NIS2 oder DORA? Was für Versicherer und Finanzunternehmen wirklich gilt

NIS2 (Richtlinie (EU) 2022/2555) und DORA (Verordnung (EU) 2022/2554) wurden am selben Tag erlassen und überschneiden sich beim Thema Cyber-Risiko. Für ein lizenziertes Finanzunternehmen lautet die Kurzantwort: Für IKT-Risikomanagement, Vorfallsmeldung, Resilienz-Tests und Drittparteien-Risiko gilt DORA — nicht NIS2. Der Grund ist ein Lex-specialis-Mechanismus, und die genaue Formulierung ist wichtiger, als sie klingt ^[1][2].

Die Faustregel: Ist die Einheit ein DORA-Finanzunternehmen nach Art. 2 Abs. 1? → DORA regelt IKT-Cyber/Resilienz, die NIS2-Pflichten aus Art. 21/23 sind verdrängt. Ist sie stattdessen eine Annex-I/II-Einheit, aber kein DORA-Finanzunternehmen? → NIS2 gilt unmittelbar. Die Gruppenzugehörigkeit überträgt keinen der beiden Status.

NIS2 unterscheidet essential und important entities (Art. 3). Die Grundregel (Art. 2 Abs. 1) knüpft an die EU-KMU-Definition (Empfehlung 2003/361/EG) an. Wichtig sind zwei Schwellen, die oft verwechselt werden: important wird eine Annex-I/II-Einheit ab mittlerer Größe (≥ 50 Beschäftigte, oder Umsatz/Bilanz > 10 Mio. EUR); essential erst, wenn sie die Schwelle für mittlere Unternehmen überschreitet (≥ 250 Beschäftigte, oder > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanzsumme) ^[1][3].

Daneben gibt es Fälle, in denen die Größe egal ist (Art. 2 Abs. 2) — etwa Vertrauensdiensteanbieter, TLD-/DNS-Betreiber oder Alleinanbieter eines wesentlichen Dienstes. Banking und Finanzmarktinfrastrukturen stehen in Annex I („Sektoren hoher Kritikalität”). Dass sie dort gelistet sind, heißt aber nicht, dass NIS2 ihre Cyber-Pflichten operativ steuert — die werden von DORA verdrängt (nächster Abschnitt).

NIS2 Art. 4 regelt das Verhältnis zu sektorspezifischem Unionsrecht: Verlangt ein solcher Rechtsakt mindestens gleichwertige Cyber-Risikomanagement- oder Meldepflichten, gelten insoweit die NIS2-Vorschriften nicht. Art. 4 nennt DORA nicht namentlich — die Verdrängung wird von der DORA-Seite ausgelöst: DORA Art. 1 Abs. 2 erklärt DORA für Finanzunternehmen ausdrücklich zum sektorspezifischen Rechtsakt im Sinne von Art. 4 NIS2, und Erwägungsgrund 16 nennt DORA „lex specialis” gegenüber NIS2 ^[1][2].

Die präzise Formulierung ist entscheidend: Es ist keine pauschale Befreiung des Unternehmens von NIS2, sondern eine Verdrängung der überschneidenden Pflichten — konkret der NIS2-Risikomanagement­pflichten (Art. 21) und der Meldepflicht (Art. 23), soweit DORA mindestens Gleichwertiges verlangt. Finanzunternehmen melden IKT-Vorfälle über den DORA-Kanal an ihre Finanzaufsicht (z.B. BaFin/FMA), nicht nach NIS2 an das CSIRT/BSI.

Ein Versicherungs- oder Rückversicherungs­unternehmen ist DORA Art. 2 Abs. 1 Buchst. n, ein Versicherungs­vermittler Buchst. o — beide folgen also DORA. Die Tücke liegt in der Gruppe: NIS2/DORA-Scoping erfolgt je Rechtsträger nach Tätigkeit, nicht gruppenweit. Eine nicht-finanzielle Tochter (z.B. eine konzerninterne Rechenzentrums-, Cloud- oder IT-Dienstleistungs­gesellschaft, ein Energie- oder Telekom-Ableger), die die Größenschwelle erreicht, kann unmittelbar unter NIS2 fallen — DORA schirmt sie nicht ab.

Weitere Randfälle: Ein konzerneigener IT-Dienstleister wird typischerweise über DORAs Drittparteien-Regime vertraglich erfasst (und kann von den ESAs als kritischer IKT-Drittdienstleister benannt werden) — und kann zusätzlich selbst NIS2-Einheit sein. Reine Holdings sind oft weder DORA-Finanzunternehmen noch Annex-I/II-Einheit (aber die größenunabhängigen Hooks aus Art. 2 Abs. 2 prüfen). Und wo DORA keine gleichwertige Anforderung stellt, bleibt die entsprechende NIS2-Pflicht für das Finanzunternehmen bestehen. Eine Einstufung als kritische Einheit nach der CER-Richtlinie (Richtlinie (EU) 2022/2557) für die physische Resilienz ist davon ohnehin unberührt.

Die EU-Umsetzungsfrist war der 17. Oktober 2024 — viele Mitgliedstaaten verfehlten sie, und die Kommission eröffnete Vertragsverletzungs­verfahren. Inzwischen sind die deutschsprachigen Kernmärkte durch: Deutschland hat das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verabschiedet — verkündet im BGBl. 2025 I Nr. 301, in Kraft seit dem 6. Dezember 2025; operatives Gesetz ist das neugefasste BSI-Gesetz (BSIG) mit den Kategorien „besonders wichtige” und „wichtige Einrichtungen” ^[4].

Österreich hat das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) erlassen — BGBl. I Nr. 94/2025, in Kraft seit dem 24. Dezember 2025 (es löst das alte NISG von 2018 ab) ^[5]. Multi-jurisdiktionale Gruppen müssen die Umsetzung pro Land prüfen: Zuständige Behörden, Registrierungs­pflichten und -fristen sind national geregelt und weichen voneinander ab.

Die Bußgeldrahmen sind erheblich (Art. 34): für essential entities bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist), für important entities bis zu 7 Mio. EUR oder 1,4 %. Deutschland hat diese Rahmen im BSIG gespiegelt ^[1].

Besonders relevant ist Art. 20: Die Geschäftsleitung muss die Risikomanagement­maßnahmen genehmigen, ihre Umsetzung überwachen und kann für Verstöße haften; zudem sind Leitungsmitglieder zu Schulungen verpflichtet. Das deutsche BSIG konkretisiert eine nicht voll delegierbare persönliche Verantwortung und einen dokumentierten Schulungs­turnus. Das hebt Cybersicherheit von einem reinen IT- zu einem Vorstands­thema — und genau diese Nicht-IKT-Governance-Pflichten erreichen ein Finanzunternehmen auch dann, wenn die IKT-Pflichten von DORA verdrängt sind.

Die saubere Antwort ist nie „wir machen DORA, NIS2 ignorieren wir”, sondern eine Landkarte je Rechtsträger: Welcher Status gilt, welche Pflichten sind verdrängt, welche bleiben, und in welchem Land. In großen Gruppen mit gemischten Strukturen ist genau diese Abgrenzung die fehleranfällige Stelle — und sie verschiebt sich mit jedem nationalen Umsetzungsakt, jeder ESA-Q&A und jeder Kommissions-Leitlinie zu Art. 4.

Horizon Scanning hält diese Landkarte aktuell: Es überwacht NIS2, DORA, die nationalen Umsetzungs­gesetze und die Aufsichtsbehörden an der Quelle, erkennt Änderungen und routet sie an das Team, das sie umsetzt — getaggt danach, welches Regime und welcher Rechtsträger betroffen ist.