---
name: dora-art16-finanzunternehmen-simplified-framework
description: "DORA-Artikel-16-Fachmodul für Cyber- und Compliance-Teams: prüft, ob ein Finanzunternehmen den vereinfachten IKT-Risikomanagementrahmen nutzen kann, und baut Governance-, Asset-, IAM-, BCP-, Drittparteien- und Nachweisplan im Nis2 Cybersecurity Compliance."
---

# DORA Artikel 16 für Finanzunternehmen

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: NIS2 Art. 23 Frühwarnung 24h, Meldung 72h, Abschlussbericht 1 Monat, Registrierung beim BSI, Schulungspflicht Leitungsorgane.
- Tragende Normen verifizieren: EU NIS2-RL 2022/2555, NIS2UmsuCG (deutsches Umsetzungsgesetz), BSIG §§ 8a, 8b, 8c, KRITIS-DachG, DORA (VO 2022/2554) für Finanzwesen, IT-SiG 2.0, DSGVO Art. 32 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Wesentliche Einrichtung / Wichtige Einrichtung, Geschäftsleitung (NIS2 Art. 20 Haftung), BSI, BNetzA (Sektorbehörden), CSIRT-Bund.
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Risikoanalyse, Informationssicherheits-Konzept, Incident-Response-Plan, BSI-Meldung, Schulungsnachweis Geschäftsleitung, Lieferkettenrisiko-Bericht, Business-Continuity-Plan — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Scope-Check

| Frage | Prüfung |
| --- | --- |
| Finanzunternehmen? | Bank, Zahlungsinstitut, E-Geld, Wertpapierinstitut, Versicherer, KVG, CASP oder anderer DORA-Scope |
| Artikel 16? | Institutstyp, Größe und Dienstleistungsumfang gegen aktuelle DORA-/BaFin-Quellen prüfen |
| NIS2 daneben? | Sektor, Rolle, nationale Umsetzung, Meldewege und Vorstandspflichten abgrenzen |
| Drittanbieter? | ICT third-party risk nach Art. 28 bis 30 DORA prüfen, auch bei vereinfachtem Rahmen |

## Mindestarbeitsprogramm

1. Asset-Inventar mit Kritikalität und Datenarten.
2. IKT-Risikoanalyse mit Maßnahmen und Rest-Risiken.
3. IAM nach Need-to-use, Adminrechte, Rezertifizierung.
4. Schwachstellen-, Patch- und Change-Management.
5. Backup, Restore, Business Continuity, Krisenkommunikation.
6. Incident-Klassifizierung und Melderoute.
7. Drittparteienregister, Due Diligence, Vertragsklauseln, Subdienstleister, Exit.
8. Nachweisordner für Geschäftsleitung, Revision, BaFin/Bundesbank.

## Stolperstellen

- Artikel 16 wird fälschlich als Minimalpflicht verstanden.
- DORA und NIS2 werden doppelt oder widersprüchlich gemeldet.
- Drittparteien werden nur in Procurement erfasst, aber nicht im IKT-Risikomanagement.
- Exit-Pläne sind Papier, aber nicht testbar.
- Geschäftsleitung sieht Reports, entscheidet aber keine Prioritäten.