BSIG neben DORA: Warum Banken trotz Lex specialis zusätzliche öffentlich-rechtliche Pflichten treffen

Gleichzeitig bleibt das Unternehmen aber Teil des NIS-2-Finanzsektors. Das neue BSIG zieht sich deshalb nicht vollständig zurück, sondern legt sich als öffentlich-rechtliche Hülle um das DORA-Regime.

Das Ergebnis ist kein paralleles Vollregime, sondern ein asymmetrisches Zusammenspiel: DORA steuert das „Wie“ der operativen Cyber-Resilienz – das BSIG ergänzt „Wer, Wo und Mit wem“ auf staatlicher Ebene.

1. Lex specialis DORA: Was das BSIG bewusst nicht mehr regelt

Für Finanzunternehmen, die unmittelbar oder kraft nationaler Verweisung unter DORA fallen, sind zentrale BSIG-Vorschriften ausdrücklich ausgenommen. Das betrifft insbesondere:

• das IKT-Risikomanagement,
• Incident-Management und Meldewesen,
• besondere KRITIS-Anforderungen,
• Governance-Pflichten der Geschäftsleitung,
• Audit-, Prüf- und Nachweispflichten.

Konkret gelten die §§ 30, 31, 32, 35, 36, 38 und 39 BSIG für diese Institute nicht.Damit ist rechtlich klargestellt: Dein ISMS, deine Tests, dein Auslagerungs-Framework und dein Incident-Reporting werden ausschließlich nach DORA und den flankierenden nationalen Finanzaufsichtsregimen beurteilt.

Dieser Ausschluss ist bewusst gewählt. Er verhindert Doppelmeldungen, parallele Audit-Zyklen und widersprüchliche Aufsichtsanforderungen. Solange ein Sicherheitsvorfall ausschließlich DORA-relevante Institute betrifft und ordnungsgemäß nach DORA gemeldet wird, besteht keine zusätzliche Meldepflicht gegenüber dem BSI.

2. Warum das BSIG trotzdem greift: Finanzsektor bleibt NIS-2-Sektor

Trotz dieser Ausnahmen bist du als Bank weiterhin ein NIS-2-Sektorunternehmen im Finanzwesen. Das folgt unmittelbar aus der systematischen Einordnung des Finanzsektors als besonders sensibler Sektor auf EU-Ebene.

Das BSIG greift daher überall dort, wo DORA nicht abschließend regelt. Diese Eingriffe betreffen nicht dein operatives Cyber-Risikomanagement, sondern deine Einbindung in das staatliche Cybersicherheits-Ökosystem.

Damit verschiebt sich der Fokus:

• weg von technischen Detailanforderungen,
• hin zu Transparenz, Kooperation und behördlicher Vernetzung.

3. Zusätzliche Pflichten gegenüber dem BSI

In der Praxis entstehen für eine DORA-Bank vor allem vier zusätzliche Pflichtenkreise.

Registrierung und Transparenz gegenüber dem Staat

Auch DORA-Institute können der Registrierungspflicht nach § 33 BSIG unterfallen, wenn sie als besonders wichtige oder wichtige Einrichtung im Sektor Finanzwesen eingestuft werden.Diese Registrierung ist kein Audit und keine Zertifizierung, sondern eine formalisierte Erfassung staatlicher Kontakt- und Zuordnungsdaten.

Sie ergänzt – nicht ersetzt – die zahlreichen Register und Meldepflichten aus dem Finanzaufsichtsrecht. Für dich bedeutet das: ein zusätzlicher, aber überschaubarer Transparenzakt gegenüber dem Staat.

Einbindung in die Kooperations- und Informationsstrukturen des BSI

Mit der Registrierung wirst du Teil der „regulierten Wirtschaft“ nach NIS-2.Das bringt Vorteile (Lagebilder, Warnungen, Informationsaustausch), aber auch Erwartungen:

• klar benannte Kontaktstellen,
• organisatorische Fähigkeit, BSI-Informationen aufzunehmen,
• technische und prozessuale Anschlussfähigkeit.

Diese Anbindung ist keine operative Steuerung deiner IT, sie wirkt aber faktisch organisationsprägend.

Verzahnung von BSI- und BaFin-Aufsicht

Das BSIG schreibt ausdrücklich eine enge Zusammenarbeit zwischen BSI und BaFin vor.Damit entsteht eine aufsichtsübergreifende Sicht auf deinen Cyber-Reifegrad.

Auch wenn das BSI dein DORA-Risikomanagement nicht prüft, können Erkenntnisse aus dem einen Aufsichtsbereich in den anderen hineinwirken. Für dich heißt das: Cyber-Resilienz muss konsistent erklärbar sein – technisch, organisatorisch und rechtlich.

Einfluss von EU-Zertifizierungspflichten auf Beschaffung und Architektur

Über das BSIG können künftig bestimmte IKT-Produkte und -Dienste nur noch zugelassen werden, wenn sie über eine europäische Cybersicherheitszertifizierung verfügen. Diese Mechanik wirkt auch auf Banken, soweit sie unter die jeweilige Rechtsverordnung fallen.

