Finanzmarktinfrastruktur
Die Finanzmarktinfrastruktur zählt zu den von der NIS2-Richtlinie regulierten Sektoren und unterliegt seit 2025 erweiterten Cybersicherheitspflichten. Für Handelsplätze, zentrale Gegenparteien und angrenzende Marktinfrastrukturakteure ist dabei entscheidend, dass NIS2 die Sektoreinordnung vorgibt, in Deutschland aber große Teile der operativen Cyberpflichten über DORA, BaFin-Aufsicht und weitere Finanzmarktregeln konkretisiert werden.
Sektor in Deutschland
Im deutschen BSIG sind unter Finanzmarktinfrastrukturen ausdrücklich Handelsplätze im Sinne von § 2 Abs. 22 WpHG und zentrale Gegenparteien genannt. Für die Praxis ist diese Einordnung der Ausgangspunkt jeder NIS2-Analyse.
Deutschland
Nach dem deutschen NIS2-Umsetzungsgesetz gelten Registrierungs- und sektorbezogene Pflichten seit dem 6. Dezember 2025. Die Erstanmeldung betroffener Einrichtungen musste grundsätzlich binnen drei Monaten erfolgen.
DORA
Für Finanzunternehmen im Anwendungsbereich von DORA laufen zentrale Vorgaben zum IKT-Risikomanagement, zu Vorfallmeldungen, Tests und Drittparteienrisiken seit dem 17. Januar 2025 unmittelbar über die EU-Verordnung.
Bußgeldrahmen
NIS2 verlangt für besonders wichtige Einrichtungen mindestens diesen unionsrechtlichen Sanktionsrahmen. In der Finanzmarktinfrastruktur müssen Unternehmen zusätzlich die sektorale Aufsicht und DORA-konforme Nachweise im Blick behalten.
Praktische Maßnahmen
Sie sollten zuerst klären, ob Ihre Organisation als Handelsplatz oder zentrale Gegenpartei unter Anlage 1 BSIG fällt und ob zugleich DORA anwendbar ist. In der Finanzmarktinfrastruktur ist die größte Fehlerquelle nicht fehlende Technik, sondern eine falsche Zuordnung der Pflichten.
Sie sollten NIS2-, BSIG-, DORA-, Datenschutz- und gegebenenfalls MiFID-II- oder EMIR-Meldewege nicht vermischen. Ein belastbarer Prozess trennt Zuständigkeiten, nutzt aber dieselbe Tatsachenbasis für Technik, Recht und Kommunikation.
Sie sollten Konnektivität zu Clearing-Mitgliedern, Marktdatenanbietern, Netzbetreibern, Colocation, Cloud-Diensten, Handelsüberwachung, Identitätsdiensten und externen Betriebsführern in ein dokumentiertes Drittparteienrisikomanagement überführen.
Sie sollten Wiederanlauf, Notfallkommunikation, Marktunterbrechung, Order-Routing, Clearing-Anbindung und zeitkritische Eskalationen realistisch testen. Für Finanzmarktinfrastruktur reicht eine allgemeine Awareness-Schulung ohne Szenarien nicht aus.
Sie sollten Vorstand, Marktbetrieb, Informationssicherheit, Compliance, Auslagerungsmanagement, Incident Response und Kommunikation mit derselben Regulatorik schulen. Gerade in dieser Branche entscheidet das Managementverständnis über die Wirksamkeit der Maßnahmen.
Die Finanzmarktinfrastruktur zählt zu den von der NIS2-Richtlinie regulierten Sektoren und unterliegt seit 2025 erweiterten Cybersicherheitspflichten. Für die Branche sind vier Punkte sofort entscheidend: Der unionsrechtliche Sanktionsrahmen reicht je nach Einstufung bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, erhebliche Vorfälle lösen im NIS2-System Meldewege innerhalb von 24 Stunden, 72 Stunden und grundsätzlich eines Monats aus, in Deutschland sind insgesamt rund 29.500 bis 30.000 Unternehmen neu oder zusätzlich betroffen, und für bereits erfasste Einrichtungen lief die erste Registrierungsfrist mit dem NIS2-Umsetzungsgesetz Anfang März 2026 ab.
