DORA versus NIS2: So bereiten sich Sparkassen und Genossenschaftsbanken richtig vor
Logo Admijalo
  1. Home
  2. Blog
  3. DORA versus NIS2: So bereiten sich Sparkassen und Genossenschaftsbanken richtig vor

DORA versus NIS2: So bereiten sich Sparkassen und Genossenschaftsbanken richtig vor

Veröffentlicht: 14. April 2025 von Hannah und René

Zwei neue EU-Vorgaben, ein gemeinsames Ziel: Die Cyber- und Betriebsresilienz im digitalen Zeitalter zu stärken. Mit DORA und NIS2 stehen Genossenschaftsbanken, Sparkassen und ihre Partnerunternehmen vor einer doppelten Herausforderung – und vor der dringenden Frage:

Was gilt für wen? Und vor allem: Was ist wann zu tun, um Bußgelder und Haftungsrisiken zu vermeiden?

{frontmatter.image.alt}

Druck aus der EU: Die neue Realität im Kampf gegen Cyberkriminalität

Mit der NIS2-Richtlinie (Network and Information Security Directive 2) und der DORA-Verordnung (Digital Operational Resilience Act) zieht die Europäische Union (EU) die Zügel an:

Sicherheitsvorfälle wie Cyberangriffe oder Systemausfälle sollen nicht nur verhindert, sondern auch strukturiert bewältigt werden können – auf technischer, organisatorischer und regulatorischer Ebene.

Was beide Vorgaben verbindet: Sie greifen tief in die digitale Infrastruktur ein – und verlangen von Unternehmen konkrete Maßnahmen, klare Verantwortlichkeiten und belastbare Nachweise.

Während NIS2 auf die gesamte kritische Infrastruktur zielt, nimmt DORA speziell den Finanzsektor ins Visier – also genau die Welt der Sparkassen, Genossenschaftsbanken, Finanzdienstleister und ihrer IT-Partner.

Wer muss was, wann beachten?

NIS2 betrifft alle „wichtigen“ und „besonders wichtigen Einrichtungen“, darunter:

  • Banken
  • IT-Dienstleister im Finanzumfeld
  • Zahlungsdienste
  • Versorgungsunternehmen
  • teilweise auch Versicherungen, Rechenzentren und Berater

DORA hingegen gilt verbindlich für alle regulierten Finanzakteure, darunter:

  • Sparkassen, Volksbanken, Landesbanken
  • Bausparkassen (z. B. Schwäbisch Hall)
  • Versicherungen (z. B. R+V)
  • Wertpapierhäuser (z. B. Deka)
  • IT-Dienstleister im Sinne von „kritischen Drittparteien“, wenn diese ausgelagerte IKT-Dienstleistungen erbringen.

Zusammengefasst: Viele Unternehmen müssen sich auf beide Regelwerke gleichzeitig vorbereiten. Dabei reicht es nicht aus, bestehende ISO-Zertifizierungen oder IT-Sicherheitskonzepte vorzuzeigen – es geht um passgenaue Umsetzung.

Wo sich DORA und NIS2 überschneiden – und warum das gefährlich sein kann

Viele Unternehmen hoffen, mit einer einheitlichen Umsetzungsstrategie „beide Fliegen mit einer Klappe“ zu schlagen. Doch Vorsicht: Zwar gibt es einige Schnittmengen in der Umsetzung, etwa bei Meldepflichten, Risikomanagement und Lieferantenkontrollen – aber auch Abweichungen.

Während DORA konkrete Testszenarien und Meldefristen bei der Aufsicht vorsieht, verlangt NIS2 primär technische Schutzmaßnahmen und interne Schulungsnachweise. Wer hier schlampig dokumentiert oder falsche Prioritäten setzt, läuft Gefahr, bei der Prüfung durch die Aufsicht durchzufallen – oder gar persönlich zur Verantwortung gezogen zu werden.

