Wir setzen DORA um. Müssen wir NIS-2 noch separat angehen?

DORA hat als sektor-spezifisches Recht weitgehend Vorrang. Wer DORA-konform ist, hat NIS-2-Pflichten in den meisten Aspekten bereits abgedeckt. Es bleiben Schnittstellen: BSI-Meldepflichten für reine Cyber-Vorfälle, manche Lieferketten-Aspekte, NIS-2-spezifische Geschäftsführungs-Nachweise. Die Cybervize-Plattform mappt beide Regelwerke aus einem Kontroll-Set.

Was sind die 19 EBA-Pflichtfelder im Vertragsregister?

EBA/CP/2025/12 ist ein Konsultationspapier (Entwurf) und skizziert 19 Felder, darunter: Eindeutige Vertragsnummer, Funktion, Kritikalität, Datenflüsse, Datenstandort, Subunternehmer-Identität, vertragliche SLA, Kündigungsmodalitäten, Exit-Strategie. Die Cybervize-Plattform enthält ein vorbereitetes Auslagerungsregister mit allen 19 Feldern und KI-Unterstützung bei der Vertragsanalyse. Anpassung an die finale EBA-Fassung ohne Re-Engineering.

Wie behandeln wir BAIT und MaRisk im Verhältnis zu NIS-2?

BAIT und MaRisk sind aufsichtsrechtliche Erwartungen der BaFin, kein Gesetz im strengen Sinn. Sie konkretisieren MaRisk-Grundsätze und gelten für Banken und Versicherungen. NIS-2 ist gesetzliche Pflicht. In der Praxis überlappen sie stark mit DORA und NIS-2. Wer ein modernes ISMS hat, deckt alle vier weitgehend ab.

Wie schnell bekommen wir das Auslagerungsregister BaFin-fertig?

Wenn die Verträge digital vorliegen, typisch 4 bis 8 Wochen bis zum prüffähigen Register. Die KI-gestützte Vertragsanalyse extrahiert die EBA-Pflichtfelder weitgehend automatisch, Compliance-Team kontrolliert und ergänzt. Manuelle Erfassung dauert deutlich länger.

Was kostet das für eine mittelgroße Bank?

Plattform-Lizenz für eine Bank mittlerer Größe (etwa 500 Mitarbeitende) ab niedrigem fünfstelligen Bereich pro Jahr, plus Einführungsprojekt mit Senior-CISO-Begleitung. Genaue Indikation auf Anfrage, da Konzern-Pricing projektbezogen ist. Der Risiko-Check liefert eine erste Aufwandsschätzung.

NIS-2 und DORA für Finanzdienstleister

Anhang I. Plus DORA. Plus BAIT. Plus MaRisk. Auf einer Plattform.

Anhang I des NIS2UmsuCG erfasst Bankwesen und Finanzmärkte als wesentliche Einrichtungen. Seit dem 17. Januar 2025 gilt zusätzlich DORA. BAIT und MaRisk bleiben. Die Cybervize-Plattform deckt ISMS, TPRM nach EBA und Aufsichts-Reporting in einer Lösung ab, mit gemeinsamem Kontroll-Mapping.

NIS-2-Risiko-Check buchen

Cybervize-Plattform Reifegrad-Report nach ISO 27001 als Beleg branchenuebergreifender Beratungskompetenz

Was NIS-2, DORA und BAIT zusammen für Finanzdienstleister bedeuten

Banken, Versicherer und Zahlungsdienstleister fallen unter NIS-2-Anhang I als „besonders wichtige Einrichtung"; für regulierte Finanzunternehmen geht jedoch DORA als sektor-spezifisches Recht (lex specialis) in den meisten Punkten vor. Vier Konsequenzen aus dieser Mehrfach-Regulierung für Banken, Versicherungen und regulierte Finanzdienstleister. Sektor allein reicht nicht: Ob DORA, NIS-2 oder beides gilt, hängt von Unternehmensart, Größenwerten und konkreter Tätigkeit ab. Die rechtliche Einordnung bleibt einer spezialisierten Kanzlei vorbehalten.

01 · Scope

DORA hat Priorität als Lex specialis

Wer unter DORA fällt, ist auf dem Finanzsektor sektor-spezifisch reguliert. NIS-2 tritt zurück, wo DORA gleichwertig oder strenger regelt. Praktisch: Wer DORA umsetzt, hat NIS-2 weitgehend bereits abgedeckt.

02 · Scope

Anhang I auch ohne DORA-Scope

Nicht jeder Finanzdienstleister fällt unter DORA. Einige bleiben rein im NIS-2-Scope (z. B. bestimmte Zahlungsdienstleister). Die Cybervize-Plattform bedient beide aus einem Kontroll-Mapping, sodass die Compliance-Berichterstattung nicht doppelt geführt werden muss.

