Regulierung digitaler Resilienz im Finanzsektor : Einordnung der aktuellen EU-Bestimmungen DORA und NIS-2

Aufgrund der allgegenwärtigen IKT-Systeme bei Finanzunternehmen müssen diese auch in eine enge Abstimmung mit ihren Dienstleistern treten, um Notfallpläne und Exitstrategien zu erarbeiten und abzustimmen. Der Versicherungssektor ist ebenso von DORA betroffen und hat sich gleichermaßen durch den IKT-Einsatz verändert. Finanzunternehmen fallen zwar – wie bereits angemerkt – generell weiterhin unter die EU NIS-2-Richtlinie, müssen aber aufgrund der Harmonisierung auch die strenger ausgelegten Anforderungen des DORA erfüllen.

Vergleich zu NIS-2

DORA bedeutet umfangreiche Pflichten für eine Vielzahl von Institutionen mit sich und sieht eine spezifische Aufsicht vor. Betroffen sind neben Kreditinstituten und Handelsplätzen auch Versicherungsunternehmen und IKT-Drittdienstleister in allen EU-Mitgliedstaaten. Die neuen Anforderungen zielen darauf ab, die Resilienz der Finanzunternehmen zu stärken, indem sie umfassende Cybersecurity-Pflichten implementieren müssen. Dazu gehören Risikomanagement, Incident-Management, Stresstests und das Management von IKT-Drittparteien.

DORA sieht auch vor, dass IT-Provider eigene Verpflichtungen sowie eine spezifische Aufsicht auf EU- Ebene erfüllen müssen. Viele dieser Pflichten lassen sich – ebenso wie die Anforderungen der EU NIS-2-Richtlinie – durch Standards wie den BSI IT-Grundschutz oder die ISO  27001 abdecken. Zudem fördert DORA die Kooperation zwischen nationalen und EU-Behörden, wie der Europäischen Aufsichtsbehörde (ESA), der Europäischen Zentralbank (EZB) und der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) – sowie zwischen den Aufsichtsbehörden für DORA und EU NIS-2.

Die EU-Mitgliedstaaten sind dafür verantwortlich, entsprechende Sanktionen zu definieren, die von den Behörden durchgesetzt werden können. Diese Sanktionen können verwaltungsrechtlicher, finanzieller oder strafrechtlicher Natur sein. DORA ist seit Januar 2025 verpflichtend und gilt direkt für die betroffenen Unternehmen, sodass allerdings für die grundlegende Geltung analog zur EU NIS-2-Richtlinie keine nationalen Gesetze erforderlich sind.

Die Aufsicht über Finanzunternehmen liegt primär bei nationalen Behörden, auch wenn diese eng mit EU-Behörden zusammenarbeiten – im Gegensatz dazu unterliegen IKT-Drittdienstleister einer direkten Überwachung durch EU-Behörden. In einigen Mitgliedstaaten existieren bereits nationale Gesetze, wie das im Dezember 2024 verabschiedete deutsche Finanzmarktdigitalisierungsgesetz (FinmadiG, [5]), die ergänzende Regelungen zu den EU-Vorgaben im Finanzsektor definieren.

Obwohl die KRITIS-Sektoren unverändert bleiben, beziehen die neuen Regelungen große Teile der Wirtschaft mit ein, was vielerorts umfassende Sicherheitsmaßnahmen im gesamten Unternehmen erforderlich macht – darunter fallen Risikomanagement, Vorfallsmeldungen, technische Maßnahmen und Governance-Strukturen.

Für Betreiber „kritischer Anlagen“ besteht – auch im KRITIS-Sektor Finanz- und Versicherungswesen – alle drei Jahre eine Nachweispflicht durch Prüfungen, während alle anderen Einrichtungen gemäß des deutschen NIS-2-Umsetzungsentwurfs (siehe auch S. 20) nur Dokumentationspflichten erfüllen müssen und stichprobenartigen Prüfungen durch Behörden unterliegen. Zudem erhalten staatliche Stellen erweiterte Befugnisse durch Registrierungen, Nachweise und Meldepflichten. Die Überwachung der Regulierung erfolgt durch verschiedene Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie die Bundesnetzagentur (BNetzA), was zu einer Zunahme der geteilten Verantwortung führt.

Während DORA spezifische Anforderungen an die digitale Betriebsresilienz von Finanzinstituten stellt, adressiert NIS-2 allgemeine Sicherheitsanforderungen für kritische Infrastrukturen. Finanzinstitute, die als kritische Infrastrukturen eingestuft werden, müssen daher sowohl die spezifischen Vorschriften von DORA als auch die allgemeinen Sicherheitsanforderungen von NIS-2 einhalten. Das erfordert eine umfassende Compliance-Strategie, die beide Regelwerke integriert (vgl. [4]).

