Zwei Regelwerke — ein Sektor
Der Finanzsektor befindet sich in einer einzigartigen Position: Er unterliegt DORA (Digital Operational Resilience Act), einer EU-Verordnung speziell für Finanzdienstleistungen. Gleichzeitig gibt es NIS2, das kritische Infrastrukturen breiter betrifft.
Wie hängen diese zusammen? Und was müssen Finanzorganisationen tun?
Kurzversion: Finanzunternehmen unterliegen primär DORA, nicht NIS2. Aber IKT-Dienstleister für den Finanzsektor können beiden unterliegen.
DORA im Überblick
Was ist DORA? Digital Operational Resilience Act — EU-Verordnung für digitale Widerstandsfähigkeit im Finanzsektor. Gilt ab 17. Januar 2025.
Wer ist betroffen?
- Banken und Kreditinstitute
- Zahlungsinstitute
- Versicherungs- und Rückversicherungsunternehmen
- Wertpapierfirmen
- Fondsgesellschaften
- Kritische IKT-Drittanbieter
Fünf Säulen:
- IKT-Risikomanagement
- Vorfallmeldung
- Tests der digitalen Resilienz
- IKT-Drittanbieterrisiko
- Informationsaustausch
DORA vs NIS2 — Vergleich
| Aspekt | DORA | NIS2 |
|---|---|---|
| Typ | Verordnung (direkt anwendbar) | Richtlinie (erfordert nationales Gesetz) |
| Sektor | Finanzsektor | 18 kritische Sektoren |
| Fokus | Digitale operative Resilienz | Cybersicherheit allgemein |
| Vorfallmeldung | 4h-24h-72h-1Monat | 24h-72h-1Monat |
| Tests | Explizit, einschließlich TLPT | Implizit |
| Drittanbieterrisiko | Sehr detailliert | Anforderungen vorhanden |
| Sanktionen | Über Finanzaufsicht | Bis zu 10M€ oder 2% |
NIS2 Artikel 4 — Die Ausnahme
NIS2 nimmt Finanzunternehmen von der Richtlinie aus:
“Diese Verordnung berührt nicht die Anwendung von [DORA] auf Finanzunternehmen, die unter diese Verordnung fallen.”
In der Praxis:
- Banken, Versicherungen etc. folgen DORA
- NIS2 gilt nicht parallel für dieselbe Einrichtung
- IKT-Dienstleister für Finanzunternehmen können NIS2 unterliegen (und DORA-Drittanbieteranforderungen)
Überschneidende Anforderungen
Beide erfordern systematisches IKT/Cybersicherheits-Risikomanagement. DORA ist detaillierter mit Anforderungen an Risikobereitschaft und Rahmenwerk.
Beide erfordern Meldung. DORA: 4 Stunden initial. NIS2: 24 Stunden. DORA hat spezifischere Klassifizierungskriterien.
Beide erfordern Kontinuitätspläne. DORA hat explizite Anforderungen an Wiederherstellungszeiten und Tests.
Beide adressieren Lieferantenrisiken. DORA ist deutlich detaillierter mit Anforderungen an Konzentrationsrisiko und Exit-Strategien.
Wo DORA weiter geht
Tests
DORA-Testanforderungen:
- Grundlegende Tests: Schwachstellenbewertungen, Netzwerksicherheit, Gap-Analysen, physische Sicherheit, Quellcode-Reviews
- Erweiterte Tests (TLPT): Threat-Led Penetration Testing für kritische Funktionen, alle drei Jahre für größere Finanzinstitute
- Drittanbietertests: IKT-Dienstleister sollen in Testprogramme einbezogen werden
NIS2 hat keine entsprechenden expliziten Testanforderungen.
