Digitale Geschäftsmodelle und komplexe Auslagerungsstrukturen prägen den Alltag von Banken, Versicherungen und Wertpapierinstituten. Die IT ist für Finanzunternehmen damit längst kein bloßer Unterstützungsfaktor mehr. Gleichzeitig nimmt das Risiko für Cyberangriffe, IT-Störungen und Abhängigkeiten von Drittanbietern zu. Entsprechend gewinnt die Regulierung von IT-Risiken sowohl national als auch auf europäischer Ebene zunehmend an Bedeutung.
Inhaltsverzeichnis
Der folgende Beitrag gibt einen systematischen Überblick über die wesentlichen IT-rechtlichen und aufsichtsrechtlichen Anforderungen an Finanzunternehmen in Deutschland.
DORA – der zentrale Rechtsrahmen für IT-Anforderungen im Finanzsektor
Im Zentrum der IT-Regulierung steht die Verordnung (EU) 2022/2554 über die Digitale Operationale Resilienz (DORA). DORA wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht, trat am 17. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 verbindlich anzuwenden.
Ziel der Verordnung ist die Stärkung der digitalen operationellen Resilienz des gesamten europäischen Finanzsektors, insbesondere in den Bereichen des IKT-Risikomanagements, der Meldung und Behandlung IKT-bezogener Vorfälle, dem Testen digitaler operationeller Resilienz sowie im Bereich des Drittparteienrisikomanagements.
Kapitel II DORA (Art. 5-16 DORA) verpflichtet Finanzunternehmen zur Einrichtung eines strukturierten IKT-Risikomanagementrahmens. Ziel ist damit in erster Linie die Aufrechterhaltung der Funktionsfähigkeit der Finanzunternehmen hinsichtlich Cyber-Gefahren. Dabei unterscheidet die Verordnung zwischen dem regulären IKT-Risikomanagementrahmen und dem vereinfachten IKT-Risikomanagementrahmen. Letzterer gilt für bestimmte kleinere Finanzunternehmen – basierend auf deren Größe oder den von ihnen erbrachten Dienstleistungen – und sieht weniger strenge Anforderungen vor als der reguläre IKT-Risikomanagementrahmen.
Kern des regulären IKT-Risikomanagementrahmens ist die Einrichtung eines umfassenden und dokumentierten Governance- und Kontrollsystems für IKT-Risiken. Umfasst sind sowohl präventive als auch reaktive Elemente, insbesondere die Identifizierung und Erkennung von IKT-Risiken sowie Gegenmaßnahmen, Wiederherstellung und das Lernen sowie die Weiterentwicklung und Kommunikation im Umgang mit IKT-Risiken und IKT-Vorfällen. Finanzunternehmen sind u.a. verpflichtet, eine Strategie zur digitalen operationalen Resilienz zu erstellen und die Verantwortung für das Management und die Überwachung von IKT-Risiken ausdrücklich einer Kontrollfunktion zuzuweisen. Ebenso besteht die Pflicht zur einmal jährlichen Dokumentation und Überprüfung des vereinfachten Risikomanagementrahmens, der Vorhaltung einer IKT-Geschäftsführungslinie und der redundanten Unterhaltung von IKT-Kapazitäten. Diese strengeren Anforderungen entfallen im Rahmen des vereinfachten IKT-Risikomanagementrahmens.
Kapitel III DORA (Art. 17-23 DORA) regelt die Behandlung, Klassifizierung und Berichterstattung IKT- und zahlungsbezogener Vorfälle. Finanzunternehmen sind zur Implementierung eines Managementprozesses verpflichtet, der neben der Behandlung von IKT-bezogenen Vorfällen auch die Überwachung, Protokollierung und ggf. Meldung von IKT-bezogenen Vorfällen umfasst. Für schwerwiegende zahlungsbezogene Betriebs- und Sicherheitsvorfälle bestehen konkrete Meldepflichten gegenüber der zuständigen Aufsichtsbehörde.