03 · Scope

TPRM nach EBA mit 19 Pflichtfeldern

Das EBA-Konsultationspapier CP/2025/12 (Entwurf, nicht final) skizziert ein Vertragsregister mit 19 Pflichtfeldern, Subunternehmer-Ketten, dokumentierter Due-Diligence, Konzentrationsrisiko und Exit-Strategien. Cybervize bereitet das Register so vor, dass es ohne Re-Engineering an die finale Fassung der EBA-Outsourcing-Anforderungen anpassbar bleibt. Auslagerungsregister auf Knopfdruck für BaFin-Anfragen.

04 · Scope

Aufsichts-Reporting an BaFin und BSI parallel

Cybersicherheits-Vorfälle gehen ans BSI nach NIS-2-Fristen. Operative IKT-Vorfälle gehen unter DORA an die BaFin. Plus BAIT- und MaRisk-Berichtspflichten. Die Reporting-Logik braucht klare Triage am Vorfall-Anfang.

Fünf Mindestmaßnahmen am Finanzdienstleister-Beispiel

Fünf NIS-2-Mindestmaßnahmen nach §30, übersetzt in die Finanzbranche.

Risikoanalyse für IKT-Systeme und Auslagerungen

Risiko-Register mit Geschäfts-Prozessen, IT-Anwendungen, kritischen IKT-Dienstleistern. Konzentrationsrisiko bei Cloud-Anbietern dokumentiert, plus Bewertung der Subunternehmer-Ketten.

Sicherheit in der Lieferkette mit EBA-Pflichtfeldern

Vertragsregister entlang EBA/CP/2025/12 (Entwurf) mit 19 Feldern, KI-gestützte Vertragsanalyse zur Lückenfindung, dokumentierte Exit-Strategien für kritische Auslagerungen. Auslagerungs-Audit-Pfade vorbereitet, anpassbar an die finale EBA-Fassung.

Reaktion auf Sicherheitsvorfälle, mehrgleisig

Incident-Klassifizierung: Cyber-Vorfall (BSI), operativer IKT-Vorfall (BaFin/DORA), Schaden für Kundinnen (BaFin/MaRisk). Triage-Prozess am Vorfall-Anfang dokumentiert.

Resilience-Tests nach DORA Artikel 24-27

Erweiterte Resilience-Tests, periodisch durchgeführt, mit Threat-Led-Penetration-Tests für signifikante Finanzdienstleister. Test-Ergebnisse in der Plattform dokumentiert, mit Maßnahmen-Tracking.

Geschäftsfortführungs- und Wiederherstellungspläne

Business-Continuity- und Disaster-Recovery-Pläne, BIA nach kritischen Funktionen, RTO/RPO auf Geschäfts-Prozess-Ebene. Inkl. Test-Dokumentation für die Aufsicht.

Cybervize-Bausteine für Finanzdienstleister

Die Cybervize-Plattform bedient ISMS, BCM, TPRM nach EBA und Assessment aus einer Datenbasis. Für Finanzdienstleister besonders relevant: TPRM-Modul, Konzern-Reporting, Auslagerungsregister.

Service 01

NIS-2-Risiko-Check

Kostenloses 30-Minuten-Erstgespräch mit indikativer NIS-2-Einordnung, Top-5-Lücken und Pfad-Empfehlung.

Mehr erfahren Service 02

Cybervize-Plattform

ISMS, Compliance und Nachweisführung aus einer Plattform. Multi-Entity, Multi-Country, KI-gestützt.

Mehr erfahren Service 03

Virtual CISO

Plattform plus dauerhafte CISO-Funktion. Für Häuser ohne eigenen CISO.

Mehr erfahren Service 04

NIS-2-Einführungsprojekt

Gap-Assessment, Roadmap, Implementierung über die Plattform. Festpreis ab 4.500 Euro.

Mehr erfahren

Selbst-Check verfügbar

NIS-2-Reifegrad-Check: 30 Fragen, 10 Pflichtbereiche aus §30 BSIG, Sofort-Ampel

Kostenfrei, ohne Anmeldung, etwa 5 Minuten. Detail-Auswertung optional per Email.

Check starten

Warum Cybervize im Finanzsektor glaubhaft ist

Branchen-Erfahrung in Finanzdienstleistungen aus 25 Jahren ISMS-Praxis bei PwC, Deloitte und KPMG. Partner- und Director-Mandate bei DAX-Banken und Versicherungen. CISO-Vakanzvertretungen im regulierten Umfeld sind Teil der Methodik.

DORA: IKT-Resilience-Coverage
EBA/2025/12: TPRM-Vertragsregister-konform
BaFin: Aufsichts-Reporting-Vorlagen
DAX-Banken: Big-Four-Mandate

Häufige Fragen aus dem Finanzsektor

DORA-, NIS-2- und BAIT-Lage in 30 Minuten einordnen

Kostenloser Risiko-Check mit indikativer Einordnung zu DORA-Scope, NIS-2-Betroffenheit, EBA-Auslagerungs-Pflichten und Pfad-Empfehlung. Idealerweise dabei: IT-Risikomanagement plus Compliance.

NIS-2-Risiko-Check buchen

Mitgliedschaften, Programme und Partnerschaften

Anhang I. Plus DORA. Plus BAIT. Plus MaRisk. Auf einer Plattform.