Damit entstehen zusätzliche Restriktionen bei Technologie-Auswahl, Migration und Architektur – jenseits von DORA, aber innerhalb des gleichen Sicherheitsziels.

4. NIS-2 als faktische Messlatte für dein DORA-ISMS

Auch wenn die §§ 30 ff. BSIG auf dich nicht unmittelbar anwendbar sind, wirken sie mittelbar.

Der NIS-2-Mindestkatalog (Risikomanagement, Lieferkettensicherheit, Awareness, Wirksamkeitsprüfung etc.) bildet in der Praxis einen Referenzrahmen dafür, was als „angemessen“, „wirksam“ oder „state of the art“ gilt.

In Prüfungen, Sonderuntersuchungen oder haftungsrechtlichen Bewertungen werden diese Standards herangezogen, um offene DORA-Begriffe auszulegen. Damit wird NIS-2 zur Benchmark-Ebene, selbst dort, wo DORA formal Vorrang hat.

5. Wo konkret Mehraufwand entsteht

Der zusätzliche Aufwand für eine Bank liegt nicht im operativen Kerngeschäft der Cyber-Resilienz, sondern an den Schnittstellen:

• Governance-Design zwischen DORA- und BSIG-Verantwortlichkeiten,
• saubere Dokumentation und Mapping von DORA-Kontrollen zu NIS-2-Erwartungen,
• abgestimmte Krisen- und Kommunikationsprozesse für BaFin- und BSI-Stränge,
• strategische Berücksichtigung künftiger EU-Zertifizierungspflichten.

Wer hier nicht vorbereitet ist, riskiert Reibungsverluste zwischen Aufsichtslogiken, nicht technische Non-Compliance.

Anwendbarkeit von BSIG und DORA für DORA-pflichtige Finanzunternehmen

Regelungsbereich | BSIG / NIS-2 | DORA (EU 2022/2554) | Gilt für DORA-Institute?

Einordnung als reguliertes Unternehmen | Finanzwesen als NIS-2-Sektor | Finanzunternehmen explizit erfasst | Beide

IKT-Risikomanagement / ISMS | § 30 BSIG | Art. 5–16 DORA | Nur DORA

Besondere KRITIS-Pflichten | § 31 BSIG | Integriert in DORA-IKT-Risiken | Nur DORA

Incident-Management | § 30 Abs. 2 Nr. 2 BSIG | Art. 17–23 DORA | Nur DORA

Meldepflichten bei IKT-Vorfällen | § 32 BSIG | Art. 19–21 DORA | Nur DORA

Kundeninformation bei Vorfällen | § 35 BSIG | Über DORA & Finanzaufsicht | Nur DORA

Rückmeldungen der Behörde | § 36 BSIG | Aufsichtliche Kommunikation nach DORA | Nur DORA

Pflichten der Geschäftsleitung | § 38 BSIG | Art. 5, 6, 14 DORA | Nur DORA

Audit- und Nachweispflichten | § 39 BSIG | Art. 24–26, 32 DORA | Nur DORA

Registrierung bei staatlicher Stelle | § 33 BSIG (BSI-Register) | Kein EU-Register | BSIG

Teilnahme an staatlichen Kooperationsstrukturen | §§ 5, 6 BSIG | Nicht geregelt | BSIG

Informationsaustausch Cybersicherheit | §§ 5, 6 BSIG | Ergänzend möglich | BSIG (ergänzend)

Zusammenarbeit BSI – BaFin | § 3 BSIG | DORA vorausgesetzt | Beide

EU-Zertifizierungspflichten für IKT-Produkte | § 30 Abs. 6 i.V.m. § 56 BSIG | Nicht Kernbestandteil | BSIG (ergänzend)

Bußgelder für Cyber-Pflichten | §§ 64–66 BSIG | Art. 50 DORA | Je nach Pflicht

6. Quintessenz für die Praxis

Für dich als Bank gilt:

• Im Kern bleibt DORA alleiniger Maßstab für IKT-Risikomanagement, Incident-Handling, Testing und Auslagerungen.
• Zusätzlich erzwingt das BSIG:
o staatliche Transparenz,
o institutionelle Vernetzung mit dem BSI,
o Harmonisierung mit dem allgemeinen NIS-2-Rahmen,
o eine höhere, europaweit gedachte Messlatte für Cyber-Resilienz.

Das BSIG ist damit kein zweites Vollregime, sondern eine öffentlich-rechtliche Klammer, die DORA einbettet, absichert und weiterentwickelt.
Für Banken bedeutet das: Cyber-Resilienz ist endgültig Teil staatlicher Sicherheitsvorsorge – nicht mehr nur Finanzaufsicht.

Konkrete To-dos für Banken mit Blick auf das BSIG (neben DORA)

1. Regulatorische Einordnung & Scope klären

To-dos
• Einstufung als „besonders wichtige“ oder „wichtige Einrichtung“ im Sektor Finanzwesen prüfen.
• Dokumentierte Abgrenzung DORA vs. BSIG erstellen (Lex-specialis-Begründung).
• Festlegen, welche BSIG-Pflichten gelten und welche durch DORA verdrängt sind.

