DDORA & IT-Sicherheit

NIS2 trifft DORA – Was ändert sich für Finanzunternehmen durch das NIS2UmsuCG?

NIS2 trifft DORA – Was ändert sich für Finanzunternehmen durch das NIS2UmsuCG? 1
0
Shares
0
0
0
0
0
0

Am 30. Juli 2025 hat die Bundesregierung endlich den Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung – kurz: NIS2UmsuCG – vorgelegt. Damit wird die NIS-2-Richtlinie (EU) 2022/2555 in deutsches Recht umgesetzt und der bestehende Rahmen des IT-Sicherheitsrechts deutlich erweitert.

Für den Finanzsektor, der seit dem 17. Januar 2025 bereits der DORA-Verordnung (EU) 2022/2554 unterliegt, stellt sich die Frage: Müssen wir uns überhaupt noch mit NIS-2 befassen – oder sind wir vollständig befreit?

Hintergrund: Von NIS zu NIS-2

Die NIS-2-Richtlinie ersetzt die seit 2016 geltende NIS-Richtlinie (2016/1148/EU – Network and Information Security Directive) und erweitert deren Anwendungsbereich erheblich. Während die alte Fassung im Wesentlichen Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und bestimmte Unternehmen im besonderen öffentlichen Interesse erfasste, erstreckt sich der Geltungsbereich der NIS-2-Richtlinie nunmehr auf ein wesentlich breiteres Spektrum von Einrichtungen, die als „wesentliche“ oder „wichtige Einrichtungen“ kategorisiert werden. Hierzu zählen unter anderem auch Unternehmen des Finanz- und Bankensektors.

Bislang waren laut Presseinformation des BSI zur Veröffentlichung des neuen Regierungsentwurfs ca. 4.500 Einrichtungen vom BSIG erfasst. Mit der Erweiterung wird das BSI künftig rund 29.500 Einrichtungen beaufsichtigen, für die neue gesetzliche Pflichten in der IT-Sicherheit greifen.

Umsetzung in Deutschland: Was lange währt, wird endlich gut?

Der Gesetzgebungsprozess zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) zog sich ungewöhnlich lange hin. Hintergrund war der Regierungswechsel im Jahr 2024, der dazu führte, dass der bereits in Arbeit befindliche Referentenentwurf zunächst nicht weiterverfolgt, sondern inhaltlich überprüft und politisch neu priorisiert wurde. Erst im Mai 2024 legte das Bundesministerium des Innern und für Heimat den überarbeiteten Entwurf offiziell vor.

Die Ressortabstimmung und die Konsultationen mit den betroffenen Branchen nahmen weitere Monate in Anspruch, sodass die Kabinettsfassung schließlich erst Ende Juli 2025 verabschiedet wurde. Damit liegt der Entwurf dem Bundestag mit erheblicher Verzögerung vor – während die unionsrechtliche Umsetzungsfrist für NIS-2 bereits Ende 2024 abgelaufen war.

Das NIS2UmsuCG ist ein Artikelgesetz, das für die Umsetzung der NIS-2-Richtlinie zahlreiche bestehende Rechtsakte auf nationaler Ebene anpasst. Im Mittelpunkt steht die umfassende Neufassung des BSI-Gesetzes, das um neue Kategorien betroffener Einrichtungen, erweiterte Mindestanforderungen und Aufsichtsbefugnisse ergänzt wird. Daneben werden u. a. das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Energiewirtschaftsgesetz (EnWG), das Kreditwesengesetz (KWG) sowie das Versicherungsaufsichtsgesetz (VAG) punktuell angepasst, um Querverweise, Zuständigkeiten und Abgrenzungen zur NIS-2-Umsetzung herzustellen. Damit verankert der Gesetzgeber die neuen Cybersicherheitsstandards sektorenübergreifend im deutschen Recht.

Annerton DORA Monitor

Prozesse anpassen, Systeme prüfen, Nachweise dokumentieren: Die Anforderungen von DORA sind vielfältig, die Umsetzung erfordert Durchblick und Struktur.

Der Annerton DORA-Monitor begleitet Sie auf dem Weg zur digitalen Resilienz: Wir fassen für Sie Entwicklungen und Praxistipps kompakt zusammen.

📥 Erste Ausgabe jetzt kostenfrei herunterladen – Und gleich in den Verteiler eintragen, um bei jeder neuen Ausgabe automatisch per E-Mail informiert zu werden. So bleiben Sie sicher durch den DORA-Dschungel begleitet.

Was streckt drin? IT-Sicherheit wird Chefsache

Kernbestandteil der NIS-2-Richtlinie ist ein Katalog unionsweit harmonisierter Mindestsicherheitsanforderungen an die IT (Art. 21 NIS-2) sowie ein dreistufiges Meldeverfahren für erhebliche Sicherheitsvorfälle (Art. 23 NIS-2). Der Regierungsentwurf des NIS2UmsuCG setzt dies Vorgaben aus NIS-2 im Wesentlichen durch Änderungen des BSI-Gesetzes (BSIG) um.

Besonders wichtige und wichtige Einrichtungen sind mit dem neuen BSIG unter anderem verpflichtet, sich zu registrieren, erhebliche Sicherheitsvorfälle zu melden und umfassende technische sowie organisatorische Maßnahmen zum Risikomanagement einzuführen. Hierzu gehören:

  • Durchführung von Risikoanalysen,
  • Erstellung von Maßnahmen zur Bewältigung von Sicherheitsvorfällen,
  • Erstellung von Maßnahmen Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall,
  • Krisenmanagement,
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern,
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
  • regelmäßige Schulungs- und Sensibilisierungsmaßnahmen,
  • Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren
  • Konzepte für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen und
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme.

