Cybersecurity

DORA Zahlungsdienstleister & FinTech 2026

DORA FinTech 2026: Zahlungsdienstleister, E-Geld-Institute, BaFin, ICT-Pflichten und Meldepflichten im Detail.

In einem Satz. Zahlungsdienstleister, E-Geld-Institute und FinTech-Unternehmen unter PSD2/PSD3 fallen vollständig unter DORA (VO (EU) 2022/2554) seit 17. Januar 2025 — mit harmonisierten Anforderungen für ICT-Risikomanagement, 4h-Vorfallsmeldung, digitale Resilienztests und Cloud-Outsourcing — BaFin als zuständige Aufsicht für Deutschland.

DORA trifft die FinTech-Szene besonders, da viele Geschäftsmodelle auf externen Cloud-Diensten basieren. Die parallel geltenden Datenschutzpflichten der Branche behandelt unser Leitfaden zur DSGVO für Banken und Fintechs. Siehe ergänzend DORA Versicherer und NIS2 Deutschland.

Wichtige Punkte

  • Geltung seit 17.01.2025 für alle EU-Zahlungsdienstleister.
  • 4h-Frist für Major Incident Reporting.
  • Cloud-Outsourcing-Klauseln verpflichtend.
  • TIBER-EU für signifikante Institute.
  • Bußgelder bis 1% Konzernumsatz.

1. Geltungsbereich FinTech

Akteur DORA-Pflicht
Zahlungsinstitute PSD2 Voll
E-Geld-Institute Voll
Kryptodienstleister MiCA Voll
Banklizenz-Inhaber Voll
Reine SaaS-FinTechs ohne Lizenz ggf. als ICT-Drittpartei

2. PSD2/PSD3-Bezug

  • Open Banking APIs unter DORA-Resilienz-Anforderungen.
  • Starke Kundenauthentifizierung (SCA) als Teil der ICT-Maßnahmen.
  • Fraud-Reporting separat über PSD2.
  • DORA harmonisiert ICT-Reporting.

3. ICT-Risikomanagement

  • Genehmigung durch Vorstand.
  • Identifikation kritischer Assets.
  • Annual Risk Assessment.
  • Maßnahmenpläne.
  • Audit-Trail.

4. Cloud-Abhängigkeit FinTech

Typische Stack:

  • AWS/Azure für Compute.
  • Stripe/Adyen für Payment-Processing.
  • Twilio/Plivo für Kommunikation.
  • Datadog/New Relic für Monitoring.
  • Auth0/Okta für Identity.

Jede dieser Drittparteien = DORA-relevantes Register.

5. Vorfallsmeldung

Vorfall Frist Adressat
Major Incident Initial 4 Stunden BaFin
Zwischenbericht 72 Stunden BaFin
Abschlussbericht 1 Monat BaFin

Major Incident = > 10.000 Kunden betroffen, Umsatzausfall > 30 Min., signifikante Datenverletzung.

6. ICT-Drittparteien-Register

  • Vollständige Liste aller ICT-Dienstleister.
  • Klassifikation kritisch / nicht-kritisch.
  • Vertragsstatus.
  • Compliance-Status (SOC 2, ISO 27001).
  • Konzentrationsrisiko.

7. Vertragspflichten Drittparteien

  • Audit-Rechte.
  • Subkontraktor-Information.
  • Service Level Agreements.
  • Notfall-Pläne.
  • Exit-Strategie.
  • Daten-Lokationen.
  • Sicherheitsstandards.

8. Resilienztests

  • Basic: jährlich (VA, Pentest, Code Review).
  • Advanced (TIBER-EU): nur signifikante Institute, alle 3 Jahre.
  • Berichterstattung an BaFin.

9. Aufsicht durch BaFin

  • Eigenes DORA-Referat.
  • Vor-Ort-Prüfungen.
  • Anordnungen zur Beseitigung Mängel.
  • Bußgelder.
  • Lizenzentzug bei systematischen Verstößen.

10. Praktische Herausforderungen FinTech

  • Start-ups mit kleinen Compliance-Teams.
  • Hohe Cloud-Abhängigkeit ohne Exit-Strategien.
  • Schnelle Produktentwicklung vs. Risikomanagement.
  • Konzentrationsrisiko bei AWS/Azure.
  • Limited Audit-Rechte bei hyperscalern.

11. Tool-Unterstützung

Legiscope automatisiert ICT-Asset-Register, Drittparteien-Tracking und Vorfallsmeldung für FinTech-Unternehmen.