Für das Keyword NIS2 Finanzmarktinfrastruktur ist aber eine zusätzliche Klarstellung unverzichtbar: In Deutschland gehören Handelsplätze und zentrale Gegenparteien zwar ausdrücklich zum NIS2-Sektor Finanzmarktinfrastrukturen, doch viele operative Cyberpflichten werden in der Finanzaufsicht seit dem 17. Januar 2025 unmittelbar durch DORA gesteuert. Wer nur NIS2 liest, verpasst also einen Teil der Realität. Wer nur DORA betrachtet, übersieht die Sektoreinordnung, die Registrierung und die Verzahnung mit dem BSIG. Genau deshalb brauchen Marktinfrastruktur-Unternehmen eine abgestimmte Schulungs- und Umsetzungslogik.
Wenn Sie zuerst den Grundrahmen einordnen möchten, ist die Übersicht zur NIS2-Richtlinie in Deutschland der passende Einstieg. Für die Mindestmaßnahmen nach Art. 21 NIS2 ist der Fachbeitrag zu den NIS2-Anforderungen nach Artikel 21 die wichtigste Vertiefung. Für Begriffe wie NIS2-Richtlinie und KRITIS lohnt sich zusätzlich ein Blick ins Glossar, weil in Ausschreibungen und Kundenaudits gerade diese Begriffe häufig unpräzise verwendet werden.
Die Finanzmarktinfrastruktur ist im NIS2-Kontext kein bloßer Unterfall der allgemeinen Finanzwirtschaft, sondern ein eigener, systemkritischer Bereich. In Anlage 1 BSIG steht unter Nummer 3.2 ausdrücklich die Branche „Finanzmarktinfrastrukturen“. Genannt werden dort zwei Einrichtungsarten: Handelsplätze im Sinne von § 2 Abs. 22 WpHG und zentrale Gegenparteien. Damit ist die Betroffenheit im deutschen Recht deutlich präziser beschrieben, als viele Unternehmen annehmen.
Der erste zentrale Punkt lautet deshalb: Nicht jede Organisation im Finanzsektor gehört automatisch zu dieser Branche. Banken, Versicherer, Zahlungsinstitute oder Wertpapierfirmen sind hochreguliert, fallen aber nicht allein deshalb unter die NIS2-Branche Finanzmarktinfrastrukturen. Die Branchenseite ist vor allem relevant für Betreiber von Börsen- und Handelssystemen, multilateralen oder organisierten Handelssystemen, Marktplätzen nach dem Wertpapierhandelsgesetz sowie für zentrale Gegenparteien, die als Käufer für jeden Verkäufer und als Verkäufer für jeden Käufer in gehandelten Kontrakten zwischentreten.
Der zweite zentrale Punkt lautet: Die Sektoreinordnung löst nicht automatisch denselben Pflichtenkatalog aus wie in anderen NIS2-Branchen. § 28 Abs. 6 BSIG nimmt für Finanzunternehmen im Sinne von Art. 2 Abs. 2 DORA mehrere Kernvorschriften des BSIG ausdrücklich aus, darunter die BSIG-Regeln zu Risikomanagementmaßnahmen, Meldepflichten und Leitungsschulungen. Praktisch bedeutet das für viele Finanzmarktinfrastruktur-Unternehmen: Die Einstufung erfolgt im NIS2-/BSIG-System, die konkreten IKT-Pflichten laufen aber materiell häufig über DORA und die BaFin-Aufsicht.
Diese Doppelstruktur ist kein Widerspruch, sondern Absicht. NIS2 schafft den sektoralen Sicherheitsrahmen für wesentliche und wichtige Einrichtungen. DORA harmonisiert die digitale operationale Resilienz speziell für den Finanzsektor. Für Unternehmen der Finanzmarktinfrastruktur ist deshalb nicht die Frage „NIS2 oder DORA?“ richtig, sondern „Welche Pflicht wird durch welches Regelwerk konkret ausgelöst, und wie bauen wir daraus ein einziges belastbares Betriebsmodell?“.
Betroffen sind nach deutschem Recht zunächst zwei klar benannte Gruppen. Erstens Handelsplätze im Sinne von § 2 Abs. 22 WpHG. Zweitens zentrale Gegenparteien. Diese beiden Kategorien bilden den Kern des NIS2-Sektors Finanzmarktinfrastruktur. Wer in Deutschland ein reguliertes Handelssystem betreibt oder Clearing-Funktionen mit zentraler Gegenparteistellung übernimmt, muss die NIS2-Betroffenheit nicht abstrakt diskutieren, sondern konkret organisatorisch umsetzen.
Für die praktische Einordnung ist die Größenlogik aus § 28 BSIG der zweite Prüfstein. Besonders wichtige Einrichtungen sind in Anlage 1 genannte Einrichtungsarten, wenn sie in der Regel mindestens 250 Mitarbeitende beschäftigen oder mehr als 50 Mio. EUR Jahresumsatz und mehr als 43 Mio. EUR Bilanzsumme aufweisen. Wichtige Einrichtungen liegen grundsätzlich ab 50 Mitarbeitenden oder über 10 Mio. EUR Jahresumsatz und Bilanzsumme. Gerade in Konzernstrukturen der Börsen- und Clearingwelt muss diese Prüfung sauber auf Ebene der tatsächlich betroffenen juristischen Person erfolgen.
Wichtig ist außerdem die Negativabgrenzung. Zentralverwahrer, Transaktionsregister, Verbriefungsregister, Wertpapierfirmen, Zahlungsinstitute oder systemrelevante Dienstleister sind nicht automatisch Teil der NIS2-Branche Finanzmarktinfrastruktur, auch wenn sie zur breiteren Marktinfrastruktur gezählt werden. Für sie kann DORA trotzdem unmittelbar gelten. Das ist juristisch kein Detail, sondern beeinflusst Meldekanäle, Prüfungslogik, Zuständigkeiten und Schulungsinhalte erheblich.
Für die Praxis hilft folgende Einordnung:
| Typische Organisation | NIS2-Einordnung | Was in der Umsetzung besonders zählt |
|---|---|---|
| Regulierte Börse oder anderer Handelsplatz nach § 2 Abs. 22 WpHG | typischer Kernfall der Finanzmarktinfrastruktur | Marktverfügbarkeit, Order-Routing, Handelsüberwachung, Notfallverfahren, Drittparteienrisiko |
| Zentrale Gegenpartei | typischer Kernfall der Finanzmarktinfrastruktur | Clearing-Kontinuität, Ausfallsteuerung, Schnittstellen zu Teilnehmern, Krisenkommunikation |
| Zentralverwahrer | nicht ausdrücklich unter Anlage 1 Nr. 3.2 BSIG genannt, aber regelmäßig DORA-relevant | Settlement-Prozesse, Verwahrketten, IKT-Drittparteien, sektorale Spezialregeln |
| Wertpapierfirma oder Broker | meist nicht Branche Finanzmarktinfrastruktur, aber Finanzunternehmen | DORA, MaRisk, MiFID-II-Prozesse, Vorfall- und Auslagerungsmanagement |
| Marktdaten- oder Technologieanbieter | nur ausnahmsweise direkt NIS2-Branchenträger | Vertragssteuerung, Kritikalität, Kundenauswirkungen, Drittparteienkontrolle |
Gerade die Unterscheidung zwischen „explizit NIS2-Sektor“ und „nur sektoral angrenzend, aber DORA-reguliert“ ist vertrieblich und operativ wichtig. In Fragebögen von Kunden oder Investoren werden Unternehmen oft zu pauschal als „NIS2-regulierte Finanzmarktinfrastruktur“ dargestellt. Rechtlich tragfähig ist das nur, wenn die konkrete Einrichtungsart und die Größenkriterien geprüft wurden.
Die allgemeine NIS2-Logik ist auch für die Finanzmarktinfrastruktur der Ausgangspunkt. Art. 21 NIS2 und der deutsche Maßnahmenkatalog in § 30 BSIG nennen Risikoanalyse, Incident Handling, Aufrechterhaltung des Betriebs, Lieferkettensicherheit, sichere Entwicklung und Wartung, Wirksamkeitsprüfungen, Schulungen, Kryptografie, Personalsicherheit, Zugriffskontrolle und Multi-Faktor-Authentifizierung. Für Unternehmen im DORA-Anwendungsbereich dient dieser Katalog vor allem als Referenzrahmen, weil die materiellen operativen Pflichten in Deutschland regelmäßig über DORA konkretisiert werden.
Für Finanzmarktinfrastruktur genügt es aber nicht, diese Maßnahmen abstrakt abzuhaken. Ein Handelsplatz muss dieselben Vorgaben anders operationalisieren als ein Produktionsunternehmen. Hier stehen Marktverfügbarkeit, geordnete Marktunterbrechung, Integrität von Orders und Kursdaten, Belastbarkeit von Matching Engines, abgesicherte Teilnehmeranbindungen, privilegierte Administrationszugriffe, DDoS-Abwehr, Zeitsynchronität und eine präzise Eskalationslogik im Vordergrund. Das branchenspezifische Risiko liegt also nicht nur in der Datenvertraulichkeit, sondern vor allem in Marktstörung, Kaskadeneffekten und systemischen Folgeschäden.
Bei zentralen Gegenparteien verschiebt sich der Schwerpunkt noch stärker in Richtung systemische Resilienz. Clearing-Prozesse, Margining, Interoperabilität, Teilnehmerkommunikation und Krisenfähigkeit müssen so abgesichert sein, dass ein IKT-Vorfall nicht unmittelbar in Marktstress umschlägt. Genau deshalb ist die Branche regulatorisch sensibler als viele andere NIS2-Sektoren: Ein technischer Vorfall bleibt hier selten auf die einzelne Einrichtung begrenzt.
Für viele Unternehmen der Branche kommt zusätzlich DORA hinzu. BaFin beschreibt DORA als finanzsektorweite Regulierung für Cybersicherheit, IKT-Risiken und digitale operationale Resilienz. Im Kern umfasst der DORA-Rahmen nach BaFin das IKT-Risikomanagement, das Management IKT-bezogener Vorfälle, das Testen der digitalen operationalen Resilienz einschließlich Threat-Led Penetration Testing sowie das IKT-Drittparteienrisikomanagement. Für Marktinfrastrukturen ist das kein Nebenregime, sondern in vielen Fällen das operative Hauptregelwerk.
Die praxistaugliche Gegenüberstellung sieht so aus:
| Sektorspezifische Anforderungen Finanzmarktinfrastruktur | Allgemeine NIS2-Pflichten |
|---|---|
| Absicherung von Matching, Clearing, Marktüberwachung und Teilnehmeranbindungen | Risikoanalyse und technische-organisatorische Maßnahmen |
| Notfallverfahren für Marktunterbrechung, Ausweichbetrieb und geordneten Wiederanlauf | Business Continuity, Backup und Krisenmanagement |
| Dokumentierte Steuerung von Colocation, Netzwerkanbindungen, Cloud, Marktdaten und spezialisierten Dienstleistern | Lieferkettensicherheit und sichere Beschaffung |
| Verknüpfung von Cybervorfall, Marktstörung, Aufsichtskommunikation und Teilnehmerinformation | Incident Handling und Meldepflichten |
| Regelmäßige Tests inklusive ausgereifter Resilienz- und Penetrationsszenarien | Wirksamkeitsprüfung, Schulung und kontinuierliche Verbesserung |
Für die Schulung bedeutet das einen klaren Branchenunterschied. In der Finanzmarktinfrastruktur reicht keine allgemeine NIS2-Einführung für „die IT“. Benötigt werden getrennte, aber verzahnte Schulungen für Geschäftsleitung, Marktbetrieb, Clearing, Informationssicherheit, Auslagerungsmanagement, Compliance, Kommunikation und Krisenstab. Nur so kann ein Vorfall innerhalb weniger Minuten in dieselbe operative und regulatorische Sprache übersetzt werden.
