Zum Inhalt springen
Resilience Platform Resilience Platform

Regulatory Landscape

Regulatorische Anforderungen im digitalen Finanzsektor zusammenführen.

DORA, MaRisk, ISO 27001, NIS2, CRA und AI Act adressieren unterschiedliche Perspektiven auf digitale Resilienz, Cybersecurity, Informationssicherheit, Produktverantwortung und KI-Governance.

Management Summary

  • DORA ist der zentrale operative Resilienzrahmen für Finanzunternehmen.
  • MaRisk bleibt relevanter Governance- und Risikomanagementrahmen.
  • ISO 27001 dient als Kontroll- und ISMS-Anker.
  • NIS2 ergänzt die Perspektive auf Informationssicherheit und kritische Einrichtungen.
  • CRA betrifft Produkte mit digitalen Elementen und deren Cybersicherheit.
  • AI Act ergänzt KI-Governance, Risikomanagement und technische Dokumentationspflichten.
  • EIOPA (VAIT) adressiert IKT-Anforderungen für Versicherungen — mit DORA-Ablösung zum 17.01.2025.
  • ESMA (MAIT) adressiert IKT-Anforderungen für Wertpapierfirmen — mit DORA-Ablösung zum 17.01.2025.

DORA

Digital Operational Resilience Act — Rahmen für die digitale operationale Resilienz von Finanzunternehmen.

Relevanz

Zentraler Resilienzrahmen für Finanzunternehmen mit Anforderungen an IKT-Risikomanagement, Vorfälle, Tests und Drittparteien.

Anschluss an DORA

Basisregulierung — andere Rahmenwerke ergänzen oder überschneiden sich mit DORA.

IKT-Risikomanagement Vorfallmanagement Resilienztests Drittparteienrisiko Informationsregister

MaRisk

Mindestanforderungen an das Risikomanagement — nationaler Governance- und Risikomanagementrahmen.

Relevanz

Bleibt relevanter Governance-Rahmen für Risikomanagement, Auslagerungen und Kontrollsystem.

Anschluss an DORA

DORA ergänzt MaRisk um spezifische IKT-Resilienzanforderungen.

Risikomanagement Auslagerungen Kontrollsystem Notfallmanagement Dokumentation

ISO/IEC 27001:2022

Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS).

Relevanz

Dient als Kontrollanker und ISMS-Referenz für die operative Umsetzung von DORA und MaRisk.

Anschluss an DORA

ISO 27001 stellt die Kontrollen bereit, die DORA und MaRisk fordern.

ISMS Kontrollziele Risikobehandlung Lieferantenmanagement Kontinuierliche Verbesserung

NIS2

Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU.

Relevanz

Ergänzt die Perspektive auf Informationssicherheit und kritische Einrichtungen. Finanzunternehmen nach DORA sind von ausgewählten NIS2-Pflichten ausgenommen.

Anschluss an DORA

DORA geht NIS2 für Finanzunternehmen vor; NIS2 bleibt Orientierungsrahmen für das allgemeine Cybersicherheitsniveau.

Risikomanagementmaßnahmen Meldepflichten Einrichtungsstatus Governance

Cyber Resilience Act (CRA)

Verordnung über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen.

Relevanz

Betrifft Finanzdienstleister als Betreiber, Beschaffer und ggf. Hersteller von IKT-Produkten mit digitalen Elementen.

Anschluss an DORA

CRA ergänzt DORA um die Produkt- und Herstellerperspektive auf Cybersicherheit.

Produktsicherheit Schwachstellenmanagement Supply Chain Konformitätsbewertung Meldepflichten

AI Act

Verordnung über künstliche Intelligenz — risikobasierter Rahmen für KI-Systeme.

Relevanz

Ergänzt KI-Governance, Risikomanagement und technische Dokumentationspflichten für Finanzdienstleister.

Anschluss an DORA

KI-Systeme in Finanzdienstleistungen unterliegen sowohl AI-Act- als auch DORA-Anforderungen.

KI-Kompetenz Hochrisiko-KI Risikomanagement Daten-Governance Menschliche Aufsicht

EIOPA (VAIT/Solvency II)

Aufsichtsrechtlicher IKT-Rahmen für Versicherungen — VAIT (historisch), Solvency II Art. 41–50, ORSA und EIOPA-IKT-Leitlinien.

Relevanz

VAIT wurde zum 17.01.2025 durch DORA abgelöst. Solvency II (ORSA) bleibt für Versicherungen der übergeordnete Governance-Rahmen.

Anschluss an DORA

DORA ersetzt VAIT. Solvency II und DORA bilden den aktuellen IKT-Aufsichtsrahmen für Versicherungen.

VAIT (hist.) Solvency II ORSA Auslagerung (EIOPA) IKT-Notfallmanagement KI-Governance

ESMA (MiFID II/EMIR/MAIT)

Aufsichtsrechtlicher IKT-Rahmen für Wertpapierfirmen — MAIT (historisch), MiFID II, EMIR, CSDR und MAR.

Relevanz

MAIT wurde zum 17.01.2025 durch DORA abgelöst. MiFID II, EMIR und CSDR bleiben für Wertpapierfirmen eigenständig gültig.

Anschluss an DORA

DORA ersetzt MAIT. MiFID II, EMIR, CSDR und DORA bilden den aktuellen Rahmen für Kapitalmarktakteure.

MAIT (hist.) MiFID II EMIR CSDR MAR Algorithmic Trading KI-Governance

Zusammenspiel der Regelwerke

Die folgende Matrix zeigt die Beziehungen und Schwerpunkte der regulatorischen Rahmenwerke aus der Perspektive von Finanzdienstleistern.

Regelwerk Primärer Fokus Relevanz für Finanzdienstleister Verbindung zu DORA Typische Nachweise
DORA Digitale operationale Resilienz Zentraler Resilienzrahmen Risikoinventar, Kontrollnachweise, Testberichte
MaRisk Risikomanagement (national) Bestehender Governance-Rahmen DORA ergänzt MaRisk Risikoinventar, Auslagerungsdokumentation
ISO 27001 ISMS und Kontrollziele Kontrollanker für DORA-Umsetzung Stellt Kontrollrahmen bereit SoA, Kontrollnachweise, ISMS-Berichte
NIS2 Cybersicherheit (kritische Einrichtungen) Ergänzend; DORA geht vor DORA-Ausnahme, Orientierungsrahmen Anwendungsprüfung, Sicherheitskonzepte
CRA Produktsicherheit (IKT-Produkte) Betreiber- und Beschaffungsperspektive Ergänzt Drittparteienrisiko Produktinventar, Konformitätserklärungen
AI Act KI-Governance und Risikomanagement KI-Systeme in Finanzprozessen Ergänzt IKT-Risikomanagement KI-Inventar, Risikobewertung, Dokumentation
EIOPA (VAIT/Solvency II) IKT-Aufsicht für Versicherungen Versicherungen unter Solvency II VAIT durch DORA abgelöst (17.01.2025) ORSA-Bericht, IKT-Risikoinventar, VAIT-Doku
ESMA (MiFID II/EMIR/MAIT) IKT-Aufsicht für Wertpapierfirmen Wertpapierfirmen, Handelsplätze MAIT durch DORA abgelöst (17.01.2025) Handelssystem-Tests, EMIR-Berichte, MAIT-Doku
Detailseite zum Zusammenspiel →

Disclaimer

Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung. Die regulatorische Landschaft unterliegt laufenden Entwicklungen; die Darstellung spiegelt den aktuellen Kenntnisstand wider.