Zudem erhebt das neue BISG die Cybersicherheit ausdrücklich zur Aufgabe der Unternehmensleitung: Geschäftsführungen der betroffenen Einrichtungen müssen die Risikomanagementmaßnahmen nicht nur umsetzen, sondern auch deren Wirksamkeit fortlaufend überwachen und sind verpflichtet, sich selbst in der Bewertung und im Management von Cyberrisiken fortzubilden.

Lex specialis – Verhältnis von NIS-2 zu DORA

Für Finanzunternehmen, die seit dem 17. Januar 2025 der unmittelbar geltenden Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor („DORA“) unterliegen, stellt sich die Frage, in welchem Umfang die neuen Vorgaben aus dem NIS2UmsuCG einschlägig sind. Hierzu sieht der Regierungsentwurf des neuen BSIG eine ausdrückliche lex-specialis-Regelung vor: Nach § 28 Abs. 6 BSIG-E finden die Vorschriften zu IKT-Risikomanagement und zu den Meldepflichten (§§ 30, 31, 32, 35, 36, 38, 39 BSIG-E) auf Finanzunternehmen im Sinne des Art. 2 Abs. 2 DORA sowie auf Unternehmen, für die DORA-Anforderungen kraft Verweisungen im Kreditwesengesetz (§ 1a Abs. 2 und 2a KWG) oder im Versicherungsaufsichtsgesetz (§ 293 Abs. 5 VAG) gelten, keine Anwendung. DORA gilt insofern also als lex specialis gegenüber den Vorgaben aus dem BSIG.

Achtung: Keine vollständige Befreiung

Diese gesetzliche Klarstellung vermeidet Doppelregulierung und stellt sicher, dass Finanzunternehmen ihre Compliance-Pflichten im Bereich IKT-Risikomanagement und Incident Reporting allein nach den Vorgaben der DORA erfüllen. Eine vollständige Freistellung von sämtlichen NIS-2-Pflichten folgt daraus jedoch nicht. Die lex-specialis-Klausel bezieht sich ausschließlich auf den durch DORA geregelten Bereich des IKT-Risikomanagements und der Meldepflichten bei IKT-Vorfällen. Andere Verpflichtungen aus dem BSIG, wie etwa die Registrierungspflicht nach § 33 BSIG-E oder allgemeine Mitwirkungs- und Auskunftspflichten gegenüber dem BSI, können auch für Finanzunternehmen gelten, sofern diese als „wesentliche“ oder „wichtige Einrichtung“ eingestuft werden.

Anwendungsbereich als „wichtige Einrichtung“

Ob ein Unternehmen diese Einstufung erfährt, hängt von qualitativen und quantitativen Schwellenwerten ab. Ein Finanzunternehmen, das als KRITIS eingestuft ist, fällt auch unter den Anwendungsbereich des BSIG-E. Aber auch kann auch außerhalb von KRITIS als „wichtige Einrichtung“ gelten, wenn:

  1. mindestens 50 Beschäftigte vorhanden sind und
  2. Jahresumsatz und Jahresbilanzsumme jeweils über 10 Mio. Euro liegen, und
  3. das Unternehmen in einem der Sektoren nach Anhang 1 oder 2 BSIG-E tätig ist

Handlungsempfehlungen für Finanzunternehmen

Für die Praxis bedeutet dies, dass Finanzunternehmen zwar im Kernbereich von den NIS-2-Anforderungen durch die vorrangige Geltung von DORA entlastet werden, dennoch aber eine sorgfältige Prüfung der übrigen, nicht von der lex-specialis-Regelung erfassten Pflichten erforderlich ist. Insbesondere sollten betroffene Unternehmen frühzeitig klären, ob sie der Registrierungspflicht unterfallen, und gegebenenfalls ihre Sicherheitsmaßnahmen auch im Lichte der in §§ 28ff. BSIG-E niedergelegten Mindestsicherheitsanforderungen überprüfen. Letzteres ist schon deshalb angezeigt, weil eine weitgehende inhaltliche Übereinstimmung mit den DORA-Anforderungen zwar wahrscheinlich, aber nicht in jedem Detail gewährleistet ist.

Wie geht es weiter?

Der Gesetzgebungsprozess zum NIS2UmsuCG befindet sich nun im parlamentarischen Verfahren. Änderungen des Anwendungsbereichs, der Pflichten oder der Schwellenwerte sind daher noch möglich. Finanzunternehmen sollten die weitere Entwicklung eng verfolgen, um rechtzeitig auf etwaige neue oder geänderte Verpflichtungen reagieren zu können.

Für Finanzunternehmen, die unter DORA fallen, bedeutet das NIS2UmsuCG keine doppelte Umsetzungspflicht im Bereich IKT-Risikomanagement und Incident Reporting.
Dennoch sollten betroffene Unternehmen den Gesetzgebungsprozess aufmerksam verfolgen, da weitere Pflichten bestehen können.

0
0

Josefine Spengler ist Rechtsanwältin und Fachanwältin für IT-Recht im Berliner Büro von Annerton. Sie verfügt über langjährige Inhouse-Erfahrung als Head of Legal und Datenschutzbeauftragte bei einem Payment Service Provider. Als Expertin im IT- und FinTech-Segment berät Josefine Spengler nationale und internationale Mandanten in allen Fragen an der Schnittstelle zwischen Regulierungsrecht und IT-Recht sowie zu Compliance- und AML-Themen. Josefine Spengler ist regelmäßig Referentin bei Veranstaltungen zum IT-Recht und zu regulatorischen Anforderungen an die IT von Finanzunternehmen.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like