DORA oder NIS2? Finanzunternehmen müssen beides prüfen

Was ist DORA und wen betrifft es?

Der Digital Operational Resilience Act (EU 2022/2554) ist seit dem 17. Januar 2025 direkt anwendbar in allen EU-Mitgliedstaaten. DORA betrifft Finanzunternehmen: Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Krypto-Asset-Anbieter und ihre IKT-Dienstleister.

Verdrängt DORA NIS2 im Finanzsektor?

Weitgehend ja. Artikel 1 Abs. 2 der NIS2-Richtlinie und das NIS2UmsuCG sehen vor, dass sektorspezifische EU-Rechtsakte wie DORA als gleichwertig betrachtet werden — Finanzunternehmen, die DORA vollständig einhalten, erfüllen damit auch die wesentlichen NIS2-Anforderungen.

Aber: Die BSI-Registrierungspflicht nach §33 BSIG gilt weiterhin für NIS2-pflichtige Finanzunternehmen in Deutschland. DORA ersetzt nicht die Registrierung beim BSI.

Was bleibt trotz DORA aus NIS2?

• BSI-Registrierungspflicht (§33 BSIG) — läuft über BSI, nicht BaFin
• Meldepflichten könnten doppelt gelten: DORA-Meldungen an BaFin/EBA, NIS2-Meldungen an BSI — prüfen Sie welche Pflicht vorrangig gilt
• GF-Schulungspflicht nach §38 BSIG gilt weiterhin für alle NIS2-pflichtigen Einrichtungen im Finanzsektor

Praktische Empfehlung für Finanzunternehmen

Lassen Sie von einem NIS2-spezialisierten Anwalt prüfen, welche konkreten NIS2-Pflichten neben DORA für Ihr Haus verbleiben. Als Faustregel gilt: DORA-Compliance ersetzt die inhaltlichen Cybersicherheitsanforderungen, aber nicht die formalen Pflichten gegenüber dem BSI (Registrierung, Meldepflicht).

Hinweis: MeldeKette24 ist kein Rechtsrat — für die konkrete Abgrenzung DORA/NIS2 in Ihrem Haus empfehlen wir einen auf Finanz- und IT-Recht spezialisierten Anwalt.