DORA trifft KRITIS – neue Sicherheitsregeln für den Finanzsektor im Überblick

Digitale Resilienz im Finanzwesen: zwei Regelwerke, ein Ziel

Finanzunternehmen stehen zunehmend im Zentrum komplexer Bedrohungslagen, die nicht nur durch Cyberangriffe, sondern auch durch Systemausfälle, externe IT-Dienstleister oder geopolitische Krisen verursacht werden können. Um diese Risiken zu beherrschen, wird die Regulierung im Finanzsektor neu aufgestellt. Dabei rücken zwei zentrale Instrumente in den Fokus: die europäische DORA-Verordnung (Digital Operational Resilience Act) und das geplante deutsche KRITIS-Dachgesetz.

Beide Regelwerke verfolgen das Ziel, die Widerstandsfähigkeit digitaler Infrastrukturen im Finanzwesen zu erhöhen. Während DORA europaweit einheitliche Mindeststandards für alle regulierten Finanzunternehmen schafft, adressiert das KRITIS-Dachgesetz speziell diejenigen Institute in Deutschland, die aufgrund ihrer Relevanz zur kritischen Infrastruktur zählen. Die Herausforderungen für betroffene Unternehmen sind: Doppelregulierung vermeiden, Zuständigkeiten klären und Anforderungen effizient umsetzen.

Was DORA konkret regelt

Die DORA-Verordnung (EU 2022/2554) ist seit Januar 2023 in Kraft und muss ab dem 17. Januar 2025 verpflichtend angewendet werden. Sie richtet sich an ein breites Spektrum von Finanzunternehmen, darunter Banken, Zahlungsinstitute, Versicherer, Wertpapierfirmen und FinTechs. Neu ist, dass auch IT-Dienstleister, die mit diesen Institutionen zusammenarbeiten, in den regulatorischen Fokus geraten.

Kernanliegen von DORA ist die digitale operationale Resilienz. Dazu gehören Anforderungen an das Risikomanagement von Informations- und Kommunikationstechnologien (IKT), an Tests zur Cyberresilienz, an Vorfallmeldungen, die Überwachung von Drittanbietern sowie die Einrichtung von Krisenplänen. Das Ziel besteht darin, einen ganzheitlichen Schutz vor IKT-bezogenen Risiken – sowohl auf organisatorischer als auch auf technischer Ebene – zu gewährleisten.

Das KRITIS-Dachgesetz – Ergänzung oder Konflikt?

Parallel zur europäischen Regulierung wird in Deutschland das KRITIS-Dachgesetz vorbereitet. Es basiert auf der europäischen CER-Richtlinie (EU 2022/2557) und soll die physische Resilienz kritischer Infrastrukturen stärken, also Schutzmaßnahmen gegen Sabotage, Naturkatastrophen oder Stromausfälle umfassen. Finanzunternehmen werden in diesem Gesetz dann relevant, wenn sie systemrelevant sind, beispielsweise aufgrund ihrer Größe, Reichweite oder zentralen Bedeutung für die Finanzstabilität.

Während sich DORA ausschließlich mit digitalen Risiken befasst, greift das KRITIS-Dachgesetz breiter. So verlangt es beispielsweise Notfallpläne, Wiederherstellungsstrategien, Standortanalysen und bauliche Schutzmaßnahmen. Beide Gesetze überschneiden sich jedoch in Bezug auf organisatorische Resilienzstrukturen, Lieferkettenüberwachung oder die Meldung signifikanter Vorfälle.

Betroffene Unternehmen müssen ihre bestehenden Systeme daher so gestalten, dass sie beiden Regulierungsansätzen gerecht werden, ohne redundante Prozesse oder widersprüchliche Meldeketten zu schaffen.

FinTechs und Dienstleister: Wer fällt in den Geltungsbereich?

Häufig wird unterschätzt, dass neben Großbanken auch kleinere FinTechs, Kryptodienstleister, Zahlungs-Start-ups sowie technische Anbieter von Cloud-Diensten, API-Plattformen oder Core-Banking-Software betroffen sind. Wer in einem KRITIS-relevanten Segment agiert oder Dienstleistungen für systemrelevante Institute erbringt, rückt automatisch ins Visier der Aufsichtsbehörden – sei es nach DORA, nach KRITIS oder sogar nach beiden Regelwerken gleichzeitig.

Zudem ist vorgesehen, dass bestimmte Anbieter kritischer digitaler Dienste nach DORA direkt überwacht werden – unabhängig davon, ob sie selbst Finanzinstitute sind. Für Dienstleister bedeutet das: Es reicht nicht mehr aus, den Kunden zu versichern, „alles sei sicher“ – sie müssen regulatorisch belastbare Nachweise erbringen können.

Fazit: Harmonisierung ist Pflicht, nicht Kür

DORA und das KRITIS-Dachgesetz sind zwei Seiten derselben Medaille. Sie ergänzen sich in ihren Ansätzen, überschneiden sich aber in der operativen Umsetzung. Für Finanzunternehmen mit KRITIS-Bezug bedeutet dies: Nur wer einheitliche Prozesse aufsetzt, ein zentrales Resilienzmanagement etabliert und die Anforderungen systematisch prüft, wird den steigenden Erwartungen von Aufsichtsbehörden, Kunden und Partnern gerecht.

Dabei lohnt sich auch ein Blick über die eigenen Unternehmensgrenzen hinaus, denn in der engen Verzahnung von Finanz-IT, Cloud-Infrastruktur und Zahlungsdienstleistern entstehen neue Risiken, aber auch neue Chancen zur Absicherung durch gemeinsame Standards. Wer jetzt investiert, profitiert später nicht nur von Compliance, sondern auch von Vertrauen und operativer Stabilität.

Weiterführende Informationen

Offizieller Verordnungstext der DORA-Verordnung (EU 2022/2554)
Zur EU-Verordnung bei EUR-Lex

DORA bei der Europäischen Bankenaufsicht (EBA)
Themenseite bei eba.europa.eu

BaFin-Informationen zur Umsetzung von DORA in Deutschland
Zur Infoseite bei bafin.de

Hintergrund zur KRITIS-Regulierung im Finanzwesen
Bundesministerium des Innern – KRITIS-Finanzsektor

CER-Richtlinie (EU 2022/2557) als Grundlage für das KRITIS-Dachgesetz
Zum Volltext bei EUR-Lex

Warum kritis-info.de?

Kritis-Info.de steht für unabhängige, fundierte und praxisnahe Informationen zum Schutz kritischer Infrastrukturen. Wir unterstützen Betreiber und Verantwortliche mit verlässlichem Wissen und aktuellen Informationen dabei, ihre Sicherheitsanforderungen optimal umzusetzen.