Überdies legt NIS-2 einen Schwerpunkt auf die Sicherheit der Lieferkette, während DORA auch auf das Risikomanagement von IKT-Drittanbietern fokussiert. NIS-2 sieht dabei bereits definierte hohe finanzielle Sanktionen für die Nichteinhaltung vor, während DORA die Bewertung von Sanktionen den Mitgliedstaaten und ihren zuständigen Behörden überlässt – in Deutschland der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Während NIS-2 darauf abzielt, die Cybersicherheit EUweit zu harmonisieren und den Informationsaustausch nach Angriffen zu verbessern, konzentriert sich DORA hauptsächlich auf die Aufrechterhaltung der Betriebsstabilität im Finanzsektor. NIS-2 definiert dazu eher grobe Anforderungen an das Risikomanagement und das Reporting, während DORA konkretere Maßnahmen wie Penetrationstests und Sicherheitsaudits vorschreibt, um die Funktionsfähigkeit trotz erfolgreicher Angriffe sicherzustellen.

Fazit

Die angesprochenen Überschneidungen der Regulierungen führen dazu, dass sich einige Punkte bislang nicht abschließend klären lassen:

• Die Klärung der Zuständigkeiten bleibt eine Herausforderung, da für NIS-2 die Prüfkompetenz in Deutschland beim BSI beziehungsweise der BaFin liegt. Art. 46 DORA sieht hingegen eine Reihe von Behörden vor, welche die Einhaltung der Vorschriften sicherstellen sollen, darunter die Europäische Zentralbank (EZB) – und möglicherweise ebenfalls die nationale BaFin.
• Finanzunternehmen, die von DORA reguliert werden, sind zwar laut NIS-2 Teil des KRITIS-Sektors Finanz- und Versicherungswesen, aber weitestgehend von den NIS-2-Pflichten ausgenommen. Die im DORA regulierten kritischen IKT-Drittdienstleister sind hingegen nach NIS-2 Einrichtungen des Sektors Informationstechnik und Telekommunikation (IT und TK) und bleiben auch dort mehrfach reguliert.
• Betreiber kritischer Anlagen (KRITIS), die unter EU NIS-2 reguliert werden, müssen die Erfüllung der Anforderungen alle drei Jahre durch ein Sicherheitsaudit nachweisen. DORA hingegen stellt striktere Anforderungen an Sicherheitsüberprüfungen: Es ist mindestens alle drei Jahre ein bedrohungsorientierter Penetrationstest durchzuführen und mindestens einmal im Jahr müssen für die digitale operationale Resilienz Stresstests erfolgen – dafür ist ein Resilienz-Testprogramm zu implementieren. Diese Stresstests müssen risikobasiert und von unabhängigen internen oder externen Prüfern durchgeführt werden. Dabei sind alle IT-Systeme und Applikationen abzudecken, die kritische und wichtige Funktionen des Finanzunternehmens unterstützen.

Manuel Atug ist Principal, Rozerin Karaterzi ist Werkstudentin Security Consulting bei der HiSolutions AG.

Literatur

_{[1] Europäische Union, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor …, in: Amtsblatt der Europäischen Union L 333, S. 1, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554}

_{[2] Boris Cipot, Welchen Einfluss hat DORA auf die Cybersicherheit?, online, April 2024, www.kesinformationssicherheit.de/artikel/welchen-einfluss-hatdora-auf-die-cybersicherheit/  (<kes>+)}  

_{[3] Hendrik Hoppe, Jann-Christoph Sowa, Sven Stubbe, Findet DORA, Braucht es wirklich teure Projekte zum Digital Operational Resilience Act?, 2024# 5, S. 21, www.kes-informationssicherheit.de/print/titelthema-cnapp-das-unbekannte-wesen/findet-dora/  (<kes>+)}  

_{[4] Aleksandra Sowa, Gehackt, gecheckt, gemeldet, Eine Einordnung der Meldepflichten für IKT-Vorfälle gemäß DORA, 2025# 1, S.  52, www.kes-informationssicherheit.de/print/titelthema-eu-regularien-updates-fuer-die-cybersicherheit/gehackt-gecheckt-gemeldet/  (<kes>+)}  

_{[5] Deutscher Bundestag, Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG), in: Bundesgesetzblatt Teil I Nr. 438, Dezember 2024, https://www.recht.bund.de/eli/bund/bgbl-1/2024/438}