DORA- und NIS2-Anforderungen im Vergleich: Hier gibt es Unterschiede

NIS2 – der Blick auf Sicherheit & Resilienz in der Breite

  • Meldepflichten bei IT-Sicherheitsvorfällen (innerhalb von 24 Stunden!)
  • Einführung technischer Schutzmaßnahmen, z.B. Zwei-Faktor-Authentifizierung, Netzwerksegmentierung
  • Regelmäßige Risikobewertungen und Audits
  • Schulungen für Führungskräfte – inklusive Haftungsrisiken bei Pflichtverletzungen
  • Pflicht zur Dokumentation & Nachweisbarkeit aller Maßnahmen
  • Lieferketten im Fokus: Auch externe Dienstleister müssen NIS2-konform arbeiten

DORA – digitale Resilienz im Fokus des Finanzsektors

  • Aufbau eines IKT-Risikomanagements, das über klassische IT-Sicherheit hinausgeht
  • Verpflichtung zu regelmäßigen Penetrationstests und BCM-Simulationen
  • Dokumentation von Auslagerungen und klare Verträge mit Third Parties
  • Einführung eines Meldesystems für Betriebsstörungen bei der BaFin
  • Fokus auf Business Continuity und Wiederanlaufstrategien
  • Schulungen, Sensibilisierung und gelebte Sicherheitskultur im gesamten Unternehmen

Aufatmen können Sparkassen, Genossenschaftsbanken und ihre Partnerunternehmen bei der initialen Umsetzung zur Steigerung der Cyber-Resilienz. Maßnahmen wie Schwachstellenscans, Lieferantenaudits, Phishing-Simulationen (Voice-Phishing, E-Mail-Phishing oder Spear-Phishing) sowie positionsbezogene Schulungen der gesamten Belegschaft sind sowohl für die DORA als auch für die NIS2 geeignet.

Hier geht es zu konkreten DORA-Maßnahmen
Hier geht es zu konkreten NIS2-Maßnahmen

Haftung und Pflichten: Darum ist schnelles Handeln jetzt Pflicht

Sowohl die DORA-Verordnung als auch NIS2-Richtlinie sehen deutlich verschärfte Bußgeldrahmen vor – teils in Millionenhöhe. Hinzu kommt: Bei grober Fahrlässigkeit greift die Geschäftsführerhaftung. Das bedeutet, dass nicht nur das Unternehmen, sondern auch Einzelpersonen zur Kasse gebeten werden können, wenn Pflichten ignoriert oder unzureichend umgesetzt werden.

Das Umsetzungsgesetz für NIS2 ist in Deutschland auf dem Weg, DORA ist seit Januar 2025 vollumfänglich gültig. Betroffene Finanzunternehmen sind seitdem nachweispflichtig.

Wer jetzt nicht handelt, verliert Zeit – und Glaubwürdigkeit gegenüber Kunden, Partnern und Aufsichtsbehörden.

Viele Organisationen fragen sich: Wo sollen wir überhaupt anfangen?

Unsere Empfehlung:

  1. Gap-Analyse oder internes Audit:
    Wo stehen wir aktuell im Vergleich zu den Anforderungen?

  2. Verantwortlichkeiten klären:
    ISB, DSB, CISO & Compliance eng verzahnen – Erklären Sie die Umsetzung außerdem zur Chefsache. Schließlich können Sie auch persönlich bei Verstößen haftbar gemacht werden.

  3. Maßnahmen priorisieren:

    • Sofort: Schulung von Führungskräften und Mitarbeitern, Richtlinien anpassen
    • Mittelfristig: Technische Audits, Lieferantenmanagement, BCM-Tests
    • Dienstleister einbeziehen: Auch die Partner im Ökosystem müssen fit sein

Fazit: Zwei Namen, eine Aufgabe – aber kein Selbstläufer

Ob NIS2 oder DORA – beide Regelwerke haben das Potenzial, den Alltag im Finanzsektor dauerhaft zu verändern. Wer frühzeitig aktiv wird, kann Risiken minimieren, Bußgelder vermeiden und sogar mit Compliance punkten – etwa in Ausschreibungen oder gegenüber der Aufsicht.

Denken Sie Compliance nicht als Pflicht, sondern als Wettbewerbsvorteil: Wer digital resilient aufgestellt ist, wird nicht nur regulatorisch bestehen – sondern auch im Markt.

Jetzt handeln – mit Admijalo auf der sicheren Seite

Ob Gap-Analyse, GF-Schulung oder technische Prüfung: Wir begleiten Banken und Finanzdienstleister bei der pragmatischen Umsetzung von DORA und NIS2. Sprechen Sie uns an – für klare Antworten, greifbare Maßnahmen und eine rechtssichere Umsetzung.

Lassen Sie uns ins Gespräch kommen!

Haben Sie Fragen oder möchten Sie mehr über unsere Dienstleistungen erfahren?

Dann nutzen Sie die Möglichkeit für ein kostenloses Erstgespräch.

Gemeinsam finden wir die beste Lösung für Ihre optimale Cybersicherheit.

Felix
Ihr Ansprechpartner:
Felix Jancker