22. Mai 2026 | Artikel drucken | |

DORA und NIS2: Warum Banken-Audits jetzt kollidieren

11 Min. Lesezeit

Seit Januar 2025 ist DORA in Anwendung, seit November 2025 stehen AWS, Azure, Google Cloud, Bloomberg, LSEG und IBM auf der ESAs-CTPP-Liste. Seit Q1 2026 ziehen die Joint Examination Teams ihre ersten Prüfungen durch. Parallel rollt NIS2 in Welle zwei. 2026 wird klar: Beide Regelwerke greifen ineinander, ihre Audit-Pfade laufen parallel.

Das Wichtigste in Kürze

  • Doppel-Anwendung heißt nicht Doppel-Audit, sondern verschachteltes Audit. DORA prüft bei Finanzinstituten ICT-Risiko, Vorfälle, Tests und Drittanbieter-Lieferkette. NIS2 prüft bei den als wesentlich oder wichtig eingestuften Einrichtungen Risikomanagement, Meldepflichten und Verantwortlichkeiten. Wo Banken NIS2-Adressaten sind, addieren sich die Pflichten, sie ersetzen sich nicht.
  • 2026 ist das Jahr der Beweislast, nicht der Politik. Die ESAs verschieben die Erwartung vom Papier zum Nachweis. Resilienz-Tests, TLPT-Übungen, Vorfall-Klassifizierung mit harten Schwellwerten und Drittanbieter-Inventare in maschinenlesbarer Form. Wer 2025 die Policies aufgesetzt hat und 2026 nicht die Evidenz liefert, fällt im Audit auf.
  • Die kritische Engstelle sind nicht die Tools, sondern die Auditoren. Banken haben in den letzten zwölf Monaten ICT-Risiko-, NIS2- und DORA-Streams meist personell überlappend besetzt. Wer das Doppel-Programm mit dem gleichen 30-Personen-Audit-Team treibt, hat im dritten Quartal einen Engpass, der nicht durch Tools auflösbar ist.

VerwandtNIS2-Compliance im Mittelstand  /  NIS2-Technische Mindestanforderungen Mittelstand

Was DORA und NIS2 in der parallelen Welt 2026 voneinander unterscheidet

DORA und NIS2 wirken auf den ersten Blick wie die zwei Seiten desselben Compliance-Programms. Beide regulieren ICT-Risikomanagement, Vorfallmeldung und Drittanbieter-Beziehungen, beide stammen aus der EU-Cyber-Welle, beide haben Bußgelder hinter sich. In der Praxis 2026 trennen sie sich an drei Stellen klar: Adressatenkreis, Aufsichtsstruktur und Detail-Tiefe der Anforderungen.

DORA adressiert 20 Typen von Finanzentitäten, von Banken und Versicherern bis zu Krypto-Dienstleistern und zentralen Gegenparteien. Aufsicht sind die nationalen Finanzaufseher mit klarer ESA-Anbindung, in Deutschland also die BaFin mit Schnittstelle zu EBA, EIOPA und ESMA. NIS2 dagegen adressiert wesentliche und wichtige Einrichtungen quer durch 18 Sektoren, in Deutschland mit dem BSI als zentraler Aufsicht. Eine Großbank ist sowohl DORA-adressiert als auch NIS2-Adressatin, ein Asset Manager je nach Größe nur DORA, ein Cloud-Provider primär NIS2.

Klassische Compliance-Metriken sind nicht falsch, sie sind nur noch die Hälfte des Bildes. Was ein DORA-Audit von einem NIS2-Audit unterscheidet, ist die Tiefe der erwarteten Evidenz im ICT-Bereich: DORA verlangt belastbare TLPT-Berichte, Resilience-Test-Dokumentation, Drittanbieter-Vertragsregister in maschinenlesbarer Form. NIS2 verlangt Risikomanagement-Maßnahmen mit Schwerpunkt Governance und Meldepflichten. Beides ist Cyber-Disziplin, aber die geforderten Artefakte überlappen sich nur teilweise.

