Volljurist und Compliance-Experte
21 Mar 2026
7 min
.svg)
DORA gilt als Lex Specialis und verdrängt NIS2 nur dort, wo es spezifische Regeln hat: IKT-Risikomanagement, IKT-Vorfallmeldung und IKT-Drittanbietersteuerung.
Finanzunternehmen müssen bei einem IKT-Vorfall parallel an BaFin (DORA, 4 Stunden) und BSI (NIS2, 24 Stunden) melden.
Das Register of Information ist eine DORA-Sonderanforderung: eine vollständige Dokumentation aller IKT-Drittanbieter-Verträge mit Datenstandorten, Subunternehmern und Exit-Strategien.
Für physische Sicherheit, OT-Systeme und nicht-IKT-Lieferketten gilt NIS2 auch für Finanzunternehmen uneingeschränkt weiter.
NIS2 und DORA regulieren beide die Cybersicherheit in der EU. Für Finanzunternehmen gelten sie gleichzeitig. Das sorgt für Unsicherheit: Welches Regelwerk hat Vorrang? Wo überschneiden sie sich? Und was müssen Banken, Versicherungen und Finanzdienstleister tatsächlich doppelt umsetzen?
Die kurze Antwort: DORA geht als Lex Specialis vor, aber nur in IKT-spezifischen Bereichen. In allen anderen Bereichen bleibt NIS2 in Kraft. Das bedeutet nicht "entweder oder", sondern "DORA plus NIS2". Dieser Artikel erklärt die Abgrenzung.
NIS2 ist eine EU-Richtlinie, die horizontal über 18 Sektoren hinweg Cybersicherheitsstandards setzt. In Deutschland wurde sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt, das seit Dezember 2025 in Kraft ist. NIS2 erfasst rund 30.000 besonders wichtige und wichtige Einrichtungen, darunter auch Finanzunternehmen.
DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die seit dem 17. Januar 2025 direkt gilt. Sie braucht kein nationales Umsetzungsgesetz. DORA richtet sich ausschließlich an den Finanzsektor: Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, Krypto-Dienstleister und deren kritische IKT-Drittanbieter.
Der Unterschied in der Rechtsform ist praxisrelevant. Eine Richtlinie (NIS2) lässt den Mitgliedstaaten Spielraum bei der Umsetzung. Eine Verordnung (DORA) gilt einheitlich in der gesamten EU. Für Finanzunternehmen mit Niederlassungen in mehreren EU-Ländern bedeutet das: DORA ist überall gleich, NIS2 kann je nach Land variieren.
Art. 4 der NIS-2-Richtlinie legt fest, dass sektorspezifische EU-Rechtsakte Vorrang haben, wenn ihre Anforderungen mindestens gleichwertig sind. DORA erfüllt diese Bedingung für drei Bereiche: IKT-Risikomanagement, IKT-Vorfallmeldung und IKT-Drittanbietersteuerung. In diesen drei Bereichen verdrängt DORA die NIS2-Vorgaben für Finanzunternehmen.
Die Grenze ist klar: DORA regelt nur IKT-spezifische Risiken. Alles, was nicht "IKT" ist, fällt weiter unter NIS2. Konkret bedeutet das:
| Bereich | Regelwerk | Begründung |
|---|---|---|
| IKT-Risikomanagement | DORA | Spezifischer als §30 BSIG |
| IKT-Vorfallmeldung | DORA | 4h-Frist strenger als NIS2 |
| IKT-Drittanbieter | DORA | Register of Information, direkte Aufsicht |
| Physische Sicherheit | NIS2 | DORA erfasst nur IKT |
| OT-Systeme (Gebäudetechnik, Zutrittskontrolle) | NIS2 | Kein IKT im DORA-Sinne |
| Nicht-IKT-Lieferkette | NIS2 | DORA nur für IKT-Drittanbieter |
| Geschäftsführerpflichten | Beide | DORA Art. 5 + NIS2 §38 BSIG |
Der häufigste Fehler in der Praxis: Finanzunternehmen stufen sich als "DORA-only" ein und ignorieren die NIS2-Pflichten, die weiter gelten. Besonders die NIS2-Anforderungen zur physischen Sicherheit und zur nicht-IKT-Lieferkette werden übersehen.
"Finanzunternehmen denken oft, DORA ersetze NIS2 vollständig. Das stimmt nur für IKT-spezifische Anforderungen. Für physische Sicherheit, Geschäftsführerhaftung und nicht-IKT-Lieferketten bleibt NIS2 uneingeschränkt in Kraft. Wer das ignoriert, hat eine Compliance-Lücke."
