IT & Cyber

Digitale Regulierung & Cyber Resilience

DORA, Cyber Resilience Act, NIS2, BAIT/VAIT/KAIT/ZAIT und TIBER-DE — der regulatorische Rahmen für digitale Betriebsstabilität und Cyber-Sicherheit im Finanzsektor.

DORA — Digital Operational Resilience Act

Seit 17.01.2025

Die Verordnung (EU) 2022/2554 ist seit dem 17. Januar 2025 vollständig anwendbar und gilt unmittelbar in allen EU-Mitgliedstaaten. Sie schafft einen einheitlichen Rahmen für das IKT-Risikomanagement und die digitale Betriebsstabilität von Finanzunternehmen — und ersetzt bzw. ergänzt bisherige nationale Regelungen (z.B. BAIT) für den IKT-Bereich.

Kapitel II
IKT-Risikomanagement

IKT-Governance, Risikostrategie, Schutz- und Präventionsmaßnahmen, Erkennung, Reaktion und Wiederherstellung. Anforderungen an das IKT-Rahmenwerk (Art. 5–16 DORA).

Kapitel III
IKT-Incident Management

Klassifizierung, Meldung und Nachverfolgung von IKT-Vorfällen. Meldepflichten gegenüber Aufsichtsbehörden für schwerwiegende Vorfälle (Art. 17–23 DORA).

Kapitel IV
Resilienztests (TLPT)

Threat-Led Penetration Testing (TLPT) für bedeutende Institute — mindestens alle drei Jahre. Basiert auf dem TIBER-EU-Rahmen. Koordination durch die zuständige Behörde (Art. 24–27 DORA).

Kapitel V
IKT-Drittparteienrisiko

Anforderungen an Verträge mit IKT-Drittanbietern, Überwachung kritischer IKT-Dienstleister durch die Aufsicht (Oversight Framework). Neue Kategorie: Critical Third-Party Providers (CTPP) (Art. 28–44 DORA).

DORA-Verordnungstext (EUR-Lex)

Cyber Resilience Act (CRA)

EU 2024/2847

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) richtet sich primär an Hersteller und Anbieter von Produkten mit digitalen Elementen (Hard- und Software). Für Banken ist er ein wichtiges Zulieferer-Thema: Produkte und Komponenten, die Kreditinstitute in ihrer IT-Infrastruktur einsetzen, müssen die CRA-Anforderungen erfüllen.

Relevanz für Banken: Anforderungen an eingesetzte Softwareprodukte, IoT-Geräte und Netzwerkkomponenten — Lieferantenmanagement und Due-Diligence-Pflichten werden erweitert
Schnittstelle zu DORA: Der CRA ergänzt DORA auf Produktebene. DORA regelt das IKT-Risikomanagement der Finanzunternehmen; der CRA setzt Anforderungen an die Produkte, die diese einsetzen

Anwendbarkeit: Stufenweise bis 2027. Marktüberwachung durch nationale Behörden (in DE: BSI).

NIS2 — Netz- und Informationssicherheitsrichtlinie

Die NIS2-Richtlinie (EU) 2022/2555 wurde in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Kreditinstitute sind als „wichtige Einrichtungen" (Anhang I NIS2) erfasst und unterliegen damit erhöhten Sicherheitsanforderungen und Meldepflichten.

Risikomanagement: Technische und organisatorische Maßnahmen zur Cybersicherheit (§ 30 BSIG-neu)
Meldepflichten: Erhebliche Vorfälle binnen 24h (Frühwarnung) und 72h (Meldung) an BSI
Haftung: Persönliche Haftung der Geschäftsleitung bei Pflichtverletzung

Verhältnis zu DORA: Für Finanzunternehmen gilt DORA als lex specialis gegenüber NIS2 (Art. 4 NIS2). Wo DORA spezifischere Anforderungen enthält, verdrängt es NIS2.

BAIT · VAIT · KAIT · ZAIT

Die BaFin-Orientierungshilfen konkretisieren die IT-Anforderungen aus § 25a KWG bzw. den sektorspezifischen Gesetzen für verschiedene Institutstypen. Mit Inkrafttreten von DORA werden die IKT-bezogenen Teile durch DORA überlagert; die nationalen Rundschreiben behalten jedoch Relevanz für nicht von DORA erfasste Bereiche.

RS 10/2017, akt. 2021
BAIT — Bankaufsichtliche Anforderungen an die IT

Für Kreditinstitute (§ 25a KWG). Anforderungen an IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte und Anwendungsentwicklung sowie IT-Betrieb.

RS 10/2018, akt. 2021
VAIT — Versicherungsaufsichtliche Anforderungen an die IT

Pendant zur BAIT für Versicherungsunternehmen. Strukturell analog zur BAIT, angepasst an die Besonderheiten des Versicherungssektors (§ 23 VAG).

RS 07/2020
KAIT — Kapitalverwaltungsaufsichtliche Anforderungen an die IT

Für Kapitalverwaltungsgesellschaften (§ 28 KAGB). Entspricht inhaltlich weitgehend der BAIT, berücksichtigt aber die spezifischen Risiken von KVGen und Investmentvermögen.

RS 04/2022
ZAIT — Zahlungsdiensteaufsichtliche Anforderungen an die IT

Für Zahlungsinstitute und E-Geld-Institute (§ 27 ZAG). Berücksichtigt die besonderen Anforderungen aus PSD2 und den EBA-Leitlinien zu Sicherheitsmaßnahmen für Zahlungsdienste.

TIBER-DE

TIBER-DE (Threat Intelligence-based Ethical Red Teaming) ist das deutsche Implementierungsframework des europäischen TIBER-EU-Rahmenwerks der EZB. Es ermöglicht kontrollierten, geheimdienstgestützten Angriffssimulationen (Red-Team-Tests) auf kritische Live-Systeme systemrelevanter Finanzinstitute.

TIBER-DE-Tests sind die Referenzimplementierung für die DORA-Anforderungen an Threat-Led Penetration Testing (TLPT, Art. 26 DORA). Koordiniert wird das Programm von der Deutschen Bundesbank und der BaFin.

Phase 1: Vorbereitung — Scope-Festlegung, Behördenkoordination
Phase 2: Test — Threat Intelligence, Red-Team-Angriff auf Livesysteme
Phase 3: Abschluss — Ergebnisbericht, Remediation-Plan, Attestierung

Zusammenspiel der Regelwerke

RegelwerkAdressatThemaVerhältnis zu DORA
DORAFinanzunternehmen (EU)IKT-Risiko, Incident, TLPT, DrittparteienLex specialis
CRAProdukt-/SoftwareherstellerProduktsicherheit digitaler ProdukteErgänzend (Zuliefererkette)
NIS2Wichtige/wesentliche EinrichtungenNetz- und InformationssicherheitDORA verdrängt NIS2 (lex specialis)
BAITKreditinstitute (DE)IT-Governance, -Betrieb, -SicherheitÜberlagert durch DORA (IKT-Bereiche)
TIBER-DESystemrelevante Institute (DE)Red-Team-TestsUmsetzung DORA Art. 26 (TLPT)
MaRisk AT 7.2Kreditinstitute (DE)Notfallmanagement / BCMErgänzend zu DORA (nicht ersetzt)