NIS-2 – neue Anforderungen an die Cybersicherheit für Finanzunternehmen

Regularie ergänzt DORA-Pflichten und nimmt die Geschäftsführung in persönliche Haftung.

veröffentlicht am 16.01.2026 | Lesezeit: ca. 5 Minuten
Vaike Metzger
Vaike Metzger

Keyfacts:

  • Viele operative Pflichten im Bereich Cybersicherheit und IKT-Risikomanagement sind in erster Linie im Digital Operational Resilience Act (DORA) geregelt – mit NIS 2 kommen nun neue formale Pflichten für Finanzunternehmen.
  • Eine größere Verantwortung als bisher trägt die Geschäftsleitung.
  • IKT-Dienstleister können einer Doppelregulierung unterliegen.

Der Digital Operational Resilience Act (DORA) hat Finanzdienstleister in den vergangenen Jahren stark beschäftigt – und vielerorts arbeiten Institute weiter daran, ihre digitale Resilienz zu stärken. Mit der Netzwerk- und Informationssicherheitsrichtlinie 2 (NIS-2) kommt nun eine zusätzliche, umfassende Sicherheitsanforderung hinzu, die Finanzunternehmen unmittelbar betrifft.

Die Richtlinie erweitert die bisherigen Vorgaben der NIS-1-Regelung, insbesondere durch verpflichtende Maßnahmen zum Schutz kritischer Systeme, strengere Meldepflichten bei Sicherheitsvorfällen sowie hohe Bußgelder. Besonders wichtig für Verantwortliche: Die Geschäftsführung haftet persönlich für die Umsetzung.

Was ist NIS-2?

Die NIS-2-Richtlinie ist die europäische Reform der Cybersicherheitsvorgaben für kritische und wichtige Einrichtungen. Sie ist seit Januar 2023 in Kraft und sollte bis Oktober 2024 in allen EU-Mitgliedstaaten in nationales Recht überführt werden. Deutschland hat die Umsetzung inzwischen mit dem „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ beschlossen und Ende 2025 in Kraft gesetzt.

Ziel der Richtlinie ist es, ein höheres und einheitliches Sicherheitsniveau im europäischen Binnenmarkt zu gewährleisten. Dafür definiert NIS‑2 zum Beispiel:

  • verpflichtende Cybersicherheitsmaßnahmen
  • ein systematisches Risikomanagement
  • strengere Meldeprozesse bei IT-Sicherheitsvorfällen
  • höhere Haftungs- und Sanktionsmechanismen

Welche Finanzunternehmen sind von NIS-2 betroffen?

Die NIS-2-Richtlinie gilt für Unternehmen in 18 kritischen Sektoren, darunter auch das Bankwesen und Finanzmarktinfrastrukturen sowie deren Dienstleister. Neben der Tätigkeit in einem NIS-2 Sektor ist die Unternehmensgröße, gemessen in der Anzahl der Mitarbeitenden und nach Umsatz beziehungsweise Bilanzsumme entscheidend für die Einstufung.

Diese Faktoren entscheiden darüber, ob ein Unternehmen die Anforderungen von NIS-2 erfüllen muss – ob ein Institut also als „wichtig“ oder „besonders wichtig“ eingestuft wird. In der Praxis bedeutet das: Die überwiegende Mehrheit der Banken, Versicherer und ihre IT-Dienstleister fallen unter NIS-2.

Dora: Das kommt auf die Finanzbranche zu

Unternehmen müssen auch während eines IKT-Vorfalls stabil weiterarbeiten. Wie Sie die Anforderungen umsetzen und KPMG dabei unterstützen kann

Jetzt informieren

Was unterscheidet DORA und NIS-2?

DORA und NIS‑2 greifen in der Finanzbranche unmittelbar ineinander, betreffen jedoch unterschiedliche Bereiche. Dabei hat DORA Vorrang vor NIS‑2, soweit es um das Cybersicherheits‑Risikomanagement und das Meldewesen geht.

Für Finanzunternehmen bedeutet das: Operative Sicherheitsanforderungen und Incident‑Reporting richten sich primär nach DORA und nicht nach den entsprechenden NIS‑2‑Regelungen. Allerdings greift der Anwendungsvorrang von DORA nur inhaltlich begrenzt.

So stellt das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) klar, dass DORA‑regulierte Finanzunternehmen von bestimmten Pflichten des BSIG ausgenommen sind, soweit diese Pflichten durch DORA bereits gleichwertig geregelt sind – insbesondere beim Risikomanagement und bei Meldeprozessen. Nicht ausgenommen sind hingegen formale registrierungs- und organisationsbezogene Pflichten des BSIG.

Besonders relevant ist daher die Registrierungspflicht beim BSI. Auch für Finanzunternehmen, deren operative Sicherheitsanforderungen primär durch DORA bestimmt werden, gilt: Sie müssen sich innerhalb der gesetzlichen Frist – in der Regel drei Monate nach Feststellung ihrer Betroffenheit – im BSI‑Portal registrieren.

Diese Pflicht besteht unabhängig von den inhaltlichen Überschneidungen zwischen DORA und NIS‑2 und sollte früh adressiert werden, um Fristversäumnisse und mögliche aufsichtsrechtliche Konsequenzen zu vermeiden.

IKT-Drittdienstleister: Doppelregulierung durch DORA und NIS-2 möglich

Hinzu kommt, dass es insbesondere für IKT‑Drittdienstleister zu einer Doppelregulierung kommen kann: Sie können einerseits eigenständig als NIS‑2‑Einrichtung gelten und damit unmittelbar den Anforderungen des BSIG unterliegen. Andererseits sind sie mittelbar oder unmittelbar in die DORA-Anwendung eingebunden, etwa über vertragliche Pflichten, Informationsrechte, Prüfungen oder Aufsichtsmaßnahmen.

