In Kürze: Bankwesen und Finanzmarktinfrastrukturen stehen zwar in Anlage 1 des NISG 2026 — entscheidend ist aber der Vorrang von DORA: Für Einrichtungen im Anwendungsbereich der Verordnung (EU) 2022/2554 (DORA) gehen deren Bestimmungen vor (§ 24 Abs. 7 NISG). In der Praxis erfüllen Kreditinstitute, Wertpapierfirmen, Handelsplätze, zentrale Gegenparteien & Co. ihre IKT-Risikopflichten also nach DORA, nicht nach dem NISG-Regime. Aber: IKT-Drittdienstleister des Finanzsektors unterliegen auch dem NISG (§ 24 Abs. 8). Unsicher? → Betroffenheit prüfen · Vertiefung: NIS2 vs. DORA.
„Fällt unsere Bank unter NIS2?" ist die falsch gestellte Frage — richtig ist: NIS2 oder DORA? Beide regeln digitale Resilienz, aber für den Finanzsektor hat der Gesetzgeber eine klare Rangfolge vorgesehen.
Der KernDORA geht vor (§ 24 Abs. 7)
Das NISG 2026 stellt ausdrücklich klar: Für Einrichtungen, die in den Anwendungsbereich der DORA-Verordnung (EU) 2022/2554 fallen, gehen die einschlägigen Bestimmungen dieser Verordnung und nationaler Durchführungsbestimmungen vor (§ 24 Abs. 7). DORA ist das sektorspezifische Regelwerk für die Finanzbranche und seit 17.01.2025 anwendbar.
DORA erfasst u. a. Kreditinstitute, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Versicherungs- und Rückversicherungsunternehmen, zentrale Gegenparteien, Handelsplätze sowie viele weitere Finanzunternehmen. Für sie gilt: Die IKT-Risikomanagement-, Vorfallmeldungs- und Testpflichten richten sich nach DORA, nicht nach §§ 32 ff NISG.
⚠️ Konsequenz: Eine Bank, die unter DORA fällt, setzt DORA um — nicht zusätzlich das NISG-Regime für dieselben Bereiche. Das vermeidet Doppelregulierung. Welche Pflichten DORA und NIS2 unterscheiden, zeigt der Beitrag NIS2 vs. DORA.
Warum stehen Bankwesen & Finanzmarkt dann in Anlage 1?
Die Sektoren sind in Anlage 1 gelistet (Nr. 3 Bankwesen = Kreditinstitute i. S. d. CRR; Nr. 4 Finanzmarktinfrastrukturen = Betreiber von Handelsplätzen, zentrale Gegenparteien), damit der Geltungsbereich vollständig abgebildet ist. Der Vorrang nach § 24 Abs. 7 sorgt dann dafür, dass die speziellere DORA-Regelung greift. Die Anlage-1-Listung ist also nicht widersprüchlich, sondern wird durch die Vorrangregel aufgelöst.
Die wichtige AusnahmeIKT-Drittdienstleister (§ 24 Abs. 8)
DORA verlagert viel Verantwortung auf die IKT-Drittdienstleister der Finanzbranche (Cloud, Rechenzentren, Software, Managed Services). Das NISG stellt klar: Diese Drittdienstleister unterliegen auch dem NISG (§ 24 Abs. 8) — sie können also über ihren eigenen Sektor (z. B. „Digitale Infrastruktur" oder „Verwaltung von IKT-Diensten") direkt NISG-pflichtig sein. Wer IT-Dienstleister für Banken ist, sollte daher beide Perspektiven prüfen → NIS2 für IT-Dienstleister.
Was bedeutet das praktisch?
- Sie sind Bank / Finanzunternehmen im DORA-Anwendungsbereich → maßgeblich ist DORA; das NISG-Risikoregime tritt für Sie zurück (§ 24 Abs. 7). Eine separate NISG-Registrierung als Bank ist damit in der Regel nicht der richtige Weg — DORA prüfen.
- Sie sind IKT-Dienstleister des Finanzsektors → Sie können direkt NISG-pflichtig sein (§ 24 Abs. 8), zusätzlich zu DORA-Anforderungen, die Ihre Finanzkunden an Sie weitergeben.
- Im Zweifel den genauen DORA-Anwendungsbereich prüfen — die Abgrenzung ist Einzelfall.
NIS2 oder DORA — wo stehen Sie?
Klären Sie zuerst Ihre Einordnung. Der kostenlose Check kennzeichnet Finanzkonstellationen für die nähere DORA-Prüfung. → Jetzt kostenlos prüfen
Häufige Fragen (FAQ)
Gilt NIS2 für Banken in Österreich? Bankwesen steht in Anlage 1 des NISG 2026, aber für Einrichtungen im DORA-Anwendungsbereich gehen die DORA-Bestimmungen vor (§ 24 Abs. 7). In der Praxis erfüllen Kreditinstitute ihre IKT-Pflichten nach DORA, nicht nach dem NISG-Regime.
Was ist der Unterschied zwischen NIS2 und DORA für Finanzunternehmen? DORA ist das sektorspezifische, unmittelbar geltende EU-Regelwerk für die Finanzbranche (seit 17.01.2025); NIS2/NISG ist die allgemeine Cybersicherheitsregelung. Für Finanzunternehmen im DORA-Anwendungsbereich hat DORA Vorrang. Details: NIS2 vs. DORA.
Fallen IT-Dienstleister von Banken unter NIS2? Ja, möglich: IKT-Drittdienstleister des Finanzsektors unterliegen auch dem NISG (§ 24 Abs. 8) und können über ihren eigenen Sektor direkt erfasst sein → NIS2 für IT-Dienstleister.
Müssen sich Banken nach § 29 NISG registrieren? Soweit DORA vorgeht (§ 24 Abs. 7), ist die NISG-Registrierung als Bank in der Regel nicht der einschlägige Weg. Maßgeblich ist der konkrete DORA-Anwendungsbereich — im Zweifel anwaltlich/aufsichtsrechtlich klären.
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich sind die Gesetzestexte (NISG 2026, BGBl. I Nr. 94/2025; DORA, VO (EU) 2022/2554). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, FMA.