11. Konkrete Pflichten und Deadlines

Pflicht Frist / Schwellenwert Rechtsgrundlage
Registrierungspflicht beim BSI bis 17.4.2025 bzw. 3 Monate nach Identifizierung § 32 NIS2UmsuCG
Erstmeldung Incident binnen 24 h § 35 NIS2UmsuCG
Zwischenbericht binnen 72 h § 35 NIS2UmsuCG
Abschlussbericht binnen 1 Monat § 35 NIS2UmsuCG
Risikomanagement implementiert sofort wirksam § 30 NIS2UmsuCG
Geschäftsleitungs-Schulung jährlich § 38 NIS2UmsuCG
Lieferanten-Risikobewertung jährlich § 30 NIS2UmsuCG
Audit / Nachweis alle 2 Jahre § 39 NIS2UmsuCG

KRITIS-Sektoren mit niedrigeren Schwellenwerten (Energie, Wasser, Gesundheit, Finanz, ITK) sind zusätzlich dem BSI-Gesetz § 8a unterworfen.

12. KRITIS-Schwellenwerte

Nach BSI-KritisV (zuletzt geändert 2025):

  • Energie: Stromerzeugung > 420 MW; Gasnetz > 5,2 Mrd. kWh/Jahr.
  • Wasser: > 22 Mio. m³/Jahr Trinkwasser oder > 500.000 Einwohner.
  • Gesundheit: Krankenhäuser > 30.000 vollstationäre Fälle/Jahr.
  • Finanz: Banken > 80 Mrd. € Bilanzsumme oder Zahlungsverkehr.
  • ITK: > 100.000 Teilnehmer Telekommunikation; > 25 Mio. Domains DNS.
  • Transport: Flughäfen > 20 Mio. Passagiere; Häfen > 100 Mio. t.

Unterhalb der KRITIS-Schwellen kann NIS2 trotzdem greifen, wenn Einrichtung als “wesentlich” oder “wichtig” nach Anhang I/II NIS2-Richtlinie eingestuft ist.

13. Sanktionstiere

Verstoß Sanktion wesentliche Einrichtung Sanktion wichtige Einrichtung
Risikomanagement bis 10 Mio. € oder 2 % Konzernumsatz bis 7 Mio. € oder 1,4 %
Meldepflicht bis 10 Mio. € oder 2 % bis 7 Mio. € oder 1,4 %
Registrierungspflicht bis 100.000 € bis 100.000 €
Verletzung Audit-Pflicht bis 5 Mio. € bis 3 Mio. €
Persönliche Haftung Geschäftsleitung ja (§ 38) ja

Zusätzlich kann das BSI Anordnungen erlassen, Tätigkeitsverbote aussprechen und Zertifizierungen widerrufen.

14. BSI-Leitfäden und BaFin-Guidance

Relevante Dokumente:

  • BSI Orientierungshilfe zur Umsetzung NIS2 (Stand 2025).
  • BSI IT-Grundschutz-Kompendium, Edition 2024.
  • BSI Cyber-Sicherheits-Check für Geschäftsleitung.
  • BSI Handlungsempfehlungen für die Lieferkette (Supply Chain Security).
  • BaFin Merkblatt zu DORA für Finanzinstitute.
  • BaFin BAIT/VAIT/KAIT (sektorale Aufsichtsanforderungen).
  • ENISA Guidelines on Cybersecurity Risk Management (EU-Ebene).

Wer ISO 27001 oder BSI-Grundschutz bereits implementiert hat, kann diese als Nachweis verwenden.

15. Integration mit bestehenden Standards

NIS2-Umsetzung ist effizienter, wenn vorhandene Standards integriert werden:

  • ISO 27001:2022 → ca. 80 % NIS2-Abdeckung.
  • BSI IT-Grundschutz Standard-Absicherung → ca. 85 %.
  • ISO 22301 (BCM) → ergänzt Resilienz-Anforderungen.
  • ISO 27701 (PIMS) → Schnittstelle zu DSGVO.
  • TISAX → für Automotive-Lieferanten.

Mapping-Tabellen reduzieren Dokumentations-Aufwand erheblich. Audit-Kombination ISO 27001 + NIS2-Nachweis ist Standardpraxis.

16. Supply-Chain-Implikationen

NIS2 fordert in § 30 explizit Lieferketten-Risikomanagement. Praktische Umsetzung:

  • Lieferanteninventar mit Kritikalitäts-Einstufung (A/B/C-Klassen).
  • Vertragsklauseln zu Cybersecurity-Mindestanforderungen.
  • Audit-Recht bei kritischen Lieferanten.
  • Notfall-Übungen mit Schlüssel-Lieferanten.
  • Backup-Lieferanten für KRITIS-Funktionen.
  • Pflicht zur Meldung von Vorfällen beim Lieferanten innerhalb von 24-72 h.
  • Sub-Lieferanten-Transparenz (n-tier visibility).

Kleine Zulieferer geraten dadurch unter indirekten NIS2-Druck — viele KMU werden in 2026 zertifizierungspflichtig durch Kundenverträge.

