In einem Satz. Zahlungsdienstleister, E-Geld-Institute und FinTech-Unternehmen unter PSD2/PSD3 fallen vollständig unter DORA (VO (EU) 2022/2554) seit 17. Januar 2025 — mit harmonisierten Anforderungen für ICT-Risikomanagement, 4h-Vorfallsmeldung, digitale Resilienztests und Cloud-Outsourcing — BaFin als zuständige Aufsicht für Deutschland.
DORA trifft die FinTech-Szene besonders, da viele Geschäftsmodelle auf externen Cloud-Diensten basieren. Die parallel geltenden Datenschutzpflichten der Branche behandelt unser Leitfaden zur DSGVO für Banken und Fintechs. Siehe ergänzend DORA Versicherer und NIS2 Deutschland.
Wichtige Punkte
- Geltung seit 17.01.2025 für alle EU-Zahlungsdienstleister.
- 4h-Frist für Major Incident Reporting.
- Cloud-Outsourcing-Klauseln verpflichtend.
- TIBER-EU für signifikante Institute.
- Bußgelder bis 1% Konzernumsatz.
1. Geltungsbereich FinTech
| Akteur | DORA-Pflicht |
|---|---|
| Zahlungsinstitute PSD2 | Voll |
| E-Geld-Institute | Voll |
| Kryptodienstleister MiCA | Voll |
| Banklizenz-Inhaber | Voll |
| Reine SaaS-FinTechs ohne Lizenz | ggf. als ICT-Drittpartei |
2. PSD2/PSD3-Bezug
- Open Banking APIs unter DORA-Resilienz-Anforderungen.
- Starke Kundenauthentifizierung (SCA) als Teil der ICT-Maßnahmen.
- Fraud-Reporting separat über PSD2.
- DORA harmonisiert ICT-Reporting.
3. ICT-Risikomanagement
- Genehmigung durch Vorstand.
- Identifikation kritischer Assets.
- Annual Risk Assessment.
- Maßnahmenpläne.
- Audit-Trail.
4. Cloud-Abhängigkeit FinTech
Typische Stack:
- AWS/Azure für Compute.
- Stripe/Adyen für Payment-Processing.
- Twilio/Plivo für Kommunikation.
- Datadog/New Relic für Monitoring.
- Auth0/Okta für Identity.
Jede dieser Drittparteien = DORA-relevantes Register.
5. Vorfallsmeldung
| Vorfall | Frist | Adressat |
|---|---|---|
| Major Incident Initial | 4 Stunden | BaFin |
| Zwischenbericht | 72 Stunden | BaFin |
| Abschlussbericht | 1 Monat | BaFin |
Major Incident = > 10.000 Kunden betroffen, Umsatzausfall > 30 Min., signifikante Datenverletzung.
6. ICT-Drittparteien-Register
- Vollständige Liste aller ICT-Dienstleister.
- Klassifikation kritisch / nicht-kritisch.
- Vertragsstatus.
- Compliance-Status (SOC 2, ISO 27001).
- Konzentrationsrisiko.
7. Vertragspflichten Drittparteien
- Audit-Rechte.
- Subkontraktor-Information.
- Service Level Agreements.
- Notfall-Pläne.
- Exit-Strategie.
- Daten-Lokationen.
- Sicherheitsstandards.
8. Resilienztests
- Basic: jährlich (VA, Pentest, Code Review).
- Advanced (TIBER-EU): nur signifikante Institute, alle 3 Jahre.
- Berichterstattung an BaFin.
9. Aufsicht durch BaFin
- Eigenes DORA-Referat.
- Vor-Ort-Prüfungen.
- Anordnungen zur Beseitigung Mängel.
- Bußgelder.
- Lizenzentzug bei systematischen Verstößen.
10. Praktische Herausforderungen FinTech
- Start-ups mit kleinen Compliance-Teams.
- Hohe Cloud-Abhängigkeit ohne Exit-Strategien.
- Schnelle Produktentwicklung vs. Risikomanagement.
- Konzentrationsrisiko bei AWS/Azure.
- Limited Audit-Rechte bei hyperscalern.
11. Tool-Unterstützung
Legiscope automatisiert ICT-Asset-Register, Drittparteien-Tracking und Vorfallsmeldung für FinTech-Unternehmen.
11. Konkrete Pflichten und Deadlines
| Pflicht | Frist / Schwellenwert | Rechtsgrundlage |
|---|---|---|
| Registrierungspflicht beim BSI | bis 17.4.2025 bzw. 3 Monate nach Identifizierung | § 32 NIS2UmsuCG |
| Erstmeldung Incident | binnen 24 h | § 35 NIS2UmsuCG |
| Zwischenbericht | binnen 72 h | § 35 NIS2UmsuCG |
| Abschlussbericht | binnen 1 Monat | § 35 NIS2UmsuCG |
| Risikomanagement implementiert | sofort wirksam | § 30 NIS2UmsuCG |
| Geschäftsleitungs-Schulung | jährlich | § 38 NIS2UmsuCG |
| Lieferanten-Risikobewertung | jährlich | § 30 NIS2UmsuCG |
| Audit / Nachweis | alle 2 Jahre | § 39 NIS2UmsuCG |
KRITIS-Sektoren mit niedrigeren Schwellenwerten (Energie, Wasser, Gesundheit, Finanz, ITK) sind zusätzlich dem BSI-Gesetz § 8a unterworfen.
