NIS-2 im Finanz- und Bankwesen
Das Bank- und Finanzwesen zählt zu den Sektoren hoher Kritikalität. Hier gilt jedoch eine wichtige Besonderheit: Für das Management von IKT-Risiken ist für viele Finanzunternehmen die EU-Verordnung DORA das speziellere Regelwerk.
Typische Einrichtungen
- Kreditinstitute / Banken
- Betreiber von Finanzmarktinfrastrukturen (z. B. Handelsplätze)
- Zahlungsdienstleister
- Wertpapierfirmen
- Versicherungen (über DORA)
Was NIS-2 hier bedeutet
DORA (Digital Operational Resilience Act) regelt die digitale operationale Resilienz im Finanzsektor und geht NIS-2 für IKT-Risiken als spezielleres Recht (lex specialis) vor. Viele Finanzunternehmen erfüllen ihre Cyber-Pflichten daher primär über DORA — die Grundausrichtung (Risikomanagement, Meldepflichten, Verantwortung der Leitung) ist vergleichbar.
Welches Regime im Einzelfall greift, hängt von Art und Tätigkeit des Unternehmens ab. Eine saubere Einordnung vermeidet doppelte oder fehlende Compliance.
Zwei Kategorien, ein einfaches Prinzip
Maßgeblich sind Sektor und Unternehmensgröße. Sonderfälle — etwa Betreiber kritischer Anlagen — fallen unabhängig von der Größe darunter.
- ab 250 Mitarbeitende
- oder über 50 Mio. € Umsatz
- in Sektoren hoher Kritikalität
Strengste Pflichten, aktive Aufsicht durch das BSI.
- ab 50 Mitarbeitende
- oder über 10 Mio. € Umsatz
- in allen erfassten Sektoren
Verbindliche Melde- und Sicherheitspflichten.
Häufige Fragen
Für IKT-Risiken ist DORA für die meisten Finanzunternehmen das speziellere und vorrangige Recht. NIS-2 bleibt der allgemeine Rahmen, wird im Finanzsektor aber weitgehend durch DORA konkretisiert. Im Zweifel sollten Sie die konkrete Zuordnung prüfen lassen.
Zahlungsdienstleister gehören zum Finanzsektor und unterliegen für die IKT-Sicherheit regelmäßig DORA. Die inhaltlichen Anforderungen ähneln NIS-2; die genaue Rechtsgrundlage ergibt sich aus der Tätigkeit.