Realität 1: Das gemeinsame Programm-Setup, das nicht trägt

Viele Banken sind 2025 mit einem konsolidierten Compliance-Programm gestartet, das DORA und NIS2 unter einem Dach vereint. Die Logik klang richtig: ein Risikomanagement, ein Incident-Reporting, ein Drittanbieter-Inventar, ein Audit-Team. In der Praxis kollidieren zwei Logiken. DORA-Audits gehen in die Tiefe einzelner ICT-Komponenten und Tests, NIS2-Audits gehen in die Breite des Governance- und Meldewege-Setups. Ein gemeinsamer Programm-Manager verteilt seine Aufmerksamkeit zwischen beiden Welten und verliert den Detail-Grad, den DORA verlangt.

Konkretes Beispiel aus einer DACH-Großbank, anonymisiert: Programm mit 32 ICT-Risk-Spezialisten und einem zentralen PMO. Im ersten Quartal 2026 wurden 14 TLPT-Tests vorbereitet und gleichzeitig 22 NIS2-Risikomanagement-Reviews terminiert. Im April hatte das Programm-PMO die TLPT-Vorbereitung priorisiert, im Mai die NIS2-Reviews. Das Audit-Team hat in beiden Phasen den Detail-Grad nicht erreicht, den entweder Aufsicht akzeptiert. Beide Streams stehen jetzt mit Findings da, die in zwei separaten Programmen vermieden gewesen wären.

Realität 2: Die getrennten Programme, die ihre Datenbasis nicht teilen

Das andere Extrem hat zwei separate Programm-Linien aufgesetzt. DORA-Team mit ICT-Risk-Fokus, NIS2-Team mit Governance-Fokus, eigene Tooling-Landschaften, eigene Reporting-Strecken. Methodisch sauber, in der Datenrealität ineffizient. Beide Programme arbeiten mit dem gleichen Asset-Inventar, derselben Lieferanten-Liste, denselben Incident-Daten. Ohne gemeinsame Datenbasis pflegen sie diese Quellen doppelt, mit unvermeidbaren Abweichungen.

Die typische Folge: Im DORA-Drittanbieter-Inventar steht AWS mit 47 Service-Komponenten, im NIS2-Lieferanten-Register mit 39. Beide Zahlen sind nicht falsch, sie messen unterschiedliche Granularitäten. Wenn die Aufsicht im JET-Audit beide Listen sehen will und Abweichungen findet, beginnt ein Erklärungslauf, der das Audit zwei Wochen länger dauern lässt als geplant. Eine gemeinsame Datenbasis mit zwei Sichten löst das. Zwei Datenbasen, die einmal jährlich abgeglichen werden, lösen es nicht.

Realität 3: Das Audit-Team, das im dritten Quartal kippt

Die kritische Engstelle 2026 ist nicht Tool, nicht Methode, nicht Sponsor. Es ist die Personalkapazität im Audit-Team. ICT-Risk-Spezialisten mit DORA-Erfahrung sind knapp, NIS2-erfahrene Compliance-Auditoren mit Tiefe in Risikomanagement-Frameworks ebenfalls. Banken haben in den letzten zwölf Monaten meist überlappend besetzt: drei Viertel des Teams arbeiten beiden Streams zu, ein Viertel ist fest in einer Linie.

Das funktioniert bis zum Audit-Druckpunkt. Wir sehen 2026 ein Muster: TLPT-Phase und JET-Vorbereitung im zweiten Quartal, parallel NIS2-Reporting-Stichtage im dritten. Das Audit-Team liefert in beiden Phasen mit Vollgas, im dritten Quartal sind sechs Schlüsselpersonen ausgebrannt oder gewechselt. Die geplante Lieferung in Q4 verschiebt sich, die nächste Aufsicht-Runde startet mit halbiertem Team.

Die Trennlinie ist Konsistenz über Jahre. Wer DORA und NIS2 mit einer Sechs-Monats-Sprint-Mentalität fährt, gewinnt die Quartalsmeilensteine und verliert das zwölf-Monats-Setup. Wer in beiden Programmen mit klar getrennten Verantwortlichkeiten und einem Capacity-Plan über 18 Monate denkt, hat im dritten Quartal nicht den Kollaps, den die anderen haben.