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
| Kriterium | NIS2 (NIS2UmsuCG) | DORA |
|---|---|---|
| Rechtsform | EU-Richtlinie, national umgesetzt (BSIG) | EU-Verordnung, direkt gültig |
| Geltung seit | Dezember 2025 (NIS2UmsuCG) | 17. Januar 2025 |
| Scope | 18 Sektoren, ~30.000 Einrichtungen in DE | Nur Finanzsektor (Banken, Versicherungen, Zahlungsinstitute, Krypto etc.) |
| Aufsichtsbehörde (DE) | BSI | BaFin (+ ESAs auf EU-Ebene) |
| Erstmeldefrist bei Vorfall | 24 Stunden (Frühwarnung an BSI) | 4 Stunden (Erstmeldung an BaFin) |
| IKT-Drittanbieter | Lieferkettensicherheit allgemein (§30 Abs. 2 Nr. 4) | Register of Information + direkte Aufsicht kritischer IKT-Drittanbieter |
| Bußgelder | Bis 10 Mio. EUR oder 2 % des Jahresumsatzes | Bis 1 % des weltweiten Jahresumsatzes (bei kritischen IKT-Drittanbietern: bis 5 Mio. EUR) |
Auffällig ist der Unterschied bei der Aufsicht: NIS2 wird vom BSI beaufsichtigt, DORA von der BaFin. Finanzunternehmen haben es mit zwei Behörden gleichzeitig zu tun. Wer die Kategorien besonders wichtige Einrichtung, wichtige Einrichtung und Betreiber kritischer Anlagen im NIS2-Kontext verstehen will, findet die Abgrenzung in unserem Artikel zum Unterschied NIS2 vs. KRITIS.
Die Meldefristen sind der spürbarste Unterschied im operativen Alltag. DORA verlangt bei einem schwerwiegenden IKT-Vorfall eine Erstmeldung an die BaFin innerhalb von 4 Stunden nach Feststellung. Danach folgt eine Zwischenmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats.
NIS2 verlangt eine Frühwarnung an das BSI innerhalb von 24 Stunden, gefolgt von einer qualifizierten Meldung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Den vollständigen Ablauf der NIS2-Meldepflicht haben wir separat aufbereitet.
Für Finanzunternehmen laufen beide Meldeketten parallel. Ein IKT-Sicherheitsvorfall löst sowohl die DORA-Meldung an die BaFin als auch die NIS2-Meldung an das BSI aus. Das sind verschiedene Formulare, verschiedene Behörden, verschiedene Fristen. Wer keinen vorbereiteten Doppelmeldeprozess hat, scheitert an der 4-Stunden-Frist. In der Praxis bedeutet das: Der Incident-Response-Plan muss beide Meldewege von Anfang an enthalten, nicht als Nachgedanken.
DORA fordert etwas, das NIS2 nicht kennt: das Register of Information. Finanzunternehmen müssen ein vollständiges Verzeichnis aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern führen. Dieses Register enthält granulare Details: Vertragsgegenstand, Datenstandorte, Subunternehmer-Ketten, Abhängigkeitsanalysen und Exit-Strategien.
Das Register dient der BaFin als Grundlage für die Überwachung kritischer IKT-Drittanbieter. Es ist keine einmalige Aufgabe, sondern muss kontinuierlich aktuell gehalten werden. Für Unternehmen mit Dutzenden oder Hunderten von IKT-Dienstleistern ist das ein erheblicher Dokumentationsaufwand.
NIS2 fordert zwar Lieferkettensicherheit (§30 Abs. 2 Nr. 4 BSIG), aber kein vergleichbares zentrales Register. Wer das Register of Information für DORA aufbaut, kann die Ergebnisse allerdings für die NIS2-Lieferkettendokumentation mitnutzen. ISMS-Plattformen wie das Digital Compliance Office von SECJUR ermöglichen es, Lieferantenrisiken zentral zu erfassen und sowohl DORA- als auch NIS2-Anforderungen in einem System abzubilden.
Beide Regelwerke sind in Kraft. Finanzunternehmen, die bisher nur DORA umgesetzt haben, sollten prüfen, wo NIS2 ergänzend greift. Vier Schritte helfen bei der Strukturierung:
Gap-Analyse DORA vs. NIS2 durchführen
Identifizieren Sie die Bereiche, in denen NIS2 über DORA hinausgeht: physische Sicherheit, OT-Systeme, nicht-IKT-Lieferkette, Governance-Anforderungen jenseits von IKT. Dokumentieren Sie die Lücken.