Ergebnis
• Rechtssichere Einordnung für BaFin- und BSI-Gespräche.
• Vermeidung unnötiger Doppelmaßnahmen.

2. Registrierungspflicht beim BSI prüfen und umsetzen

To-dos
• Klären, ob eine Registrierung nach § 33 BSIG erforderlich ist.
• Falls ja:
o Stammdaten, Sektorzuordnung, Kontaktstellen definieren.
o Interne Zuständigkeit für Pflege der BSI-Daten festlegen.
• Fristenüberwachung für Änderungen (z.B. Ansprechpartner, Struktur).

Ergebnis
• Formale Compliance gegenüber dem BSI.
• Klare staatliche Kontaktlinie.

3. BSI-Kontaktpunkte & Kooperationsfähigkeit etablieren

To-dos
• Benennung eines BSIG-/NIS-2-Ansprechpartners (meist CISO oder Compliance).
• Definition von Stellvertretungen und Erreichbarkeiten.
• Anbindung an BSI-Informationskanäle (Warnmeldungen, Lagebilder).
• Interne Weiterleitungs- und Eskalationsprozesse definieren.

Ergebnis
• Reaktionsfähigkeit gegenüber staatlichen Cyberwarnungen.
• Nachweisbare Kooperationsbereitschaft.

4. Governance-Schnittstelle BSI ↔ BaFin sauber definieren

To-dos
• Governance-Modell festlegen, das DORA-Verantwortung (BaFin) und BSIG-Transparenz (BSI) trennt, aber verzahnt.
• Klare Rollen:
o DORA-IKT-Verantwortlicher
o BSI-Kontaktstelleo Vorstandszuständigkeit
• Abstimmung mit Revision und Compliance.

Ergebnis
• Konsistentes Auftreten gegenüber beiden Behörden.
• Reduktion von Reibungsverlusten bei Prüfungen.

5. DORA-ISMS gegen NIS-2-Mindeststandard spiegeln

To-dos
• Mapping erstellen:
o DORA-Kontrollen ↔ § 30 BSIG / NIS-2-Mindestinhalte.
• Identifizieren, wo:
o DORA gleichwertig ist,
o DORA strenger ist,
o ggf. erklärungsbedürftige Lücken bestehen.
• Dokumentation als Argumentationsgrundlage für Aufsicht und Haftung.

Ergebnis
• „State-of-the-art“-Nachweis auch außerhalb des Finanzaufsichtsrechts.
• Schutz vor Vorwurf organisatorischer Defizite.

6. Krisen- & Meldeprozesse BSIG-kompatibel aufsetzen

To-dos
• Festlegen, wann ein Vorfall trotz DORA-Meldung auch BSI-relevant wird (z.B. Beteiligung nicht-DORA-regulierter NIS-2-Einrichtungen).
• Anpassung der Krisenhandbücher:
o BaFin/EZB/EBA-Pfad
o BSI-Pfad
• Schulung von Krisenstab und Kommunikation.

Ergebnis
• Rechtssichere Meldeentscheidungen.
• Keine verspäteten oder falschen Meldungen.

7. Produkt- und Beschaffungsstrategie auf BSIG-Zertifizierungen vorbereiten

To-dos
• Beobachtung möglicher EU-Cybersicherheitszertifizierungen nach Cybersecurity Act.
• Bewertung, welche kritischen Produkte/Dienste betroffen sein könnten (Cloud, Netzwerk, Security-Tools).
• Anpassung von:
o Beschaffungsrichtlinien,
o Vertragsmustern,
o Exit-Strategien.

Ergebnis
• Zukunftssichere Technologieentscheidungen.
• Vermeidung regulatorischer Sackgassen.

8. Interne Awareness für „staatliche Cyber-Governance“ schaffen

To-dos
• Vorstand und obere Führungsebene über BSIG-Zusatzpflichten informieren.
• Klarstellen: „DORA ist nicht gleich Ende der Fahnenstange.“
• Einbindung von Recht, Compliance, IT, Einkauf.

Ergebnis
• Realistische Erwartungshaltung im Management.
• Bessere Entscheidungsqualität bei Cyber-Themen.

Management-Kurzfazit

Für Banken gilt:

• Operativ: DORA bleibt alleiniger Maßstab.
• Öffentlich-rechtlich: BSIG bringt zusätzliche Pflichten zuo Transparenz,
o staatlicher Vernetzung,
o technischer Zukunftsfähigkeit.
• Strategisch: NIS-2/BSIG definiert die Messlatte für „angemessene Cyber-Resilienz“.

BSIG ist kein zweites Compliance-Monster – aber ein ernstzunehmender Rahmen, den Banken aktiv managen müssen.

Quellen

• Bundesamt für Sicherheit in der Informationstechnik (BSI) https://www.bsi.bund.de
• Bundesgesetzblatt – BSI-Gesetz / NIS-2-Umsetzungsgesetz https://www.bundesgesetzblatt.de
• BaFin – Digital Operational Resilience Act (DORA) https://www.bafin.de
• S+P Unternehmerforum – DORA & NIS-2 https://sp-unternehmerforum.de