Drei konkrete Hebel für die nächsten 90 Tage

  1. Audit-Team-Capacity über 18 Monate planen, nicht über sechs. Listet die personellen Engpässe pro Quartal bis Q4 2027 auf. Wo überlappt DORA-TLPT-Vorbereitung mit NIS2-Reporting-Stichtagen? Wo sind die kritischen sechs Personen, die in beiden Streams Schlüssel-Rollen haben? Plant die Entlastung, bevor sie Notfall wird.
  2. Eine Datenbasis mit zwei Sichten bauen, nicht zwei mit Abgleich. Asset-Inventar, Drittanbieter-Register und Incident-Daten dürfen nicht in zwei separaten Tools doppelt gepflegt werden. Eine zentrale Quelle, mit DORA- und NIS2-spezifischen Sichten, ist die Investition, die sich im ersten JET-Audit auszahlt.
  3. Programm-Verantwortlichkeit klar trennen, Datenbasis und Tooling teilen. Ein DORA-Programm-Lead mit ICT-Risk-Tiefe, ein NIS2-Programm-Lead mit Governance-Tiefe, beide auf einer gemeinsamen Datenbasis. Wer beides in einer Person bündelt, bekommt Audits in einer Tiefe, die keine der zwei Aufsichten akzeptiert.

Häufige Fragen

Sind alle DORA-adressierten Banken auch NIS2-Adressatinnen?

Faktisch ja, formal differenziert. Die meisten Banken sind über ihre Größe als wesentliche Einrichtungen unter NIS2 erfasst. Kleinere Asset Manager und spezialisierte Finanzdienstleister können DORA-adressiert sein, ohne NIS2-Adressat zu werden. In der Compliance-Praxis 2026 ist die Doppel-Adressierung die Regel, nicht die Ausnahme.

Was unterscheidet DORA-TLPT von einem klassischen Red-Team-Test?

DORA-TLPT verlangt threat-led penetration testing nach harmonisierten Standards mit klarer Aufsichtsbeteiligung. Klassisches Red-Teaming ist methodisch verwandt, aber ohne den regulatorischen Rahmen, der DORA-TLPT begleitet. Wer 2026 ein Red-Team-Programm hat und es als TLPT verkauft, fällt in der ersten JET-Prüfung auf. Die geforderten Artefakte und der Aufsichts-Workflow sind nicht identisch.

Welche Rolle spielt die BaFin für deutsche Banken im DORA-Audit?

Die BaFin ist die zuständige nationale Aufsicht und arbeitet mit den ESAs in den Joint Examination Teams zusammen. Für deutsche Banken bedeutet das: Die direkte Schnittstelle bleibt die BaFin, aber die ESAs sehen in den JET-Prüfungen mit und können Findings direkt einfordern. Die Annahme, dass DORA-Audits weiter rein national ablaufen, ist 2026 nicht mehr tragfähig.

Wie reagieren die CTPP-designierten Cloud-Provider auf die Aufsicht?

AWS, Microsoft Azure und Google Cloud haben in den letzten Monaten dedizierte DORA-Teams aufgebaut und liefern strukturierte Compliance-Pakete an Finanzkunden. Die Qualität dieser Pakete ist 2026 unterschiedlich. Wer als Bank die Pakete ohne eigene Prüfung übernimmt, riskiert Findings, die sich auf die Hosting-Tiefe beziehen, die in den Vendor-Paketen nicht abgedeckt ist.

Wann ist es Zeit, ein konsolidiertes Programm zu entkoppeln?

Wenn die Audit-Findings beider Aufsichten in der gleichen Bereichsteilung landen und die Eskalation an die Programmleitung mehr als drei Wochen dauert. Das ist ein Indikator, dass das gemeinsame Setup nicht mehr trägt. Eine Entkopplung zur Programm-Mitte ist teuer, eine Entkopplung am Programm-Ende ist teurer.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

Bildquelle: KI-generiert (Mai 2026), C2PA-Zertifikat im Bild hinterlegt

Artikel drucken
Tobias Massow

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañol
Ein Magazin der Evernine Media GmbH