Ein weiterer zentraler Baustein ist die Etablierung eines risikobasierten und proportionalen Testprogramms (Kapitel IV, Art. 24-27 DORA). Dieses soll integraler Bestandteil des IKT-Risikomanagementrahmens eines jeden Finanzunternehmens sein und dazu dienen, auf IKT-Vorfälle vorbereitet zu sein und zu erkennen, wo die Schwachstellen in der digitalen operationellen Resilienz des Finanzunternehmens bestehen. Für bestimmte Unternehmen gelten neben den allgemeinen Anforderungen für das Testen, erweiterte Tests auf Basis von “Threat-led Penetration Testing“ (TLPT). Die hierfür maßgeblichen Anforderungen sind in einem technischen Regulierungsstandard der Europäischen Kommission konkretisiert.
Gerade im Cloud-Zeitalter rückt das Management von IKT-Drittparteien in den Vordergrund. DORA verpflichtet Finanzunternehmen daher zur Einschätzung und Überwachung der IKT-Drittparteienrisiken während des gesamten Lebenszyklus des Bezugs (Kapitel V, Art. 28-30 DORA). Vertragsbeziehungen mit IKT-Dienstleistern müssen dabei bestimmte Anforderungen erfüllen. Diese sind insbesondere geregelt in Art. 30 Abs. 2 und Abs. 3 DORA-VO und umfassen u.a. detaillierte Mindestinhalte, darunter eine klare Leistungsbeschreibung, Regelungen zur Unterauftragsvergabe, Vorgaben zu Datenzugriff, -rückgabe und -löschung sowie umfassende Zugangs- und Kontrollrechte des Finanzunternehmens und der Aufsichtsbehörden. In Art. 30 Abs. 2 und Abs. 3 DORA-VO sind darüber hinaus Anforderungen zur Implementierung von Notfallplänen und Maßnahmen sowie Berichts- und Meldepflichten der IKT-Drittdienstleister gegenüber dem Finanzunternehmen vorgesehen.
Insgesamt steht dabei im Fokus insbesondere die Unterstützung des Finanzunternehmens bei IKT-Vorfällen durch den Vertragspartner sowie die Gewährleistung geeigneter Ausstiegsstrategien bei kritischen oder wichtigen Funktionen, um die Geschäftskontinuität im Falle einer Vertragsbeendigung sicherzustellen. Zur Transparenz und Steuerung dieser Drittparteienrisiken, sieht DORA die Eintragung der abgeschlossenen IKT-Vertragsbeziehungen in Informationsregister sowie bestimmte Melde- und Anzeigepflichten gegenüber der Aufsichtsbehörde – insbesondere bei neuen und geplanten Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen – vor.
Ergänzend hierzu hat die BaFin Aufsichtsmitteilungen veröffentlicht, zu Auslagerungen an Cloud-Anbieter und zur Umsetzung von DORA mit vereinfachtem IKT-Risikomanagementrahmen und IKT-Drittparteienrisikomanagement. Diese dienen lediglich als Orientierungshilfe, begründen jedoch keine eigenständigen zusätzlichen Anforderungen.
IT-Regulierung auf nationaler Ebene
Finanzmarktdigitalisierungsgesetz (FinmadiG)
Mit dem am 27. Dezember 2024 veröffentlichten FinmadiG hat der deutsche Gesetzgeber das nationale Aufsichtsrecht an zentrale europäische Digitalrechtsakte angepasst. Neben Regelungen zur Durchführung der DORA-Verordnung dient das Gesetz insbesondere auch der Umsetzung Verordnung über Märkte für Kryptowerte (MiCAR) sowie der Neufassung der EU-Geldtransferverordnung.
Darüber hinaus erweitert das FinmadiG den Anwendungsbereich von DORA im nationalen Recht. Hierzu hat die BaFin ein Informationsschreiben veröffentlicht, in dem diese Neuerungen und Übergangsregelungen konkret erläutert werden.
Bestimmte Institute, die unter das Kreditwesengesetz (KWG) fallen, jedoch nicht ausdrücklich als „Finanzunternehmen“ in DORA genannt sind, werden über § 1a Abs. 2a KWG in den DORA-Anwendungsbereich einbezogen. Für diese Institute – etwa Factoring- oder Finanzierungsleasing-Institute – gilt ab dem 01. Januar 2027 ebenfalls DORA.