12. KRITIS-Schwellenwerte
Nach BSI-KritisV (zuletzt geändert 2025):
- Energie: Stromerzeugung > 420 MW; Gasnetz > 5,2 Mrd. kWh/Jahr.
- Wasser: > 22 Mio. m³/Jahr Trinkwasser oder > 500.000 Einwohner.
- Gesundheit: Krankenhäuser > 30.000 vollstationäre Fälle/Jahr.
- Finanz: Banken > 80 Mrd. € Bilanzsumme oder Zahlungsverkehr.
- ITK: > 100.000 Teilnehmer Telekommunikation; > 25 Mio. Domains DNS.
- Transport: Flughäfen > 20 Mio. Passagiere; Häfen > 100 Mio. t.
Unterhalb der KRITIS-Schwellen kann NIS2 trotzdem greifen, wenn Einrichtung als “wesentlich” oder “wichtig” nach Anhang I/II NIS2-Richtlinie eingestuft ist.
13. Sanktionstiere
| Verstoß | Sanktion wesentliche Einrichtung | Sanktion wichtige Einrichtung |
|---|---|---|
| Risikomanagement | bis 10 Mio. € oder 2 % Konzernumsatz | bis 7 Mio. € oder 1,4 % |
| Meldepflicht | bis 10 Mio. € oder 2 % | bis 7 Mio. € oder 1,4 % |
| Registrierungspflicht | bis 100.000 € | bis 100.000 € |
| Verletzung Audit-Pflicht | bis 5 Mio. € | bis 3 Mio. € |
| Persönliche Haftung Geschäftsleitung | ja (§ 38) | ja |
Zusätzlich kann das BSI Anordnungen erlassen, Tätigkeitsverbote aussprechen und Zertifizierungen widerrufen.
14. BSI-Leitfäden und BaFin-Guidance
Relevante Dokumente:
- BSI Orientierungshilfe zur Umsetzung NIS2 (Stand 2025).
- BSI IT-Grundschutz-Kompendium, Edition 2024.
- BSI Cyber-Sicherheits-Check für Geschäftsleitung.
- BSI Handlungsempfehlungen für die Lieferkette (Supply Chain Security).
- BaFin Merkblatt zu DORA für Finanzinstitute.
- BaFin BAIT/VAIT/KAIT (sektorale Aufsichtsanforderungen).
- ENISA Guidelines on Cybersecurity Risk Management (EU-Ebene).
Wer ISO 27001 oder BSI-Grundschutz bereits implementiert hat, kann diese als Nachweis verwenden.
15. Integration mit bestehenden Standards
NIS2-Umsetzung ist effizienter, wenn vorhandene Standards integriert werden:
- ISO 27001:2022 → ca. 80 % NIS2-Abdeckung.
- BSI IT-Grundschutz Standard-Absicherung → ca. 85 %.
- ISO 22301 (BCM) → ergänzt Resilienz-Anforderungen.
- ISO 27701 (PIMS) → Schnittstelle zu DSGVO.
- TISAX → für Automotive-Lieferanten.
Mapping-Tabellen reduzieren Dokumentations-Aufwand erheblich. Audit-Kombination ISO 27001 + NIS2-Nachweis ist Standardpraxis.
16. Supply-Chain-Implikationen
NIS2 fordert in § 30 explizit Lieferketten-Risikomanagement. Praktische Umsetzung:
- Lieferanteninventar mit Kritikalitäts-Einstufung (A/B/C-Klassen).
- Vertragsklauseln zu Cybersecurity-Mindestanforderungen.
- Audit-Recht bei kritischen Lieferanten.
- Notfall-Übungen mit Schlüssel-Lieferanten.
- Backup-Lieferanten für KRITIS-Funktionen.
- Pflicht zur Meldung von Vorfällen beim Lieferanten innerhalb von 24-72 h.
- Sub-Lieferanten-Transparenz (n-tier visibility).
Kleine Zulieferer geraten dadurch unter indirekten NIS2-Druck — viele KMU werden in 2026 zertifizierungspflichtig durch Kundenverträge.