Doppelmeldeprozess aufsetzen (BaFin + BSI)
Stellen Sie sicher, dass Ihr Incident-Response-Plan beide Meldeketten enthält: 4 Stunden an BaFin (DORA) und 24 Stunden an BSI (NIS2). Definieren Sie, wer welche Meldung verantwortet.
Register of Information aufbauen oder vervollständigen
Erfassen Sie alle IKT-Drittanbieter mit Vertragsdetails, Datenstandorten und Subunternehmer-Ketten. Nutzen Sie die Ergebnisse gleichzeitig für die NIS2-Lieferkettendokumentation.
ISMS als gemeinsame Basis nutzen
Ein ISMS nach ISO 27001 deckt einen Großteil der Anforderungen beider Regelwerke ab. Plattformen wie SECJUR bilden sowohl NIS2- als auch DORA-Anforderungen auf einer Plattform ab und vermeiden so Doppelarbeit bei der Dokumentation. Welche persönlichen Haftungsrisiken für Geschäftsführer aus beiden Regelwerken entstehen, erklärt unser Artikel zur NIS2-Haftung.
Für Finanzunternehmen gibt es kein "entweder oder". DORA regelt die IKT-spezifischen Anforderungen strenger und detaillierter als NIS2. Aber NIS2 bleibt für alle nicht-IKT-Bereiche in Kraft: physische Sicherheit, OT, nicht-IKT-Lieferketten, Geschäftsführerpflichten. Wer nur DORA umsetzt, hat eine Compliance-Lücke. Wer beide Regelwerke auf einem gemeinsamen ISMS aufbaut, spart Aufwand und schließt die Lücken systematisch.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
NIS2 ist eine EU-Richtlinie für Cybersicherheit in 18 Sektoren. DORA ist eine EU-Verordnung speziell für den Finanzsektor. DORA gilt als Lex Specialis und hat Vorrang bei IKT-Risikomanagement, IKT-Vorfallmeldung und IKT-Drittanbietersteuerung. Für alle anderen Bereiche (physische Sicherheit, OT, nicht-IKT-Lieferkette) gilt NIS2 ergänzend.
Beide. Banken und andere Finanzunternehmen müssen DORA und NIS2 parallel erfüllen. DORA hat bei IKT-spezifischen Anforderungen Vorrang (Lex Specialis). NIS2 gilt ergänzend für physische Sicherheit, OT-Systeme und nicht-IKT-Lieferketten. Bei einem Sicherheitsvorfall müssen Finanzunternehmen an BaFin (DORA, 4h) und BSI (NIS2, 24h) parallel melden.
In IKT-spezifischen Bereichen ja. DORA verlangt eine Erstmeldung innerhalb von 4 Stunden (NIS2: 24 Stunden), fordert ein vollständiges Register of Information für alle IKT-Drittanbieter und ermöglicht eine direkte Aufsicht kritischer IKT-Dienstleister durch die BaFin. SECJUR hilft Finanzunternehmen, beide Regelwerke auf einer Plattform abzubilden.
Das Register of Information ist eine DORA-Sonderanforderung: Finanzunternehmen müssen ein vollständiges Verzeichnis aller IKT-Drittanbieter-Verträge führen, inkl. Datenstandorten, Subunternehmer-Ketten, Abhängigkeitsanalysen und Exit-Strategien. NIS2 hat keine vergleichbare Anforderung.
TISAX Assessment Level 1, 2 und 3 im Vergleich: Prüftiefe, Kosten, Dauer und Entscheidungshilfe für die richtige Level-Wahl.
Viele Unternehmen sammeln technische Sicherheitsdaten, ohne wirklich zu verstehen, ob ihre NIS2-Maßnahmen wirken. Dieser Leitfaden zeigt, wie Sie aus unübersichtlichen Metriken klare, strategische KPIs formen, die Wirksamkeit messbar machen, Risiken transparent steuern und das Top-Management endlich mit verständlichen, geschäftsrelevanten Cybersecurity-Einblicken versorgen.
§38 Abs. 3 BSIG verpflichtet Geschäftsführer zur regelmäßigen Cybersicherheits-Schulung. Was drin sein muss, wie oft und welche Formate es gibt.
.svg)
.svg)
.svg){kind=small}