Allerdings findet nur ein „erleichterter“ DORA-Rahmen Anwendung. Vorgesehen ist damit insbesondere der vereinfachte IKT-Risikomanagementrahmen nach Art. 16 DORA. Anforderungen zur Durchführung der bedrohungsorientierten Penetrationstests i.S.d. Art. 26, 27 DORA gelten nicht und es besteht zudem keine Pflicht zur Anwendung der Vorgaben zum IKT-Drittparteienmanagement i.S.d. Art. 28-30 DORA.
§ 1a Abs. 2a KWG findet erst ab dem 01. Januar 2027 Anwendung.
Bereits ab dem 17. Januar 2025 müssen jedoch die Anforderungen zum Meldewesen bei einem IKT-Vorfall nach Kapitel III der DORA-VO angewendet werden (vgl. § 65a KWG – Übergangsvorschrift zum FinmadiG). Bis zum 31. Dezember 2026 gelten für die betroffenen Institute ansonsten noch die Bankaufsichtlichen Anforderungen an die IT (BAIT).
IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0)
Bereits vor Inkrafttreten von DORA, wurde mit dem IT-Sicherheitsgesetz 2.0 das allgemeine IT-Sicherheitsrecht in Deutschland erheblich weiterentwickelt. Das IT-SiG 2.0 wurde 2021 verabschiedet. Ziel war insbesondere die Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI). Hierzu zählen erweiterte und verstärkte Kompetenzen bei der Detektion von Sicherheitslücken und der Abwehr von Cyberangriffen sowie Regelungen zur Untersagung des Einsatzes kritischer Komponenten zum Schutz der öffentlichen Ordnung oder Sicherheit in Deutschland. Zudem wurde ein einheitliches IT-Kennzeichen für Bürger/-innen eingeführt, welches der transparenten IT-Sicherheit und Erkennbarkeit von Produkten, die bereits bestimmte IT-Sicherheitsstandards einhalten, dient. Für Unternehmen im besonderen öffentlichen Interesse wurden im IT-SiG 2.0 darüber hinaus zusätzliche Sicherheitsanforderungen normiert.
NIS-2-Umsetzungsgesetz und KRITIS-Dachgesetz
Mit dem im Dezember 2025 veröffentlichten NIS-2-Umsetzungsgesetz (NIS2UmseCG) wurde die neue NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) in deutsches Recht umgesetzt und das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) umfassend neu gefasst.
Der Anwendungsbereich des BSIG wurde deutlich erweitert: Unternehmen bestimmter Sektoren, die definierte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen nun unter die neuen Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“. Hierzu zählen u.a. Betreiber Kritischer Infrastrukturen (KRITIS). Für sie gelten spezielle Registrierungs-, Melde- und Dokumentationspflichten.
Für Finanzunternehmen ist jedoch zu berücksichtigen, dass die Regelungen der DORA als sektorspezifische Regelungen grundsätzlich Vorrang vor den Bestimmungen der nationalen Umsetzung der NIS-2-Richtlinie im BSIG in Bezug auf das Cybersicherheitsmanagement und die Meldung erheblicher Sicherheitsvorfälle haben, solange diese mindestens gleichwertig zu den Regelungen im BSIG sind.
Ergänzend verpflichtet die sog. CER-Richtlinie (Richtlinie (EU) 2022/2557) die Mitgliedsstaaten zur Identifizierung und Stärkung der physischen und organisatorischen Resilienz kritischer Anlagen gegenüber Bedrohungen wie Naturgefahren, Terroranschläge oder Sabotage. Umgesetzt wird diese durch das sog. KRITIS-Dachgesetz. Der Gesetzentwurf wurde im September 2025 vom Kabinett verabschiedet und schafft erstmalig eine bundesgesetzliche und sektorenübergreifende Regelung zum physischen und organisatorischen Schutz kritischer Anlagen in Deutschland. Vorgesehen sind insbesondere klare Kriterien zur Identifizierung kritischer Anlagen, bundeseinheitliche Mindeststandards für Resilienzmaßnahmen, regelmäßige Risikoanalysen und -bewertungen durch Staat und Betreiber sowie ein zentrales Meldesystem für Störungen.
