Mit dem Inkrafttreten der europäischen Verordnung über digitale operationelle Resilienz (DORA) rückt die IT-Sicherheit von Banken und Finanzinstituten stärker in den Fokus. DORA verfolgt das Ziel, die Widerstandsfähigkeit des Finanzsektors gegenüber Cyberangriffen, Systemausfällen und digitalen Risiken europaweit zu harmonisieren. In Deutschland stellt sich jedoch eine zentrale Frage: Reicht DORA allein aus, oder treffen Banken trotz des Prinzips der Lex specialis weiterhin zusätzliche öffentlich-rechtliche Pflichten nach dem BSIG?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das zugrunde liegende BSI-Gesetz (BSIG) regeln seit Jahren die Anforderungen an Betreiber Kritischer Infrastrukturen. Viele Banken fallen aufgrund ihrer Systemrelevanz in diese Kategorie. Zwar gilt DORA als sektorspezifische Spezialregelung für den Finanzbereich, doch ersetzt sie das BSIG nicht vollständig. Vielmehr besteht ein Nebeneinander beider Regelwerke, das Institute zu einer sorgfältigen Abgrenzung ihrer Pflichten zwingt.
DORA konzentriert sich primär auf Governance-Strukturen, IKT-Risikomanagement, Vorfallmeldungen sowie auf das Management von Drittanbietern. Das BSIG hingegen setzt breiter an und verpflichtet betroffene Unternehmen zu technischen und organisatorischen Maßnahmen, zur regelmäßigen Überprüfung ihrer Sicherheitsvorkehrungen und zur Meldung erheblicher IT-Störungen an das BSI. In der Praxis bedeutet dies, dass Banken nicht automatisch von nationalen Vorgaben befreit sind, nur weil sie DORA erfüllen.
Besonders relevant ist dieser Umstand bei Meldepflichten und Sicherheitsstandards. Während DORA einheitliche europäische Prozesse schaffen will, behält das BSIG nationale Durchsetzungsmechanismen und Aufsichtsbefugnisse bei. Für Banken entsteht dadurch ein erhöhter Koordinationsaufwand zwischen europäischer und nationaler Regulierung.
Ein oft zitierter Grundsatz lautet dabei: “Regulatorische Klarheit entsteht nicht durch weniger Regeln, sondern durch ihr sauberes Zusammenspiel.”
Für die Institute empfiehlt sich daher ein integrierter Compliance-Ansatz. Anstatt DORA und BSIG getrennt zu betrachten, sollten Banken ihre IT-Sicherheitsstrategien so ausrichten, dass sie beiden Regimen gerecht werden. Dies umfasst klare Zuständigkeiten, abgestimmte Meldeprozesse und regelmäßige Risikoanalysen. Langfristig kann dieser Mehraufwand sogar zu höherer Resilienz und größerem Vertrauen bei Kunden und Aufsichtsbehörden führen.
Fazit: Auch wenn DORA als Lex specialis gilt, bleiben die öffentlich-rechtlichen Verpflichtungen aus dem BSIG für Banken relevant. Wer beide Regelwerke zusammendenkt, minimiert rechtliche Risiken und stärkt zugleich die digitale Sicherheit.