17. Sektor-spezifische Beispiele
| Sektor | Typischer Anwendungsfall NIS2 | Pflichtige Akteure |
|---|---|---|
| Energie | Smart-Meter-Gateway, Leitstellen | Stadtwerke, Übertragungsnetzbetreiber |
| Wasser | SCADA-Steuerungen, Aufbereitung | Wasserwerke, Abwasser |
| Gesundheit | KIS, PACS, Telematik-Infrastruktur | Krankenhäuser, Praxisnetze |
| Finanz | Core-Banking, Online-Banking | Banken, Zahlungsdienstleister |
| ITK | DNS, Cloud, Rechenzentren | Hoster, Telco, ISPs |
| Transport | Logistik-IT, Buchungssysteme | Bahn, Häfen, Flughäfen |
| Verwaltung | Bürgerportale, ELSTER | Bund, Länder, Kommunen |
| Lebensmittel | Lieferketten-IT | Großhandel, Produktion |
Pflichtige Akteure sollten zusätzlich DSGVO Art. 32 Sicherheit und Datenpannenmeldung (Datenpanne melden) kohärent integrieren.
Fazit
DORA ist für FinTechs eine Verschärfung — vor allem wegen Drittparteien-Pflichten und 4h-Meldefrist. Mit dokumentiertem Risikomanagement, klaren Exit-Strategien und vorbereiteten Meldevorlagen ist Compliance erreichbar. BaFin prüft aktiv.
FAQ
Welche FinTechs fallen unter DORA?
Alle mit Banklizenz, Zahlungsinstituts- oder E-Geld-Lizenz; auch Krypto-Dienstleister unter MiCA. Reine SaaS-FinTechs als ICT-Drittpartei betroffen.
Was ist 4h-Frist?
Major Incident Initial-Meldung an BaFin muss binnen 4 Stunden nach Klassifikation erfolgen.
Brauche ich Cloud-Exit-Strategie?
Ja für kritische Provider. AWS/Azure-Exit-Plan muss dokumentiert sein, auch wenn Wechsel praktisch schwer.
Was ist Konzentrationsrisiko?
DORA verlangt Bewertung, wie viele kritische Services bei einem einzigen Anbieter konzentriert sind — Multi-Cloud-Strategie als Mitigation.
Welche Bußgelder?
Bis 1% des weltweiten Konzernumsatzes; bei systematischen Verstößen Lizenzentzug möglich.
Welche Sanktionen drohen Geschäftsführern persönlich?
§ 38 NIS2UmsuCG sieht persönliche Haftung der Geschäftsleitung vor — bei Verletzung der Sorgfaltspflichten haftet die Person mit ihrem Privatvermögen für Schäden des Unternehmens. Zusätzlich: Tätigkeitsverbote durch das BSI (§ 39 NIS2UmsuCG). D&O-Versicherungen decken NIS2-Haftung nur eingeschränkt — explizite Cyber-Klausel erforderlich. Pflichtschulung jährlich (§ 38) ist nicht delegierbar.
Wie unterscheiden sich wesentliche und wichtige Einrichtungen?
Wesentliche Einrichtungen (Anhang I NIS2): KRITIS-Sektoren mit hoher Kritikalität — strengere Aufsicht, höhere Sanktionen (bis 10 Mio. € / 2 % Konzernumsatz). Wichtige Einrichtungen (Anhang II): mittlere Kritikalität — reaktive Aufsicht, Sanktionen bis 7 Mio. € / 1,4 %. Größenschwelle: > 250 Mitarbeitende oder > 50 Mio. € Umsatz oder > 43 Mio. € Bilanzsumme. Einstufung obliegt dem BSI nach §§ 28-29 NIS2UmsuCG.
Wie integriere ich NIS2 mit DORA und DSGVO?
DORA (EU-VO 2022/2554) gilt für Finanzsektor und ist lex specialis gegenüber NIS2 — Finanzinstitute brauchen DORA-Compliance, dürfen aber NIS2-Maßnahmen anrechnen. DSGVO Art. 32 fordert TOM, NIS2 fordert Cyber-Sicherheit insgesamt — Überschneidung > 60 %. Beste Praxis: ein integriertes ISMS nach ISO 27001 / BSI-Grundschutz, das alle drei Regelwerke abdeckt.
Welche Meldewege bestehen beim BSI?
Online-Portal “Meldungen” auf bsi.bund.de mit BSI-MeldeAPI. Pflicht: Erstmeldung 24 h (kurze Faktenmeldung), Zwischenbericht 72 h (Ursachen, Auswirkungen), Abschlussbericht 1 Monat (Lessons Learned, Maßnahmen). Bei gleichzeitiger Datenpanne (Datenpanne melden): zusätzlich Meldung an Datenschutzbehörde. Doppelmeldungen sind häufig — getrennte Workflows einrichten.
Wie hoch sind die Implementierungskosten?
Mittleres Unternehmen (250-500 MA): Erstimplementierung 200.000-500.000 €, jährlich 80.000-200.000 €. Großbetrieb (> 5.000 MA): 1-5 Mio. € Erstaufwand, 500.000-2 Mio. € jährlich. Wer ISO 27001 hat, spart 60-70 %. Investitionen amortisieren sich typisch nach 2-3 Jahren über reduzierte Vorfallskosten und niedrigere Versicherungsprämien (10-20 % Rabatt).
Siehe auch: Die passende technische Umsetzung behandelt unser Vergleich der DORA-Compliance-Software.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial