NIS 2 vs DORA: Wie die Ausnahme für den Finanzsektor wirklich funktioniert
Artikel 4 NIS 2 verlagert Risikomanagement, Vorfallmeldung und Aufsicht auf DORA. Artikel 27 NIS 2 steht nicht auf dieser Liste. Banken, Zahlungsinstitute, zentrale Gegenparteien und Anbieter von Kryptowerten registrieren sich weiterhin beim BSI nach §33 BSIG.
Zwei Aufsichtsbehörden, eine Ausnahme, eine Pflicht die bleibt
Die Verordnung (EU) 2022/2554 (DORA) gilt seit 17. Januar 2025 und erfasst rund zwanzig Kategorien von Finanzunternehmen, von Banken und Versicherern bis zu Anbietern von Kryptowerten und Handelsplätzen. Für alles, was DORA bereits regelt, verdrängt Artikel 4 NIS 2 die entsprechenden NIS 2 Artikel. Das ist die Lex-specialis-Regel und sie steht im Zentrum jedes Gesprächs darüber, wie sich Finanzunternehmen in NIS 2 einordnen.
Die Verdrängung ist eng. Artikel 4 Absatz 2 NIS 2 listet genau auf, welche NIS 2 Artikel zurücktreten, wenn ein sektorspezifischer Rechtsakt mindestens gleichwertig wirkt. Auf der Liste stehen Artikel 21 (Risikomanagement), Artikel 23 (Meldung erheblicher Vorfälle) und Kapitel VII (Aufsicht und Durchsetzung). Artikel 27 (Registrierung) steht nicht auf der Liste. Auch die Anwendungsbereichsregeln in Anhang I, die Banken und Finanzmarktinfrastruktur überhaupt erst in NIS 2 hineinziehen, bleiben unberührt.
Praktisches Ergebnis für eine deutsche Bank, ein BaFin-lizenziertes Zahlungsinstitut oder eine zentrale Gegenpartei: Inhalt kommt aus DORA, Aufsicht in Deutschland liegt bei BaFin und Bundesbank, das Unternehmen registriert sich aber weiterhin über das §33 BSIG Portal beim BSI. Eine Behörde im Register. Eine andere Behörde in allem was im Betrieb zählt.
NIS 2 Richtlinie, Artikel 4 Absatz 1 und 2
Wenn sektorspezifische Rechtsakte der Union von wesentlichen oder wichtigen Einrichtungen verlangen, Maßnahmen zum Cybersicherheitsrisikomanagement zu ergreifen oder erhebliche Sicherheitsvorfälle zu melden, und wenn diese Anforderungen in ihrer Wirkung den in dieser Richtlinie festgelegten Verpflichtungen mindestens gleichwertig sind, so gelten die einschlägigen Bestimmungen dieser Richtlinie, einschließlich der in Kapitel VII festgelegten Bestimmung über die Aufsicht und Durchsetzung, nicht für diese Einrichtungen.
Zwei Bedingungen kumulativ: Es muss einen sektorspezifischen Unionsrechtsakt geben, und dessen Anforderungen müssen mindestens gleichwertig wirken. Erst dann treten Artikel 21, Artikel 23 und Kapitel VII zurück. Artikel 27 fehlt in dieser Liste auffällig und gilt deshalb weiter.
Verordnung (EU) 2022/2554 (DORA)
Artikel 5 bis 17 (IKT-Risikomanagement), Artikel 17 bis 23 (Meldung IKT-bezogener Vorfälle), Artikel 24 bis 27 (Tests der digitalen operationalen Resilienz), Artikel 28 bis 44 (Steuerung des IKT-Drittparteienrisikos), Artikel 45 (Vereinbarungen zum Informationsaustausch).
DORA ist eine Verordnung und gilt seit 17. Januar 2025 in jedem Mitgliedstaat unmittelbar. Für Einrichtungen in ihrem Anwendungsbereich füllt sie den Raum, den sonst Artikel 21 und 23 NIS 2 belegen würden. Das inhaltliche Regelwerk für Cybersicherheit kommt aus DORA, nicht aus der BSIG-Umsetzung von NIS 2.
NIS 2 Artikel 27 und §33 BSIG
Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen den zuständigen Behörden folgende Informationen übermitteln: den Namen der Einrichtung, die Anschrift und aktuelle Kontaktdaten, den einschlägigen Sektor und Teilsektor nach Anhang I oder II, sowie eine Liste der Mitgliedstaaten, in denen die Einrichtung Dienste erbringt.
Artikel 27 NIS 2 verpflichtet zur Registrierung bei der nationalen zuständigen Behörde. In Deutschland kanalisiert §33 BSIG dies zum BSI-Registrierungsportal. Artikel 4 berührt Artikel 27 nicht. DORA führt zwar ein eigenes Register bei den Europäischen Aufsichtsbehörden, dieses ersetzt aber das nationale NIS 2 Register nicht. Finanzunternehmen leben deshalb in beiden Welten.
DORA, nicht NIS 2 Artikel 21
IKT-Risikomanagement, Drittparteienrisiko, Resilienztests und Vorfallklassifizierung folgen DORA Artikel 5 bis 44. Die Maßnahmen aus Artikel 21 NIS 2 (in Deutschland die zehn Kategorien aus §30 BSIG) gelten nicht für Einrichtungen im Anwendungsbereich von DORA. Wo DORA schweigt, springt NIS 2 nicht ein: Die Ausnahme regelt, welcher Rechtsakt gilt, nicht eine Doppelschichtung.
BSI nach §33 BSIG, keine Verdrängung
Artikel 27 NIS 2 steht außerhalb der Liste in Artikel 4. Das nationale Register überlebt die Ausnahme. Eine BaFin-lizenzierte Bank oder ein Zahlungsinstitut registriert sich über das §33 Portal beim BSI, übermittelt Sektoreinordnung, Kontaktdaten und IP-Adressbereiche und aktualisiert innerhalb der Fristen, die für jede andere Einrichtung im Anwendungsbereich gelten. Eine fehlende Registrierung läuft auf einer eigenen Sanktionsschiene.
BaFin und Bundesbank, nicht BSI
Kapitel VII NIS 2 (Aufsicht und Durchsetzung) ist für Finanzunternehmen verdrängt. Artikel 46 DORA bestimmt die bestehenden Finanzaufseher als zuständige Behörden. In Deutschland heißt das BaFin und Deutsche Bundesbank für Banken- und Zahlungsverkehrsfragen, mit den Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) als Koordinatoren auf EU-Ebene. Das BSI ist nicht der operative Aufseher für DORA-Inhalte.
Lex specialis ist eng, nicht pauschal
Artikel 4 verdrängt nur die NIS 2 Artikel, die er namentlich nennt. Registrierung nach Artikel 27, Anwendungsbereich nach Anhang I und II sowie die Sektorendefinitionen bleiben in Kraft. Eine Bank wird nicht zur Nicht-NIS-2-Einrichtung. Sie bleibt eine NIS 2 Einrichtung, deren materielle Pflichten aber DORA regelt. Der Unterschied wird wichtig, wenn Registrierungsfristen, Neueinstufungen oder grenzüberschreitende Meldungen anstehen.
Gleichwertig in der Wirkung, nicht identisch im Text
Artikel 4 Absatz 1 NIS 2 setzt die Latte auf mindestens gleichwertig in der Wirkung. DORA muss Artikel 21 nicht Wort für Wort wiederholen. DORA muss denselben Bereich in vergleichbarer Tiefe abdecken. Erwägungsgrund 28 NIS 2 bestätigt, dass DORA für diese Hürde entworfen wurde. In der Praxis behandelt die Europäische Kommission DORA als vollständig gleichwertig, der Maßstab steht aber im Text und wäre der Rechtsanker für jeden Streit über eine Lücke.
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht)
Federführende zuständige Behörde für DORA in Deutschland nach Artikel 46 DORA. Beaufsichtigt IKT-Risikomanagement, Vorfallmeldung und Drittparteienverträge bei Banken, Zahlungsinstituten, Versicherern, Wertpapierfirmen und Anbietern von Kryptowerten. Die bestehenden Rundschreiben BAIT, VAIT, KAIT und ZAIT werden an DORA Artikel 5 bis 17 angeglichen.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Betreibt das §33 BSIG Registrierungsportal. Nimmt die Registrierung von Finanzunternehmen entgegen, ohne den DORA-Inhalt zu beaufsichtigen. Das BSI ist außerdem nationaler CSIRT nach Artikel 10 NIS 2 und bietet freiwillige Unterstützung an. Die Trennlinie: Registrierung und CSIRT-Dienste beim BSI, Inhalt und Aufsicht bei BaFin und Bundesbank.
EBA, ESMA, EIOPA und EZB
Die Europäischen Aufsichtsbehörden haben die technischen Regulierungsstandards zu DORA zum IKT-Risikomanagement, zur Vorfallklassifizierung, zu Registern über Drittparteien und zur Beaufsichtigung kritischer IKT-Drittdienstleister veröffentlicht. Die EZB beaufsichtigt im Rahmen des Einheitlichen Aufsichtsmechanismus bedeutende Kreditinstitute und wendet DORA innerhalb dieses Mandats an. Die Ausnahme in Artikel 4 NIS 2 erlaubt diese gestaffelte Aufsichtsstruktur ohne Doppelregulierung.
Mythos: DORA ersetzt NIS 2 vollständig für Finanzunternehmen.
DORA ersetzt Artikel 21, Artikel 23 und Kapitel VII. DORA ersetzt nicht Artikel 27 (Registrierung), nicht den Anwendungsbereich in Anhang I und II und nicht die Kooperationsmechanismen in Kapitel IV. Das Register nach §33 BSIG bleibt. Eine Bank, die die Registrierung auslässt, riskiert die eigenständige Sanktion für fehlende Registrierung, nicht nur eine DORA-Akte.
Mythos: DORA gilt nur für Banken, andere Finanzunternehmen folgen NIS 2.
Artikel 2 DORA listet rund zwanzig Kategorien. Versicherer und Rückversicherer, Zahlungs- und E-Geld-Institute, zentrale Gegenparteien, Zentralverwahrer, Handelsplätze, Anbieter von Kryptowerten, Kontoinformationsdienstleister und weitere sind allesamt in DORA. Wenn der Sektor in Anhang I Sektor 3 oder 4 NIS 2 steht und gleichzeitig in Artikel 2 DORA, greift die Ausnahme.
Mythos: Zwei Register heißt zweimal dieselben Daten einreichen.
Das DORA Informationsregister bei den ESAs deckt IKT-Drittparteienvereinbarungen ab (Artikel 28 DORA). Das §33 BSIG Portal deckt Identifikation und Sektoreinordnung der Einrichtung ab. Die Felder überschneiden sich nicht. Beides einzureichen ist je eine Pflicht, nicht zweimal dieselbe Pflicht. Die Verwechslung entsteht, weil beides Behördenportale sind.
Wer in einer BaFin-lizenzierten Einrichtung sitzt, behandelt DORA als das tägliche Regelwerk und NIS 2 als Registerschicht. Das inhaltliche Programm lebt in DORA Artikel 5 bis 17 (Risikomanagement) und Artikel 28 bis 44 (Drittparteienrisiko). Die Registrierung nach §33 BSIG ist eine einmalige Verwaltungsaufgabe, die bei Änderungen der Kontaktdaten erneuert wird. Eine Vermischung der beiden Ebenen erzeugt Mehrarbeit, oft ein Artikel 21 Mapping, das niemand bestellt hat.
Wer in einer Finanzgruppe sitzt, die auch konzerneigene IT-Dienste für nichtfinanzielle Tochtergesellschaften betreibt, profitiert von der Ausnahme nur auf Ebene der Finanztochter. Eine nichtfinanzielle Tochter im Anwendungsbereich von Anhang I oder II NIS 2 schuldet das volle Paket, einschließlich Maßnahmen nach Artikel 21 und Meldungen nach Artikel 23. Gruppenweite IKT-Programme müssen für beide Aufseher lesbar sein. BaFin verlangt DORA-Belege, BSI verlangt Belege nach §30 BSIG bei der nichtfinanziellen Einheit.
Die Plattform behandelt die Registrierung nach Artikel 27 NIS 2 als eigenständige Pflicht, unabhängig vom Risikomanagement. Ein Finanzunternehmen sieht in der Plattform Registrierungsfristen, Erinnerungen für Kontaktdatenänderungen und den Status im §33 BSIG Portal, ohne eine Artikel 21 Aufgabenliste zu erben, die es nicht braucht.
Die DORA Inhaltsschicht liegt außerhalb des Funktionsumfangs der quelloffenen Plattform. Das empfohlene Muster: Artikel 27 NIS 2 hier nachhalten, das DORA Programm in der BaFin-konformen Werkzeugkette laufen lassen, die die Aufseher erwarten, und den Registerstatus aus der Plattform als Nachweis verwenden, dass die Pflicht aus §33 BSIG erfüllt wurde.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 4 (Lex specialis), Artikel 27 (Registrierungspflicht), Anhang I Sektor 3 (Finanzmarktinfrastruktur) und Sektor 4 (Bankwesen)
- Verordnung (EU) 2022/2554 (DORA), Artikel 5 bis 17 (IKT-Risikomanagement), Artikel 17 bis 23 (Vorfallmeldung), Artikel 24 bis 27 (Resilienztests), Artikel 28 bis 44 (IKT-Drittparteienrisiko), Artikel 45 (Informationsaustausch), Artikel 46 (Zuständige Behörden)
- BSIG (durch NIS2UmsuCG geändert), §33 (Registrierung), §65 (Sanktionen bei fehlender Registrierung)
- Erwägungsgrund 28 der NIS 2 Richtlinie zum Verhältnis von NIS 2 und sektorspezifischen Unionsrechtsakten
- BaFin Hinweise zur Anwendung von DORA und zur Angleichung der Rundschreiben BAIT, VAIT, KAIT und ZAIT (2025)
- Technische Regulierungsstandards von EBA, ESMA und EIOPA zu DORA (2024 und 2025)