Ergänzende europäische IT- und Digitalvorgaben
Datenschutz-Grundverordnung (DSGVO)
Neben den spezialgesetzlichen IT- und Cybersicherheitsvorgaben bleibt die Datenschutz-Grundverordnung (DSGVO) ein zentraler Bestandteil der IT-Compliance im Finanzsektor. Seit Mai 2018 gilt sie verbindlich in allen EU-Mitgliedsstaaten und beeinflusst auch Unternehmen außerhalb der EU bei der Verarbeitung von Daten von EU-Bürger/-innen. Finanzunternehmen sind insbesondere zur transparenten und rechtmäßigen Verarbeitung von Daten verpflichtet. Hierzu zählen insbesondere Informationspflichten gegenüber betroffenen Personen über die klare Zweckbindung und Begrenzung der Datenspeicherung sowie die Gewährleistung umfassender Betroffenenrechte auf Auskunft, Löschung oder Widerspruch.
Cyber Resilience Act (CRA)
Mit dem Cyber Resilience Act (CRA) wurde erstmals ein unionsweiter Rechtsrahmen geschaffen, der ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt etabliert sind. Die Verordnung gilt unmittelbar in allen EU-Mitgliedsstaaten sowohl für vernetzte Hardwareprodukte als auch für reine Softwareprodukte und bedarf keiner nationalen Umsetzung.
Für Finanzunternehmen können die Regelungen des CRA insbesondere bei der Entwicklung, dem Vertrieb oder dem Einsatz digitaler Produkte relevant werden.
Data Act
Zusätzlich schafft auch der seit September 2025 unmittelbar anwendbare Data Act einheitliche Vorgaben für Unternehmen, die ihre Produkte und Dienstleistungen in der EU anbieten.
Die Verordnung enthält insbesondere eine Vielzahl von Vorschriften hinsichtlich der Datenweitergabe von Unternehmern an Verbraucher (B2C) oder zwischen Unternehmen (B2B), normiert Pflichten der Dateninhaber zur Bereitstellung bestimmter Daten und untersagt missbräuchliche Vertragsklauseln im Zusammenhang mit Datenzugang und Datennutzung.
AI Act
Der im Jahr 2024 verabschiedete AI Act etabliert einen unionsweit einheitlichen und risikobasierten Rechtsrahmen für den Einsatz künstlicher Intelligenz nach dem Grundsatz: „Je höher das Risiko eingeschätzt, desto strenger die Vorgaben“.
Damit erweitert sich der regulatorische Fokus im Finanzsektor über Fragen der IT-Sicherheit und operativen Resilienz hinaus auf die rechtmäßige und verantwortungsvolle Gestaltung und Nutzung von KI, insbesondere in Bereichen wie Kreditwürdigkeitsprüfung, Betrugsprävention oder automatisierten Entscheidungsprozessen.
Fazit
Die Vielzahl an IT- und Digitalregulierungen zeigt deutlich, dass digitale Resilienz, Datensicherheit und eine verantwortungsvolle Nutzung von Technologien dauerhaft im Fokus des Gesetzgebers stehen.
Für Finanzunternehmen in Deutschland bedeutet das: IT-Organisation, Auslagerungen und datengetriebene Prozesse müssen strategisch, strukturiert und vorausschauend aufgestellt sein. Die Vorgaben betreffen dabei längst nicht mehr nur einzelne IT-Sicherheitsmaßnahmen, sondern greifen umfassend in Governance-Strukturen, Vertragsgestaltung, Risikomanagement und unternehmerische Entscheidungsprozesse ein. IT-Compliance ist damit keine isolierte Fachfrage mehr, sondern eine zentrale Managementaufgabe mit weitreichenden Auswirkungen.
Fest steht: Wer regulatorische Anforderungen frühzeitig in Governance und Geschäftsprozesse integriert und verankert, schafft nicht nur formale Compliance, sondern auch Stabilität und Vertrauen. Denn IT-Regulierung ist kein statisches Regelwerk, sondern ein fortlaufender Entwicklungsprozess.
