Neue Regelungen, neue Pflichten – mit NIS-2 und DORA sind die Anforderungen an Zahlungsdienstleister im IT-Aufsichtsrecht gestiegen. Damit Sie den Überblick behalten und auf dem neuesten Stand bleiben, haben wir unseren Blogbeitrag an alle Neuerungen angepasst und die wichtigsten Vorschriften für Sie in einem Schaubild zusammengefasst.
Digitale Resilienz: Neue EU-Regeln für kritische Infrastruktur
In den vergangenen drei Jahren hat die Europäische Union mehrere Rechtsakte auf den Weg gebracht, die den Schutz kritischer Infrastrukturen stärken sollen.
Die Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) verpflichtet die EU-Mitgliedstaaten, Organisationen und Einrichtungen von wesentlicher Bedeutung für das staatliche Gemeinwesen zu identifizieren und Maßnahmen zu ergreifen, um diese vor Bedrohungen zu schützen. Auf dem Gebiet der digitalen Resilienz legt die Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2) das Grundniveau für Risikomanagementmaßnahmen und Berichtspflichten fest.
Deutschland wird die Richtlinien mit dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG) und dem geplanten KRITIS-Dachgesetz umsetzen. Änderungen im BSIG und die Abschaffung der BSI-KritisV sind bereits angekündigt.
DORA: Anforderungen an das IKT-Risikomanagement im Finanzsektor
Das aufsichtsrechtliche Fundament zur Stärkung der digitalen operationalen Resilienz im europäischen Finanzsektor bildet DORA – der Digital Operational Resilience Act der Europäischen Union. DORA soll den Finanzsektor gegenüber Cyberbedrohungen und Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT) stärken.
Unter DORA sind Zahlungsdienstleister unter anderem dazu verpflichtet, den Behörden IKT-Vorfälle zu melden, ein detailliertes Informationsregister über alle Verträge mit IKT-Drittdienstleistern zu führen und ein risikobasiertes, proportionales Testprogramm zu etablieren, das Gap-Analysen, szenariobasierte Tests oder Penetrationstest umfasst.
Die DORA-Verordnung (EU) 2022/2554 ist in Deutschland seit dem 17. Januar 2025 unmittelbar anwendbares Recht.
Durchführungsstandards, Leitlinien und Hinweise
Finanzdienstleister müssen aber nicht nur die europäischen Basisrechtsakte und das nationale Recht im Blick behalten: Die EU-Kommission hat mit den sogenannten Regulatory Technical Standards (RTS) und Implementing Technical Standards (IST) zahlreiche nachgeordnete Rechtsakte erlassen, welche die gesetzlichen Anforderungen an die digitale Resilienz bindend konkretisieren.
Prozesse anpassen, Systeme prüfen, Nachweise dokumentieren: Die Anforderungen von DORA sind vielfältig, die Umsetzung erfordert Durchblick und Struktur.
Der Annerton DORA-Monitor begleitet Sie auf dem Weg zur digitalen Resilienz: Wir fassen für Sie Entwicklungen und Praxistipps kompakt zusammen.
📥 Erste Ausgabe jetzt kostenfrei herunterladen – Und gleich in den Verteiler eintragen, um bei jeder neuen Ausgabe automatisch per E-Mail informiert zu werden. So bleiben Sie sicher durch den DORA-Dschungel begleitet.
Darüber hinaus sollten Zahlungsdienstleister auch die Leitlinien, Mitteilungen und Hinweise der europäischen Aufsichtsbehörden und der BaFin kennen, die praxisnahe Hilfestellungen bei der Auslegung und Anwendung des Gesetzes bieten.
Überblick behalten – mit unserem Schaubild
Damit Sie den Überblick behalten, haben wir Ihnen die wichtigsten Rechtsquellen und Auslegungshilfen in einem interaktiven Schaubild zum Downloaden zusammengestellt. Dort finden Sie alle relevanten Vorschriften im IT-Aufsichtsrecht auf einen Blick – mit Link zum Originaltext. So haben Sie die wichtigsten Anforderungen immer griffbereit.
Für einen Rundumblick haben wir Ihnen auch Schaubilder zu den Rechtsquellen erstellt, die Zahlungsdienstleister im Geldwäscherecht und im Zahlungsdiensteaufsichtsrecht auf dem Schirm haben sollten.
Dieser Beitrag wurde am 25.6.2025 aktualisiert.
