NIS2 im Bankenwesen: BaFin, BAIT und doppelte Compliance
Banken unterliegen nicht erst seit Dezember 2025 einer neuen Cyberpflicht, sondern seit dem 17. Januar 2025 unmittelbar DORA; zugleich ordnet Anhang I Nr. 3 der Richtlinie (EU) 2022/2555 Kreditinstitute dem NIS2-Sektor Banking zu. Für Banken ist die richtige Frage deshalb nicht, ob NIS2 oder DORA gilt, sondern welcher Teil welcher Regelung wann den Vorrang hat.
Die kurze Antwort lautet: Für kreditinstitutsbezogene IKT-Risikosteuerung, Incident Reporting, Resilienztests und Drittparteirisiken ist DORA nach Art. 1 Abs. 2 Verordnung (EU) 2022/2554 der speziellere Maßstab. NIS2 bleibt trotzdem relevant, weil sie den sektoralen Rahmen für Banking setzt, die Management- und Schulungslogik vorgibt und für nationale Zuständigkeiten, Abgrenzungsfälle und Gruppenstrukturen weiterhin mitgedacht werden muss. Wenn Sie den sektorübergreifenden Blick suchen, hilft ergänzend unser Beitrag zu NIS2 im Gesundheitswesen, für die Management-Perspektive der Leitfaden zur NIS2-Geschäftsleitungsschulung und für die operative Umsetzung unsere NIS2 Online-Schulung.
Warum Banken doppelt reguliert sind (NIS2 + DORA)
Banken sind doppelt reguliert, weil sie zugleich zu den kritischen Sektoren der NIS2-Richtlinie gehören und als Finanzunternehmen einem eigenständigen EU-Spezialregime für digitale operationelle Resilienz unterliegen. NIS2 nennt in Anhang I Nr. 3 ausdrücklich den Sektor Banking und erfasst dort Kreditinstitute. DORA erfasst Finanzunternehmen vertikal und ordnet in Art. 1 Abs. 2 ausdrücklich an, dass die Verordnung für erfasste Finanzunternehmen als sektoraler Spezialrechtsakt im Sinne von Art. 4 NIS2 gilt.
Für die Praxis bedeutet das keine doppelte Dokumentation jeder Einzelpflicht, aber eine doppelte Rechtslogik. Das Institut muss einerseits die horizontale Cybersicherheitsarchitektur der NIS2 verstehen: Governance nach Art. 20 NIS2, angemessene Maßnahmen nach Art. 21 NIS2 und Meldepflichten nach Art. 23 NIS2. Andererseits muss es die tiefere finanzsektorspezifische DORA-Logik umsetzen: Governance und Verantwortung des Leitungsorgans nach Art. 5 DORA, IKT-Vorfallmanagement nach Art. 17 DORA, Tests digitaler Resilienz nach Art. 24 ff. DORA und Drittparteiensteuerung nach Art. 28 ff. DORA.
Die Folge ist eine typische Bankenrealität: Ein und derselbe Sachverhalt wird von mehreren Aufsichtsbrillen betrachtet. Ein ausgelagerter Cloud-Dienst für Zahlungsverkehr ist nicht nur ein IT-Thema, sondern zugleich ein DORA-Drittparteirisiko, ein MaRisk-Auslagerungsthema und aus NIS2-Sicht Teil eines kritischen Dienstes. Wer diese Ebenen getrennt organisiert, produziert doppelte Listen, widersprüchliche Zuständigkeiten und im Ernstfall langsame Meldewege.
Die wirtschaftlich sinnvolle Antwort ist eine einheitliche Compliance-Matrix. Diese Matrix sollte nicht nach Gesetzen, sondern nach Kontrollfeldern aufgebaut sein: Governance, Risikoanalyse, Incident Response, Auslagerung, Schulung, Management Reporting und Evidenz. So wird sichtbar, wo DORA die NIS2-Pflichten verdrängt, wo MaRisk ergänzt und wo BAIT nur noch als Abgleichs- oder Übergangsrahmen dient.
BAIT, MaRisk und NIS2: Welche Anforderung gilt wann?
BAIT, MaRisk und NIS2 gelten nicht auf derselben Ebene. MaRisk ist der allgemeine bankaufsichtliche Organisations- und Risikorahmen der BaFin. BAIT konkretisiert historisch die IT-Aufsicht für Banken. NIS2 ist der horizontale europäische Cybersicherheitsrahmen. DORA verdrängt für erfasste Finanzunternehmen gerade die NIS2-Bereiche, die IKT-Risikomanagement und Vorfallsteuerung betreffen, und reduziert damit auch die eigenständige praktische Leitfunktion der BAIT.
Für viele Institute ist die wichtigste Korrektur: BAIT ist heute nicht mehr der maßgebliche Endpunkt der Diskussion. Die BaFin hat selbst klargestellt, dass BAIT nur für solche Aufsichtsobjekte fortgilt, die bisher BAIT angewendet haben und noch kein IKT-Risikomanagement nach DORA betreiben müssen. Für klassische, von DORA voll erfasste Kreditinstitute ist daher DORA seit dem 17. Januar 2025 die Primärnorm. BAIT bleibt dennoch nützlich, weil viele Häuser ihre Kontrollen, Rollen und Dokumente weiterhin in BAIT-Kapiteln denken und ein Mapping auf DORA effizienter ist als ein kompletter Neuaufbau.
MaRisk bleibt daneben wichtig, weil DORA nicht das gesamte bankaufsichtliche Risikomanagement ersetzt. Themen wie Geschäftsorganisation, Kontrollsystem, Auslagerungen, Modellrisiken oder Governance des Leitungsorgans bleiben bankaufsichtlich relevant. Gerade dort, wo KI-gestützte Bonitätsprüfung, Betrugserkennung oder Entscheidungsautomatisierung eingesetzt wird, sollten Banken MaRisk, DORA und NIS2 nicht gegeneinander lesen, sondern als abgestufte Schichten:
| Aspekt | Allgemeine NIS2 | Spezifisch Bankenwesen |
|---|---|---|
| Regulierung | Richtlinie (EU) 2022/2555, Art. 20 bis 23 | DORA, MaRisk, BAIT-Mapping, bankaufsichtliche Rundschreiben |
| Aufsicht | Nationale Cybersicherheitsbehörden, CSIRT-Struktur | BaFin als Finanzaufsicht, je nach Fall mit BSI- und CSIRT-Koordination |
| Risikomanagement | Angemessene technische, operative und organisatorische Maßnahmen nach Art. 21 NIS2 | IKT-Rahmen nach Art. 5 bis 16 DORA plus bankaufsichtliche Governance |
| Vorfallmeldung | Frühwarnung, Folgemeldung, Abschlussbericht nach Art. 23 NIS2 | DORA-Meldeprozess für schwerwiegende IKT-Vorfälle; bankaufsichtliche Meldewege |
| Besonderheiten | Sektorübergreifende Mindestlogik | Zahlungsverkehr, Kernbankensysteme, SWIFT-Anbindung, Auslagerungen, Drittparteienketten |
Die Praxisregel lautet deshalb: NIS2 setzt den äußeren Rahmen, DORA regelt die bankspezifische IKT-Tiefe, MaRisk hält die Organisationspflichten zusammen. Wer ein Institut steuert, sollte zuerst prüfen, ob das jeweilige Thema ein allgemeines Cybersicherheitsthema, ein finanzsektorspezifisches IKT-Thema oder ein bankaufsichtliches Organisationsproblem ist. Erst danach wird klar, welche Norm operativ führt.
DORA vs. NIS2: Abgrenzung für Finanzinstitute
DORA und NIS2 unterscheiden sich weniger in ihrem Ziel als in ihrer Regelungstiefe. NIS2 verlangt nach Art. 21 Abs. 1 angemessene technische, operative und organisatorische Maßnahmen, lässt aber den konkreten Aufbau stärker risikobasiert offen. DORA ist für Finanzunternehmen präziser. Art. 5 DORA verpflichtet das Leitungsorgan ausdrücklich, den IKT-Rahmen zu definieren, zu genehmigen, zu überwachen und für seine Umsetzung verantwortlich zu sein.