Die größte Herausforderung der Finanzmarktinfrastruktur ist die Gleichzeitigkeit von hoher Regulierungsdichte und sehr geringer Fehlertoleranz. Ein Krankenhaus kann einen Teil seiner Systeme im Notfall auf manuelle Prozesse umstellen. Ein Handelsplatz oder eine zentrale Gegenpartei kann das nur sehr begrenzt. Schon kurze Störungen wirken sich auf Teilnehmer, Marktliquidität, Preisbildung oder Clearing-Stabilität aus. Genau deshalb müssen Cybermaßnahmen hier enger mit Betriebs- und Marktlogik verzahnt werden als in vielen anderen Branchen.
Die zweite Herausforderung ist die enge Abhängigkeit von Drittparteien. Marktinfrastruktur lebt von Leitungen, Netzwerkanbindungen, Colocation, Datenfeeds, Spezialsoftware, Hardware-Latenz, Authentifizierungsdiensten, Zeitquellen, Cloud- oder Rechenzentrumsleistungen und externen Betriebsmodellen. Fällt an einer dieser Stellen Sicherheit oder Verfügbarkeit aus, kann daraus sofort ein Marktproblem werden. NIS2 und DORA betonen die Lieferkette daher zu Recht. In dieser Branche ist Drittparteiensteuerung kein Einkaufsanhang, sondern Teil des Kerngeschäfts.
Die dritte Herausforderung ist die Überlappung von Melde- und Aufsichtspflichten. Ein schwerwiegender IKT-Vorfall kann zugleich ein DORA-Meldeereignis, ein Sicherheitsvorfall mit NIS2-Bezug, eine aufsichtsrechtlich relevante Betriebsstörung, ein Datenschutzvorfall oder ein MiFID-II-relevanter Systemausfall sein. Organisationen scheitern hier selten am Erkennen des Vorfalls, sondern am geordneten Zusammenführen der Rechtsfolgen. Ein gutes Governance-Modell trennt deshalb nicht erst im Ernstfall, sondern bereits in der Vorbereitung zwischen Feststellung, Bewertung, Meldung, Marktinformation und Nachbereitung.
Die vierte Herausforderung ist die Leitungsverantwortung. NIS2 und das deutsche BSIG heben die Geschäftsleitung ausdrücklich in die Pflicht, und DORA verstärkt dieselbe Erwartung im Finanzsektor. In der Finanzmarktinfrastruktur bedeutet das: Vorstand und Geschäftsführung dürfen Cyberresilienz nicht als Delegationsthema behandeln. Sie müssen die Auswirkungen auf die erbrachten Dienste, auf Marktteilnehmer und auf die regulatorische Kommunikation verstehen. Das macht branchenspezifische Schulung nicht zu einem optionalen Kulturthema, sondern zu einem Aufsichts- und Haftungsthema.
Ein besonders anschauliches Praxisbeispiel aus der Research-Basis ist der Fall eines Handelsplatzes, dessen Handelssystem für mehr als 30 Minuten nicht verfügbar ist. Die Research-Datei zu sektoralen Finanzregeln verweist darauf, dass MiFID II für Investmentfirmen und Handelsplätze belastbare Tests, Resilienzvorkehrungen und eine Meldung an die BaFin verlangt, wenn das System länger als 30 Minuten ausfällt. Für NIS2 ist genau dieses Szenario lehrreich, weil es zeigt, wie technische Störung, Marktfolge und Regulatorik in der Finanzmarktinfrastruktur ineinandergreifen.
Angenommen, ein mittelgroßer Handelsplatz verliert nach einem gezielten Angriff die Verfügbarkeit seiner Kernkomponenten für Order-Routing und Matching. Bereits nach wenigen Minuten reicht es nicht mehr, nur intern zu entstören. Der Marktbetrieb muss klären, ob Handelsunterbrechungen ausgelöst werden, welche Teilnehmer betroffen sind, welche Alternativverfahren greifen und welche Tatsachenbasis gegenüber Aufsicht, Kunden und Dienstleistern kommuniziert werden kann. Die Informationssicherheit muss parallel Ursache, Umfang und weitere Kompromittierung prüfen.
Genau hier zeigt sich der Mehrwert einer branchenspezifischen NIS2-Schulung. Ein generisches Incident-Response-Handbuch beantwortet nicht, wer die Brücke zwischen Cyberlage und Marktbetrieb schlägt. In einer guten Schulung lernen Geschäftsleitung, Marktbetrieb, Security, Compliance und Kommunikation dieselben Auslöseereignisse, Meldewege und Entscheidungsrechte. Das reduziert das größte Risiko dieser Branche: dass ein grundsätzlich beherrschbarer Cybervorfall durch unklare Zuständigkeiten zu einer Marktkrise wird.
Das Beispiel zeigt außerdem, wie eng DORA und NIS2 zusammenspielen. Das Unternehmen muss Resilienz, Vorfallmanagement, Tests und Drittparteiensteuerung so aufgebaut haben, dass es in einem echten Vorfall nicht erst die Architektur seiner Pflichten zusammensuchen muss. Für Finanzmarktinfrastruktur bedeutet Compliance deshalb immer: Regulatorik vorab in Betriebsfähigkeit übersetzen.
Die Finanzmarktinfrastruktur ist einer der Sektoren, in denen NIS2 fast nie allein steht. Am wichtigsten ist DORA. Die Verordnung gilt nach offizieller EUR-Lex-Zusammenfassung und nach BaFin seit dem 17. Januar 2025. Sie regelt für Finanzunternehmen unter anderem das IKT-Risikomanagement, Vorfallmeldungen, das Testen der digitalen operationalen Resilienz und das Management des IKT-Drittparteienrisikos. Für viele Marktinfrastruktur-Unternehmen bildet DORA daher den eigentlichen operativen Standard.
Daneben bleibt die kapitalmarkt- und marktinfrastrukturspezifische Spezialregulierung relevant. Die Research-Basis nennt für Handelsplätze insbesondere MiFID II mit Anforderungen an Systemresilienz, Validierung, Stressszenarien und Meldewege bei erheblichen Systemstörungen. Für zentrale Gegenparteien ist EMIR prägend, weil hier die Systemrelevanz von Clearing, Ausfallmanagement und Stabilitätsanforderungen besonders hoch ist. Zentralverwahrer und angrenzende Infrastrukturakteure bewegen sich zusätzlich im Rahmen der CSDR und weiterer sektoraler Vorgaben, auch wenn sie nicht ausdrücklich unter die BSIG-Branche Finanzmarktinfrastrukturen fallen.
Besonders wichtig ist die deutsche Sonderregel in § 28 Abs. 6 BSIG. Danach gelten die BSIG-Vorschriften zu Risikomanagementmaßnahmen, Meldepflichten und Leitungsschulungen nicht für Finanzunternehmen im Sinne von Art. 2 Abs. 2 DORA und für bestimmte national gleichgestellte Unternehmen. Das ist für die Praxis enorm relevant. Es bedeutet nicht, dass diese Unternehmen keine Cyberpflichten hätten. Es bedeutet vielmehr, dass die Pflichten materiell über das Finanzaufsichtsrecht und DORA kanalisiert werden. Die Registrierung nach § 33 BSIG ist davon gerade nicht automatisch erfasst und sollte deshalb gesondert geprüft werden.
Die richtige Reihenfolge lautet daher:
Wer diese Ebenen nicht trennt, riskiert doppelte Prozesse, widersprüchliche Verantwortlichkeiten und Lücken im Vorfallmanagement. Für die Finanzmarktinfrastruktur ist das besonders kritisch, weil Aufsicht und Marktteilnehmer nicht nur Formalien, sondern belastbare Resilienz erwarten.
Finanzmarktinfrastruktur-Unternehmen sollten NIS2 und DORA nicht als getrennte Projekte behandeln, sondern als ein einziges Resilienzprogramm. Diese Checkliste ist der pragmatischste Einstieg:
Wenn Sie diese Punkte nicht manuell über verteilte Richtlinien und isolierte Fachbereiche organisieren wollen, ist eine spezialisierte NIS2-Schulung der schnellste Einstieg. Für die Finanzmarktinfrastruktur sollte die Schulung ausdrücklich DORA, Drittparteienrisiken, Vorfallsteuerung und Leitungspflichten einbeziehen statt nur allgemeine Cyberhygiene zu wiederholen.
Im deutschen BSIG sind unter Finanzmarktinfrastrukturen ausdrücklich Handelsplätze im Sinne von § 2 Abs. 22 WpHG und zentrale Gegenparteien genannt. Ob Ihr Unternehmen als besonders wichtige oder wichtige Einrichtung einzuordnen ist, hängt zusätzlich von den Größenkriterien nach § 28 BSIG und der konkreten Tätigkeit ab.
Der allgemeine Maßnahmenkatalog umfasst Risikoanalyse, Vorfallbewältigung, Business Continuity, Lieferkettensicherheit, sichere Entwicklung und Wartung, Wirksamkeitsprüfungen, Schulungen, Kryptografie, Zugriffskontrollen und Multi-Faktor-Authentifizierung. Für viele Finanzunternehmen werden diese Pflichten in Deutschland operativ durch DORA konkretisiert.
Der unionsrechtliche Rahmen verlangt für besonders wichtige Einrichtungen Bußgelder bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt der Rahmen niedriger. Zusätzlich müssen Marktinfrastruktur-Unternehmen sektorale Eingriffsbefugnisse der Finanzaufsicht berücksichtigen.
Für nicht von der DORA-Ausnahme erfasste betroffene Einrichtungen sieht § 38 BSIG regelmäßige Schulungen der Geschäftsleitung vor. Für Finanzunternehmen im DORA-Anwendungsbereich werden Schulungs-, Sensibilisierungs- und Governance-Pflichten praktisch vor allem über DORA und die sektorale Aufsicht konkretisiert.
Die unionsrechtliche Umsetzungsfrist endete am 17. Oktober 2024. In Deutschland gilt der neue BSIG-Rahmen seit dem 6. Dezember 2025. Die Registrierung musste nach § 33 BSIG grundsätzlich innerhalb von drei Monaten nach erstmaliger Betroffenheit erfolgen; für bereits betroffene Einrichtungen lief diese Frist damit Anfang März 2026 ab.
Ja, häufig sehr deutlich. DORA gilt seit dem 17. Januar 2025 für Finanzunternehmen in seinem Anwendungsbereich und regelt IKT-Risikomanagement, Vorfallmeldungen, Tests und Drittparteienrisiken sektorweit. In Deutschland nimmt § 28 Abs. 6 BSIG bestimmte BSIG-Pflichten für DORA-Unternehmen ausdrücklich aus.
NIS2 ist für die Finanzmarktinfrastruktur kein isoliertes Cybergesetz, sondern der sektorale Rahmen, in den sich DORA, BaFin-Aufsicht und weitere Marktregeln einfügen. Für Handelsplätze und zentrale Gegenparteien kommt es deshalb weniger auf die Zahl einzelner Richtlinien an als auf die Fähigkeit, daraus ein einziges, nachweisbares Betriebsmodell zu bauen.
Die pragmatische Reihenfolge lautet: Einordnung klären, DORA-Anwendungsbereich prüfen, Drittparteien- und Vorfallmodell schärfen und die Geschäftsleitung gemeinsam mit den operativen Schlüsselrollen schulen. Wenn Sie das belastbar aufsetzen wollen, ist unsere NIS2-Schulung der passende nächste Schritt.
Häufige Fragen
Nächster Schritt
Wenn Sie die Pflichten nach Art. 4 sauber dokumentieren wollen, starten Sie mit einem gemeinsamen Schulungsstandard für betroffene Rollen.