IKT-Drittanbieterrisiko
| DORA-Anforderung | Beschreibung |
|---|---|
| Konzentrationsrisiko | Vermeidung übermäßiger Abhängigkeit von einzelnen Anbietern |
| Exit-Strategie | Plan zum Wechsel kritischer Dienstleister |
| Aufsicht über kritische | Kritische IKT-Dienstleister stehen unter EU-Aufsicht |
| Vertragsinhalt | Spezifische Anforderungen an Vertragsinhalte |
| Register | Aktualisiertes Verzeichnis aller IKT-Dienstleister |
Vorfallmeldung
| Stufe | DORA | NIS2 |
|---|---|---|
| Initial | 4 Stunden | 24 Stunden |
| Zwischenbericht | 72 Stunden | 72 Stunden |
| Abschlussbericht | 1 Monat | 1 Monat |
| An wen | BaFin/Finanzaufsicht | BSI/Sektorbehörde |
Strategischer Ansatz
- Klären Sie, welche Regelwerke gelten Finanzunternehmen? DORA primär. IKT-Dienstleister für Finanzsektor? Möglicherweise beide. Anderer kritischer Sektor? NIS2.
- Bauen Sie auf ISO 27001 auf ISO 27001 bietet Struktur, die sowohl DORA als auch NIS2 unterstützt. Fügen Sie spezifische Anforderungen hinzu.
- Verstärken Sie Tests (DORA) DORA erfordert rigorosere Tests. Planen Sie regelmäßige Tests und TLPT falls anwendbar.
- Entwickeln Sie Drittanbieter-Management DORA-Anforderungen sind detailliert. Schaffen Sie robuste Prozesse für Lieferantenbewertung, Vertragsmanagement und Exit-Planung.
- Integrieren Sie Meldewesen Ein Vorfallprozess, der beide Regelwerke abdeckt. Beginnen Sie mit der kürzesten Frist (DORA 4h).
Praktische Tipps
Für Finanzinstitute
- Konzentrieren Sie sich auf DORA — das ist Ihr primäres Regelwerk
- Integrieren Sie NIS2-Anforderungen in Lieferantenverträge (Ihre Dienstleister können betroffen sein)
- Arbeiten Sie mit IKT-Dienstleistern an gemeinsamer Compliance
Für IKT-Dienstleister des Finanzsektors
- Sie können sowohl DORA (Drittanbieteranforderungen) als auch NIS2 unterliegen
- Bereiten Sie sich auf DORA-Vertrags- und Prüfungsanforderungen vor
- Kritische Dienstleister stehen unter EU-Aufsicht
IKT-Dienstleister? Überprüfen Sie, ob Sie NIS2 unterliegen und lesen Sie mehr über spezifische NIS2-Anforderungen.
So kann Securapilot helfen
Securapilot unterstützt Compliance für DORA und NIS2:
- Risikomanagement — IKT-Risikomanagement nach beiden Rahmenwerken
- Vorfallmanagement — Meldung entsprechend kürzester Fristen
- Lieferantenmanagement — DORA-Anforderungen für IKT-Drittanbieterrisiko
- Test-Tracking — Dokumentation von Tests und Ergebnissen
- Compliance-Dashboard — Überblick über Status
Demo buchen und sehen Sie, wie wir Ihre Finanzsektor-Compliance unterstützen können.
Häufig gestellte Fragen
Gelten sowohl DORA als auch NIS2 für Banken?
Nein, NIS2 nimmt Finanzunternehmen aus, die unter DORA fallen (Artikel 4). Banken, Versicherungen und andere Finanzinstitute folgen primär DORA. Jedoch kann NIS2 für IKT-Dienstleister des Finanzsektors gelten.
Was ist der Unterschied zwischen DORA und NIS2?
DORA ist sektorspezifisch für Finanzdienstleistungen und detaillierter, mit expliziten Anforderungen an Tests und Drittanbieter-Management. NIS2 ist breiter angelegt und gilt für viele Sektoren. DORA hat höhere Anforderungen in bestimmten Bereichen.
Welche Sanktionen gelten bei DORA-Verstößen?
Die BaFin und andere Finanzaufsichtsbehörden können Sanktionen gemäß nationaler Umsetzung verhängen. Kritische IKT-Drittanbieter können Bußgelder bis zu 1% des durchschnittlichen täglichen weltweiten Umsatzes erhalten.
Kann ISO 27001 als Grundlage für beide verwendet werden?
Ja, ISO 27001 bietet eine gute Grundlage, die große Teile von DORA und NIS2 abdeckt. Beide erfordern jedoch spezifische Ergänzungen — DORA ist detaillierter bei Tests und Drittanbieter-Management.