17. Sektor-spezifische Beispiele

Sektor Typischer Anwendungsfall NIS2 Pflichtige Akteure
Energie Smart-Meter-Gateway, Leitstellen Stadtwerke, Übertragungsnetzbetreiber
Wasser SCADA-Steuerungen, Aufbereitung Wasserwerke, Abwasser
Gesundheit KIS, PACS, Telematik-Infrastruktur Krankenhäuser, Praxisnetze
Finanz Core-Banking, Online-Banking Banken, Zahlungsdienstleister
ITK DNS, Cloud, Rechenzentren Hoster, Telco, ISPs
Transport Logistik-IT, Buchungssysteme Bahn, Häfen, Flughäfen
Verwaltung Bürgerportale, ELSTER Bund, Länder, Kommunen
Lebensmittel Lieferketten-IT Großhandel, Produktion

Pflichtige Akteure sollten zusätzlich DSGVO Art. 32 Sicherheit und Datenpannenmeldung (Datenpanne melden) kohärent integrieren.

Fazit

DORA ist für FinTechs eine Verschärfung — vor allem wegen Drittparteien-Pflichten und 4h-Meldefrist. Mit dokumentiertem Risikomanagement, klaren Exit-Strategien und vorbereiteten Meldevorlagen ist Compliance erreichbar. BaFin prüft aktiv.

FAQ

Welche FinTechs fallen unter DORA?

Alle mit Banklizenz, Zahlungsinstituts- oder E-Geld-Lizenz; auch Krypto-Dienstleister unter MiCA. Reine SaaS-FinTechs als ICT-Drittpartei betroffen.

Was ist 4h-Frist?

Major Incident Initial-Meldung an BaFin muss binnen 4 Stunden nach Klassifikation erfolgen.

Brauche ich Cloud-Exit-Strategie?

Ja für kritische Provider. AWS/Azure-Exit-Plan muss dokumentiert sein, auch wenn Wechsel praktisch schwer.

Was ist Konzentrationsrisiko?

DORA verlangt Bewertung, wie viele kritische Services bei einem einzigen Anbieter konzentriert sind — Multi-Cloud-Strategie als Mitigation.

Welche Bußgelder?

Bis 1% des weltweiten Konzernumsatzes; bei systematischen Verstößen Lizenzentzug möglich.

Welche Sanktionen drohen Geschäftsführern persönlich?

§ 38 NIS2UmsuCG sieht persönliche Haftung der Geschäftsleitung vor — bei Verletzung der Sorgfaltspflichten haftet die Person mit ihrem Privatvermögen für Schäden des Unternehmens. Zusätzlich: Tätigkeitsverbote durch das BSI (§ 39 NIS2UmsuCG). D&O-Versicherungen decken NIS2-Haftung nur eingeschränkt — explizite Cyber-Klausel erforderlich. Pflichtschulung jährlich (§ 38) ist nicht delegierbar.

Wie unterscheiden sich wesentliche und wichtige Einrichtungen?

Wesentliche Einrichtungen (Anhang I NIS2): KRITIS-Sektoren mit hoher Kritikalität — strengere Aufsicht, höhere Sanktionen (bis 10 Mio. € / 2 % Konzernumsatz). Wichtige Einrichtungen (Anhang II): mittlere Kritikalität — reaktive Aufsicht, Sanktionen bis 7 Mio. € / 1,4 %. Größenschwelle: > 250 Mitarbeitende oder > 50 Mio. € Umsatz oder > 43 Mio. € Bilanzsumme. Einstufung obliegt dem BSI nach §§ 28-29 NIS2UmsuCG.

Wie integriere ich NIS2 mit DORA und DSGVO?

DORA (EU-VO 2022/2554) gilt für Finanzsektor und ist lex specialis gegenüber NIS2 — Finanzinstitute brauchen DORA-Compliance, dürfen aber NIS2-Maßnahmen anrechnen. DSGVO Art. 32 fordert TOM, NIS2 fordert Cyber-Sicherheit insgesamt — Überschneidung > 60 %. Beste Praxis: ein integriertes ISMS nach ISO 27001 / BSI-Grundschutz, das alle drei Regelwerke abdeckt.

Welche Meldewege bestehen beim BSI?

Online-Portal “Meldungen” auf bsi.bund.de mit BSI-MeldeAPI. Pflicht: Erstmeldung 24 h (kurze Faktenmeldung), Zwischenbericht 72 h (Ursachen, Auswirkungen), Abschlussbericht 1 Monat (Lessons Learned, Maßnahmen). Bei gleichzeitiger Datenpanne (Datenpanne melden): zusätzlich Meldung an Datenschutzbehörde. Doppelmeldungen sind häufig — getrennte Workflows einrichten.

Wie hoch sind die Implementierungskosten?

Mittleres Unternehmen (250-500 MA): Erstimplementierung 200.000-500.000 €, jährlich 80.000-200.000 €. Großbetrieb (> 5.000 MA): 1-5 Mio. € Erstaufwand, 500.000-2 Mio. € jährlich. Wer ISO 27001 hat, spart 60-70 %. Investitionen amortisieren sich typisch nach 2-3 Jahren über reduzierte Vorfallskosten und niedrigere Versicherungsprämien (10-20 % Rabatt).

Siehe auch: Die passende technische Umsetzung behandelt unser Vergleich der DORA-Compliance-Software.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →