Lupe

Die Sicherheit der Zulieferer ist beiden Regeln wichtig, doch DORA geht hier einen radikal neuen Weg. Artikel 28 verpflichtet nicht nur zum Informationsregister. Die Verordnung ermöglicht auch eine direkte europäische Aufsicht über kritische IT-Dienstleister wie große Cloud-Anbieter. Europäische Aufsichtsbehörden können diese Anbieter nun gemeinsam mit nationalen Stellen wie der BaFin direkt kontrollieren.

NIS2 verlangt zwar auch eine Bewertung der direkten Zulieferer, etabliert aber keine vergleichbare zentrale Aufsicht. Für Banken bedeutet das: Ihre digitale Lieferkette wird unter DORA extrem streng überwacht – inklusive dokumentierter Ausstiegsszenarien. Die übrige Lieferkette fällt unter die allgemeineren Risikomanagement-Pflichten von NIS2.

Hohe Strafen und der Blick nach vorn

Ein Bericht der EU-Kommission Mitte März 2026 bescheinigt dem Finanzsektor eine gute Widerstandsfähigkeit. DORA wird als Grundpfeiler dieser Stabilität gelobt. Für den einzelnen Konzern bleibt der Aufwand jedoch immens. Die finanziellen Konsequenzen bei Verstößen sind drakonisch.

DORA ermöglicht Geldstrafen von bis zu 2 Prozent des weltweiten Jahresumsatzes oder bis zu zwei Millionen Euro für spezifische Cybersecurity-Verfehlungen. Auch öffentliche Rügen und der Entzug von Betriebslizenzen sind möglich. NIS2 sieht ähnlich hohe Strafen vor und führt explizit eine persönliche Haftung für Vorstände ein, wenn sie notwendige Risikomaßnahmen vernachlässigen.

Während die Branche auf den 30. März zusteuert, wächst der Druck. Analysten erwarten, dass die Aufseher 2026 von der Implementierungs- in die Durchsetzungsphase wechseln. Am besten positioniert sind jene Unternehmen, die NIS2 und DORA nicht als isolierte Checklisten, sondern als integriertes Rahmenwerk für eine umfassende Unternehmensresilienz begreifen.

boerse | 68955032 |