Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft – ohne Übergangsfrist. Für Banken, Versicherungen und andere Finanzdienstleister bedeutet das: Wer noch nicht gehandelt hat, riskiert Sanktionen. Welche Anforderungen konkret zu erfüllen sind und was die Besonderheiten für die Finanzbranche ausmachen, zeigt dieser Beitrag.
Erweiterter Anwendungsbereich: Wer ist betroffen?
Das NIS-2-Umsetzungsgesetz betrifft schätzungsweise rund 29.500 bis 30.000 Unternehmen in Deutschland – mehr als sechsmal so viele wie unter dem bisherigen IT-Sicherheitsrecht. Maßgeblich sind Branchenzugehörigkeit und Unternehmensgröße.
Das Gesetz unterscheidet zwei Kategorien:
- Als wichtige Einrichtung gilt bereits, wer in einem relevanten Sektor tätig ist und mindestens 50 Mitarbeiter oder jeweils mehr als 10 Millionen Euro Jahresumsatz und Bilanzsumme aufweist.
- Besonders wichtige Einrichtungen sind in der Regel Großunternehmen (mehr als 250 Mitarbeiter oder mehr als 50 Millionen Euro Umsatz und mehr als 43 Millionen Euro Bilanzsumme) in Sektoren mit hoher Kritikalität – darunter ausdrücklich das Finanz- und Versicherungswesen.
Inhaltliche Pflichten: Was zu tun ist
Betroffene Unternehmen müssen ein Maßnahmenpaket umsetzen, das den Stand der Technik widerspiegelt und dauerhaft fortzuschreiben ist. Im Kern gefordert sind:
- Risikomanagement: Regelmäßige Risikoanalysen, Sicherheitsaudits und ein strukturiertes Informationssicherheits-Managementsystem mit klar definierten Verantwortlichkeiten, Zugriffs- und Berechtigungskonzepten sowie Patch- und Schwachstellenmanagement.
- Vorfallsmanagement: Erkannte IT-Sicherheitsvorfälle müssen intern behandelt und nach gestuften Fristen an das BSI gemeldet werden – eine Erstmeldung (Frühwarnung) innerhalb von 24 Stunden, eine ausführliche Folgemeldung innerhalb weiterer Tage.
- Business Continuity: Notfallpläne, Backup-Konzepte und regelmäßige Übungen wie Penetrationstests sind verpflichtend, um die Betriebsfähigkeit im Krisenfall sicherzustellen.
- Lieferkettensicherheit: IT-Dienstleister und Cloud-Anbieter müssen durch vertragliche Vorgaben, Audit-Rechte und Exit-Strategien in das Sicherheitsmanagement einbezogen werden.
Besonderheit Finanzsektor: NIS-2 und DORA
Für Banken und Finanzdienstleister gilt ein wichtiger Grundsatz: Der Digital Operational Resilience Act (DORA) hat als EU-Verordnung Vorrang vor NIS-2. Die spezifischen Anforderungen aus DORA – etwa zu IKT-Risikomanagement, Incident Reporting und Drittanbieter-Kontrolle – gehen den NIS-2-Vorgaben in diesen Punkten vor. NIS-2 greift nur subsidiär, wo DORA keine Regelung trifft. Dennoch werden Finanzunternehmen durch NIS-2 in das übergreifende nationale Cybersicherheitsnetzwerk einbezogen. Zuständige Aufsichtsbehörde ist die BaFin, die die NIS-2-Compliance in Koordination mit dem BSI überwacht.
Registrierung und Sanktionen
Alle betroffenen Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren. Wer diese Frist versäumt hat, riskiert bereits Bußgelder. Das Sanktionsregime ist erheblich verschärft:
- Für besonders wichtige Einrichtungen drohen Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
- Für wichtige Einrichtungen gelten bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Neben Geldbußen kann die Aufsicht in schwerwiegenden Fällen auch die Einstellung bestimmter Tätigkeiten oder Maßnahmen gegen einzelne Führungskräfte anordnen.
Fazit
NIS-2 ist keine technische Compliance-Aufgabe, die an die IT-Abteilung delegiert werden kann – es ist ein gesetzlich verdichtetes Pflichtenprogramm mit unmittelbarer Sanktionsrelevanz auf Vorstandsebene. Für Finanzdienstleister gilt es, die Anforderungen mit den bestehenden DORA- und BaFin-Vorgaben sinnvoll zu verzahnen, um Doppelstrukturen zu vermeiden und Lücken zu schließen.
Wir unterstützen Banken und Versicherungen bei der Gap-Analyse, der Umsetzungsplanung und der prüferischen Begleitung ihrer NIS-2-Compliance. Sprechen Sie uns gerne an.
Veröffentlicht in Aktuelle Themen