Für Finanzinstitute ist deshalb entscheidend, welche Materie durch den Spezialitätsgrundsatz verdrängt wird. Die Leitlinien der Kommission zu Art. 4 NIS2 sagen klar, dass für DORA-erfasste Finanzunternehmen die NIS2-Vorschriften zu Cybersicherheitsmaßnahmen, Incident Reporting, Aufsicht und Durchsetzung insoweit nicht gelten, wie DORA gleichwertige oder strengere Vorgaben macht. Das betrifft insbesondere IKT-Risikomanagement, Management schwerwiegender IKT-Vorfälle, Resilienztests und IKT-Drittparteirisiken.
Das heißt aber nicht, dass NIS2 im Bankensektor bedeutungslos wäre. Drei Felder bleiben wichtig:
- Sektorale Einordnung: NIS2 bestätigt, dass Banking ein kritischer Sektor ist und begründet damit den politischen und aufsichtsrechtlichen Grunddruck.
- Gruppen- und Abgrenzungsfragen: Nicht jede Gesellschaft in einer Finanzgruppe ist automatisch gleich erfasst. Holding, Shared Service Center, ICT-Tochter oder ausgelagerte Spezialgesellschaft können eigene Prüfungen auslösen.
- Management- und Schulungskultur: Auch wenn DORA als Spezialrahmen führt, bleibt die NIS2-Logik von Leitungsorgan-Verantwortung und regelmäßiger Befähigung für viele Institute die sinnvollere Sprache gegenüber Vorstand, Revision und HR.
Banken sollten DORA deshalb nicht als Ersatz für NIS2-Kompetenz betrachten, sondern als bankenspezifische Konkretisierung. Wer im Haus nur auf DORA verweist, ohne die NIS2-Herkunft und die nationale Cyberkoordination zu verstehen, unterschätzt Meldeketten, Krisenschnittstellen und sektorübergreifende Anforderungen. Wer umgekehrt nur NIS2 aufschreibt, ohne DORA als Spezialnorm umzusetzen, läuft in der Finanzaufsicht in die falsche Prüftiefe.
Meldepflichten: BaFin, BSI oder beides?
Die wichtigste praktische Frage im Bankenwesen lautet nicht, ob es Meldepflichten gibt, sondern an wen welcher Vorfall nach welchem Trigger zu melden ist. Für allgemeine NIS2-Fälle sieht Art. 23 NIS2 eine gestufte Meldearchitektur vor: Meldung ohne unangemessene Verzögerung, eine frühe Warnung binnen 24 Stunden, eine Folgemeldung binnen 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Für DORA-erfasste Finanzunternehmen greift bei schwerwiegenden IKT-Vorfällen jedoch der speziellere DORA-Meldeweg.
Deshalb ist die Antwort auf „BaFin, BSI oder beides?“ differenziert: Primär BaFin beziehungsweise der nach DORA definierte Finanzaufsichtsweg, nicht automatisch parallel das allgemeine NIS2-Schema an das BSI. Die Leitlinien zu Art. 4 NIS2 stellen ausdrücklich klar, dass für Finanzunternehmen unter DORA die NIS2-Vorschriften über Risikomanagement, Incident Reporting sowie Aufsicht und Durchsetzung insoweit nicht gelten. Gleichzeitig sollen nach denselben Leitlinien Informationen über größere Vorfälle weiterhin in die nationale Cybersicherheitsarchitektur einfließen, damit CSIRTs, nationale Cyberkrisenstäbe und EU-CyCLONe den Finanzsektor nicht ausblenden.
Praktisch heißt das für Banken:
- Der Incident Intake muss schon in den ersten Minuten zwischen DORA-relevantem IKT-Vorfall, Datenschutzvorfall, Zahlungsdienstevorfall und allgemeinem IT-Störfall unterscheiden.
- Die Meldeentscheidung darf nicht allein in der IT liegen, sondern muss Compliance, Informationssicherheit und gegebenenfalls Rechtsabteilung einbinden.
- Die externe Meldelogik sollte in einem Playbook festgelegt werden: Trigger, zuständige Aufsicht, Freigabeinstanz, Informationsumfang und Eskalationsweg.
Typische Fehler sind gut bekannt. Viele Institute warten zu lange auf forensische Sicherheit, obwohl der frühe Meldepfad gerade auf vorläufige Lagebilder angelegt ist. Andere melden alles an dieselbe Stelle und übersehen, dass Zahlungsdienste, Datenschutz, DORA und allgemeine Krisenkommunikation unterschiedliche Formate und Empfänger haben können. Im Bankensektor ist deshalb ein zentrales Incident Governance Board oft sinnvoller als mehrere unverbundene Einzelmeldeprozesse.
Schulungspflichten für Bankenmitarbeiter
Banken brauchen nicht nur Policies, sondern nachweisbare Schulung. Art. 20 Abs. 2 NIS2 verlangt, dass Mitglieder der Leitungsorgane Schulungen absolvieren, und fordert regelmäßige Schulungsangebote für Beschäftigte. Art. 13 Abs. 6 DORA verlangt Programme zur Sensibilisierung für digitale operationelle Resilienz. Für Banken folgt daraus kein Standard-Webinar für alle, sondern ein rollenbasiertes Schulungssystem.
Die erste Zielgruppe ist die Geschäftsleitung. Vorstand und Bereichsleitung müssen nicht programmieren können, aber sie müssen die Wechselwirkung von DORA, NIS2, MaRisk und Auslagerungssteuerung verstehen. Sie tragen Governance-Verantwortung, genehmigen Risikotoleranzen und müssen im Vorfall entscheiden können. Genau dafür ist eine spezialisierte NIS2-Geschäftsleitungsschulung sinnvoll.
Die zweite Zielgruppe sind IT, Informationssicherheit, BCM und Compliance. Diese Rollen brauchen Tiefe in Incident Reporting, Logik der Aufsichtswege, Cloud- und Auslagerungssteuerung, Resilienztests, Zugriffskontrollen und Beweissicherung. Die dritte Zielgruppe sind Fachbereiche wie Zahlungsverkehr, Marktfolge, Kundenservice, Auslagerungsmanagement oder Einkauf. Dort entstehen viele operative Risiken durch Fehlfreigaben, schlechte Eskalation und unklare Verantwortungen gegenüber Dienstleistern.
Ein belastbares Schulungsmodell sollte mindestens diese Bausteine enthalten:
| Zielgruppe | Pflichtinhalt | Rechtsanker |
|---|---|---|
| Vorstand / Geschäftsleitung | Governance, Aufsicht, Risikotoleranz, Incident Escalation | Art. 5 DORA, Art. 20 Abs. 2 NIS2 |
| IT / Security / BCM | IKT-Risikomanagement, Vorfallklassifikation, Recovery, Drittparteien | Art. 17 DORA, Art. 28 DORA, Art. 21 NIS2 |
| Fachbereiche / Mitarbeitende | Awareness, Meldewege, sichere Nutzung von Systemen, Lieferantenrisiken | Art. 13 Abs. 6 DORA, Art. 20 Abs. 2 NIS2 |
| Einkauf / Auslagerung | Vertragskontrollen, Kritikalität, Exit- und Eskalationsklauseln | Art. 28 ff. DORA, MaRisk Auslagerung |
Wichtig ist auch die Dokumentation. Eine Schulung ist aufsichtlich nur so stark wie ihr Nachweis. Banken sollten Teilnahme, Zielgruppe, Version, Inhalte, Lernkontrolle und Wiederholungslogik festhalten. Wenn Sie einen pragmatischen Einstieg für Basiskompetenz und Nachweis suchen, ist unsere NIS2 Online-Schulung ein sinnvoller Startpunkt; für den Abgleich mit Standards hilft ergänzend der Vergleich NIS2 vs. ISO 27001 Schulung.
Handlungsempfehlung mit Zeitplan
Banken sollten die Doppelregulierung nicht als Rechtsseminar, sondern als Umsetzungsprogramm behandeln. In den ersten 30 Tagen gehört ein sauberes Mapping auf den Tisch: Welche Gesellschaften der Gruppe fallen unter DORA, welche kritischen Funktionen sind betroffen, welche Alt-Dokumente sind noch BAIT-strukturiert, welche Meldewege existieren bereits? In den nächsten 30 bis 60 Tagen sollte das Institut seine Controls neu ordnen: Incident Playbook, Drittparteienregister, Management Reporting, Recovery-Tests und Schulungsmatrix. Innerhalb von 90 Tagen sollte daraus ein prüfbares Evidenzsystem entstehen, das BaFin-Prüfungen, interne Revision und externe Audits standhält.
Der große Fehler wäre, BAIT, MaRisk, NIS2 und DORA in getrennten Projekten zu bearbeiten. Banken sparen Aufwand, wenn sie denselben Kontrollpunkt nur einmal bauen und anschließend mehreren Rechtsquellen zuordnen. Genau dort liegt der Unterschied zwischen formaler und belastbarer Compliance.
FAQ
Wie überschneiden sich NIS2 und DORA für Banken?
NIS2 ordnet Kreditinstitute dem kritischen Sektor Banking zu, während DORA für Finanzunternehmen den spezielleren IKT-Rahmen schafft. Für IKT-Risikomanagement, Vorfallmeldung, Tests und Drittparteirisiken führt bei Banken in der Regel DORA; NIS2 bleibt aber für sektorale Einordnung, nationale Koordination und Abgrenzungsfragen relevant.
Müssen Banken NIS2 UND BAIT gleichzeitig erfüllen?
Banken müssen kein paralleles Doppelprogramm aus NIS2 und BAIT fahren. Für von DORA erfasste Institute ist DORA der maßgebliche Spezialrahmen. BAIT kann als bestehendes Kontrollgerüst und Mapping-Hilfe weiter nützlich sein, während MaRisk bankaufsichtliche Organisationspflichten zusammenhält.
Welche Meldepflichten gelten für Banken unter NIS2?
Art. 23 NIS2 sieht grundsätzlich Frühwarnung, Folgemeldung und Abschlussbericht vor. Für DORA-erfasste Institute greifen bei schwerwiegenden IKT-Vorfällen primär die DORA-Meldewege an die Finanzaufsicht. Deshalb brauchen Banken ein Incident Playbook, das zwischen DORA, Datenschutz, Zahlungsdiensten und sonstigen Vorfällen klar trennt.
Fallen Genossenschaftsbanken und Sparkassen unter NIS2?
Ja. Kreditinstitute sind in Anhang I Nr. 3 NIS2 ausdrücklich genannt. Für Sparkassen, Genossenschaftsbanken und Privatbanken stellt sich anschließend die operative Folgefrage, welche Pflichten über DORA, welche über nationale Umsetzung und welche über allgemeine bankaufsichtliche Anforderungen konkret ausgelöst werden.
Was ändert sich durch NIS2 an der BaFin-Aufsicht?
NIS2 ersetzt die BaFin nicht. Sie verstärkt aber den Druck auf klare Governance, dokumentierte Verantwortlichkeiten und abgestimmte Meldewege. In Verbindung mit DORA steigt damit die Erwartung, dass Institute ihre Cyber- und Resilienzkontrollen nicht nur technisch, sondern auch organisatorisch sauber nachweisen können.
Welche Schulung ist für Banken jetzt sinnvoll?
Sinnvoll ist eine Kombination aus Management-Schulung, operativer Awareness und vertieften Modulen für IT, Compliance und Auslagerungssteuerung. Wer schnell eine belastbare Basis schaffen will, sollte mit einer strukturierten NIS2 Online-Schulung beginnen und sie um bankspezifische DORA- und MaRisk-Vertiefungen ergänzen.
Der nächste sinnvolle Schritt
Banken sollten jetzt keine neue Begriffsdebatte führen, sondern ihre Pflichtenarchitektur in eine prüfbare Matrix übersetzen. Wenn Sie NIS2, DORA, MaRisk und Schulungsnachweise in ein tragfähiges Konzept für Vorstand, Compliance und Fachbereiche überführen möchten, nutzen Sie unsere NIS2 Online-Schulung oder buchen Sie eine gezielte Beratung zur Abgrenzung von BaFin-, DORA- und NIS2-Pflichten.