Regulatory Landscape

Regulatorische Anforderungen im digitalen Finanzsektor zusammenführen.

DORA, MaRisk, ISO 27001, NIS2, CRA und AI Act adressieren unterschiedliche Perspektiven auf digitale Resilienz, Cybersecurity, Informationssicherheit, Produktverantwortung und KI-Governance.

Management Summary

DORA ist der zentrale operative Resilienzrahmen für Finanzunternehmen.
MaRisk bleibt relevanter Governance- und Risikomanagementrahmen.
ISO 27001 dient als Kontroll- und ISMS-Anker.
NIS2 ergänzt die Perspektive auf Informationssicherheit und kritische Einrichtungen.
CRA betrifft Produkte mit digitalen Elementen und deren Cybersicherheit.
AI Act ergänzt KI-Governance, Risikomanagement und technische Dokumentationspflichten.

DORA

Digital Operational Resilience Act — Rahmen für die digitale operationale Resilienz von Finanzunternehmen.

Relevanz

Zentraler Resilienzrahmen für Finanzunternehmen mit Anforderungen an IKT-Risikomanagement, Vorfälle, Tests und Drittparteien.

Anschluss an DORA

Basisregulierung — andere Rahmenwerke ergänzen oder überschneiden sich mit DORA.

IKT-Risikomanagement Vorfallmanagement Resilienztests Drittparteienrisiko Informationsregister

MaRisk

Mindestanforderungen an das Risikomanagement — nationaler Governance- und Risikomanagementrahmen.

Relevanz

Bleibt relevanter Governance-Rahmen für Risikomanagement, Auslagerungen und Kontrollsystem.

Anschluss an DORA

DORA ergänzt MaRisk um spezifische IKT-Resilienzanforderungen.

Risikomanagement Auslagerungen Kontrollsystem Notfallmanagement Dokumentation

ISO/IEC 27001:2022

Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS).

Relevanz

Dient als Kontrollanker und ISMS-Referenz für die operative Umsetzung von DORA und MaRisk.

Anschluss an DORA

ISO 27001 stellt die Kontrollen bereit, die DORA und MaRisk fordern.

ISMS Kontrollziele Risikobehandlung Lieferantenmanagement Kontinuierliche Verbesserung

NIS2

Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU.

Relevanz

Ergänzt die Perspektive auf Informationssicherheit und kritische Einrichtungen. Finanzunternehmen nach DORA sind von ausgewählten NIS2-Pflichten ausgenommen.

Anschluss an DORA

DORA geht NIS2 für Finanzunternehmen vor; NIS2 bleibt Orientierungsrahmen für das allgemeine Cybersicherheitsniveau.

Risikomanagementmaßnahmen Meldepflichten Einrichtungsstatus Governance

Cyber Resilience Act (CRA)

Verordnung über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen.

Relevanz

Betrifft Finanzdienstleister als Betreiber, Beschaffer und ggf. Hersteller von IKT-Produkten mit digitalen Elementen.

Anschluss an DORA

CRA ergänzt DORA um die Produkt- und Herstellerperspektive auf Cybersicherheit.

Produktsicherheit Schwachstellenmanagement Supply Chain Konformitätsbewertung Meldepflichten

AI Act

Verordnung über künstliche Intelligenz — risikobasierter Rahmen für KI-Systeme.

Relevanz

Ergänzt KI-Governance, Risikomanagement und technische Dokumentationspflichten für Finanzdienstleister.

Anschluss an DORA

KI-Systeme in Finanzdienstleistungen unterliegen sowohl AI-Act- als auch DORA-Anforderungen.

KI-Kompetenz Hochrisiko-KI Risikomanagement Daten-Governance Menschliche Aufsicht

Zusammenspiel der Regelwerke

Die folgende Matrix zeigt die Beziehungen und Schwerpunkte der regulatorischen Rahmenwerke aus der Perspektive von Finanzdienstleistern.

Regelwerk	Primärer Fokus	Relevanz für Finanzdienstleister	Verbindung zu DORA	Typische Nachweise
DORA	Digitale operationale Resilienz	Zentraler Resilienzrahmen	—	Risikoinventar, Kontrollnachweise, Testberichte
MaRisk	Risikomanagement (national)	Bestehender Governance-Rahmen	DORA ergänzt MaRisk	Risikoinventar, Auslagerungsdokumentation
ISO 27001	ISMS und Kontrollziele	Kontrollanker für DORA-Umsetzung	Stellt Kontrollrahmen bereit	SoA, Kontrollnachweise, ISMS-Berichte
NIS2	Cybersicherheit (kritische Einrichtungen)	Ergänzend; DORA geht vor	DORA-Ausnahme, Orientierungsrahmen	Anwendungsprüfung, Sicherheitskonzepte
CRA	Produktsicherheit (IKT-Produkte)	Betreiber- und Beschaffungsperspektive	Ergänzt Drittparteienrisiko	Produktinventar, Konformitätserklärungen
AI Act	KI-Governance und Risikomanagement	KI-Systeme in Finanzprozessen	Ergänzt IKT-Risikomanagement	KI-Inventar, Risikobewertung, Dokumentation

Detailseite zum Zusammenspiel →

Disclaimer

Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung. Die regulatorische Landschaft unterliegt laufenden Entwicklungen; die Darstellung spiegelt den aktuellen Kenntnisstand wider.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-10

EUR-Lex: DORA (EU) 2022/2554 Stand: Abruf 2026-05-07
EUR-Lex: NIS2 (EU) 2022/2555 Stand: Abruf 2026-05-07
EUR-Lex: Cyber Resilience Act (EU) 2024/2847 Stand: Abruf 2026-05-07
EUR-Lex: AI Act (EU) 2024/1689 Stand: Abruf 2026-05-07
ISO/IEC 27001:2022 Stand: Abruf 2026-05-07

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.