NIS2 und DORA: Was Underwriter über die Doppelregulierung wissen müssen

Für den Finanzsektor ist 2026 das Jahr der Doppelregulierung: NIS2 und DORA (Digital Operational Resilience Act) treten gleichzeitig in Kraft. Beide fordern Cybersicherheits-Compliance, aber mit unterschiedlichen Schwerpunkten. Underwriter müssen beide Rahmenwerke verstehen.

NIS2 vs. DORA auf einen Blick

Die Schnittstellen

1. ICT-Risikomanagement

Beide fordern Risikomanagement, aber DORA ist spezifischer:

• NIS2: „Angemessene und verhältnismäßige” Maßnahmen
• DORA: Spezifische Artikel für Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung

2. Vorfallmeldung

Die Zeitleisten unterscheiden sich:

• NIS2: 24 Stunden (Frühwarnung) → 72 Stunden → 30 Tage
• DORA: Sofort (Klassifizierung) → 4 Stunden (ernster Vorfall) → Abschluss

Für Finanzinstitute: Beide Zeitleisten müssen parallel erfüllt werden.

3. Drittanbieter-Management

DORA fordert ein vollständiges Drittanbieterregister mit:

• Vertraglichen Vereinbarungen
• Leistungsindikatoren
• Konzentrationsrisiko-Analyse
• Beendigungsstrategien

NIS2 fordert „Lieferkettensicherheit” allgemein. DARA-Compliance erfüllt in der Regel auch die NIS2-Anforderung.

Was Underwriter prüfen sollten

1. Doppel-Compliance nachweisen — Nicht nur NIS2 oder DORA, sondern beide
2. Meldeverfahren etabliert — Für beide Zeitleisten
3. Drittanbieterregister — Vollständig und aktuell
4. Governance — Beide Rahmenwerke erfordern Vorstandsverantwortung

Positiv für Underwriting

Die Doppelregulierung hat einen Vorteil: Finanzinstitute, die DORA-compliant sind, haben bereits 70-80% der NIS2-Anforderungen erfüllt. Das senkt das Risiko.

Siehe auch unseren DORA-ICT-Risikomanagement-Leitfaden.

Bewerten Sie Finanzsektor-Risiken mit dem Cyber-Risikorechner und nutzen Sie die NIS2-Compliance-Checkliste.