Für diese Dienstleister bedeutet das: Sie müssen sowohl die horizontalen Sicherheitsanforderungen aus NIS‑2 als auch die sektorspezifischen Anforderungen aus DORA erfüllen und die jeweiligen Zuständigkeiten, Prozesse, Verträge und Nachweispflichten klar definieren und implementieren – so vermeiden sie Widersprüche oder Compliance‑Lücken.

Wenige Unternehmen beziehungsweise Verantwortliche in der Finanzbranche fühlen sich aktuell offenbar gut gerüstet für das Inkrafttreten von NIS-2. So ergab der KPMG Cloud-Monitor Financial Services 2025, dass nur ein Viertel (27 Prozent) ihr Institut für gut aufgestellt halten – die Mehrheit sieht noch Handlungsbedarf. Befragt wurden mehr als 100 Verantwortliche in Finanzinstituten in Deutschland.

Cloud-Monitor 2025: Financial Services

Digitale Souveränität, NIS2 und KI verändern die Cloud-Nutzung – erfahren Sie, wie Finanzdienstleister darauf reagieren.

Studie herunterladen

Unsere NIS-2-Checkliste für Banken, Versicherungen und andere Finanzdienstleister

Da viele operative Vorgaben für Finanzunternehmen durch DORA abgedeckt sind, konzentrieren sich die originären NIS-2-Pflichten auf Registrierung, Governance und nationale Anforderungen. Unsere Checkliste zeigt, welche Schritte jetzt wirklich relevant sind.

1. Klassifizierung und Betroffenheit prüfen

Trotz des DORA‑Vorrangs müssen Institute prüfen, ob sie unter die Kategorien „wichtige“ oder „besonders wichtige“ Einrichtungen nach dem BSIG fallen. Zu prüfen sind:

  • Einstufung gemäß Sektor „Finanz- und Bankwesen“ (NIS‑2/BSIG)
  • Erreichen der Schwellenwerte (Beschäftigte/Umsatz/Bilanzsumme)
  • Betroffenheit gruppeninterner IT‑Dienstleister

Wichtig: Auch wenn operative Sicherheitsanforderungen durch DORA abgedeckt sind, bleibt die Einstufung nach BSIG weiterhin notwendig.

2. Registrierungspflicht beim BSI erfüllen

Die Registrierungspflicht gemäß BSIG gilt ausdrücklich auch für DORA‑regulierte Finanzunternehmen. Was zu tun ist:

  • Registrierung beim BSI innerhalb der gesetzlichen Frist – innerhalb von drei Monaten nach Feststellung der Betroffenheit
  • Nutzung des vom BSI bereitgestellten Registrierungsportals
  • Benennung einer verantwortlichen Ansprechperson

Wichtig: Der DORA-Vorrang verdrängt diese Pflicht nicht. Eine verspätete Registrierung kann zu aufsichtsrechtlichen Maßnahmen führen.

3. Schnittstellen zwischen DORA und NIS‑2 betrachten

Doppelregulierung entsteht insbesondere bei:

  • IKT-Drittdienstleistern, die selbst als NIS-2-Einrichtung gelten können
  • Konzernen mit IT-Tochtergesellschaften
  • Dienstleistern, die sowohl horizontal (NIS‑2) als auch sektorspezifisch (DORA) betroffen sind

Daher gilt es folgendes umzusetzen:

  • Klare Trennung der Pflichten:
    a) DORA: operative Resilienz, Vorfallmeldung, Tests, Auslagerungen
    b) NIS-2: Organisation, Registrierung, Governance, nationale Prozesse
  • Verträge mit IKT-Drittanbietern überarbeiten
  • Verantwortlichkeiten im Outsourcing-Management definieren

Wichtig: IKT-Dienstleister müssen damit rechnen, sowohl NIS-2- als auch DORA-Pflichten nachweisen zu müssen.

4. DORA als primären Pflichtenkatalog umsetzen

Umsetzung der DORA-Vorgaben zu:

  • IKT-Risikomanagement
  • Behandlung und Meldung signifikanter IKT-Vorfälle
  • Resilienz-Tests
  • Steuerung von IKT-Drittdienstleistern

Wichtig: Sicherstellen, dass diese Pflichten vollständig und nachweisbar erfüllt werden, da sie insoweit die entsprechenden NIS-2-Pflichten verdrängen (§ 28 Abs. 6 BSIG).

Dieser Text entstand unter Mitwirkung von Finja Hage.

Das könnte Sie auch interessieren

Regulatorik und Compliance

DORA-Compliance: Erfahrungen aus den ersten Prüfungen

02.01.2026 | ca. 4 Minuten Lesezeit

Plattform-Governance als Schlüssel zur Compliance und Resilienz

Florian Göltl
Florian Göltl
Julian Dersch
Julian Dersch
Geschäftsfrau gibt Handschlag und lächelt dabei
Finance und Risk

Wie Institute systematisch hunderte IKT-Verträge an DORA anpassen

16.10.2025 | ca. 3 Minuten Lesezeit

In drei Phasen zu erfolgreichen Vertragsverhandlungen

Matthias Lüger
Matthias Lüger
Luca di Benedetto
Luca di Benedetto
Matthias Greeß
Matthias Greeß
Schlüssel
Cloud und Cyber Security

Kryptografische Resilienz: DORA macht sichere Zertifikate zur Pflicht

29.07.2025 | ca. 5 Minuten Lesezeit

Zertifikatsregister wird zur Schlüsselkomponente der Cybersicherheit in Finanzinstituten

Julian Krautwald
Julian Krautwald
Daniel Schulz-Sembten
Daniel Schulz-Sembten
Pablo Schmücker
Pablo Schmücker
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.