ISO 27001 im Finanzsektor

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) für Banken, Versicherungen, Zahlungsdienstleister und eine wachsende Zahl von FinTechs unmittelbar anwendbar. DORA beschreibt, was Finanzdienstleister beim Thema digitaler operativer Resilienz leisten müssen. ISO 27001 beschreibt, wie du das strukturiert und prüfbar nachweist. Genau deshalb ist ISO 27001 in der Finanzbranche 2026 keine Option mehr, sondern der kürzeste Weg zur DORA-Konformität und zur Erwartung der BaFin.

Dieser Leitfaden zeigt dir, warum Finanzinstitute trotz DORA zusätzlich ein zertifiziertes ISMS nach ISO 27001 brauchen, welche Controls im Finanzsektor den größten Hebel haben, wie groß die Überlappung zwischen DORA und ISO 27001 wirklich ist und was bei der BaFin-Aufsicht tatsächlich zählt.

Warum ISO 27001 trotz DORA

DORA ist Pflicht, aber DORA ist kein Zertifikat. Die Verordnung beschreibt Anforderungen, aber nicht, wie du deren Erfüllung gegenüber Aufsicht, Kunden oder Partnern nachweist. Genau diese Rolle übernimmt ISO 27001. Ein durch eine akkreditierte Stelle zertifiziertes ISMS ist der einfachste Beweis, dass deine Sicherheitsprozesse strukturiert, dokumentiert und auditiert sind. BaFin-Prüfer kennen ISO 27001, sie bauen ihre Prüfschwerpunkte in aller Regel auf genau diesen Strukturen auf.

Für FinTechs und Zahlungsdienstleister kommt ein zweiter Grund hinzu. Banken als B2B-Kunden verlangen in Onboarding-Prozessen fast immer entweder ISO 27001 oder SOC 2 Typ 2. Ohne eines dieser Zertifikate werden Sales-Zyklen länger, manchmal scheitern sie ganz. Wer mit Unternehmen wie Deutsche Bank, Commerzbank oder großen Versicherern arbeiten möchte, kommt an ISO 27001 nicht vorbei.

DORA und ISO 27001: die 80-Prozent-Regel

Eine detaillierte Analyse der DORA-Pflichten gegen die ISO 27001:2022 Anforderungen zeigt eine Überlappung von rund 80 Prozent. Die ICT-Risikomanagement-Pflichten aus DORA Art. 6 bis 16 werden durch Klausel 6.1.2 und die Risikobehandlungs-Kontrollen aus Annex A nahezu vollständig abgedeckt. Die Third-Party-Risk-Management-Regelungen aus DORA Art. 28 bis 44 entsprechen im Kern den Controls A.5.19 bis A.5.23. Incident Management aus DORA Art. 17 bis 23 wird durch A.5.24 bis A.5.27 abgebildet.

Die verbleibenden 20 Prozent sind DORA-spezifisch, vor allem das Threat-Led Penetration Testing (TLPT) für besonders kritische Akteure und die strengeren Meldefristen für ICT-bezogene Vorfälle. Beides lässt sich sauber in ein bestehendes ISMS einbetten. Einen vollständigen Abgleich findest du in unserem Vergleich ISO 27001 vs. DORA.

Relevante Controls für den Finanzsektor

Die folgenden acht Controls sind in der Finanzbranche wegen DORA und BaFin-Erwartungen besonders relevant. Wer diese Punkte sauber umsetzt, hat den Großteil der aufsichtsrechtlichen Erwartungen bereits abgedeckt.

Zielgruppen: Wer im Finanzsektor braucht ISO 27001

FinTechs, die Firmenkunden gewinnen wollen, stoßen spätestens im Sales- Prozess auf ISO 27001 als Gate. Zahlungsdienstleister mit BaFin-Erlaubnis nach ZAG brauchen belastbare Nachweise zu PSD2, DORA und MaRisk. Vermögensverwalter und Kapitalverwaltungsgesellschaften (KVGen) stehen unter MaRisk und MaGo, die wiederum inhaltlich stark an ISO 27001 erinnern. Versicherungen sind über VAG und die Rundschreiben der BaFin ohnehin auf ein strukturiertes ISMS verpflichtet. In all diesen Fällen ist ISO 27001 der kürzeste Weg von regulatorischer Pflicht zu prüfbarem Nachweis.

Zeitlicher und finanzieller Rahmen

Für ein Finanzinstitut mittlerer Größe, etwa ein FinTech mit 50 bis 200 Mitarbeitenden oder eine KVG mit 100 bis 300 Mitarbeitenden, liegt die realistische ISO 27001-Einführungszeit bei 9 bis 14 Monaten. Der Finanzsektor hat typisch einen höheren Ausgangsreifegrad als andere Branchen, weil MaRisk, VAG oder PSD2 bereits vergleichbare Strukturen fordern.

Kostenseitig solltest du mit 30.000 bis 90.000 EUR für das erste Jahr rechnen, inklusive Zertifizierung, interner Aufwände und begrenzter externer Beratung. Surveillance-Audits kosten jährlich 3.500 bis 6.000 EUR. FinTechs bis 50 Mitarbeitende kommen am unteren Ende an, Versicherungen und mittlere Banken eher am oberen. Self-Service mit Kopexa senkt die Tool-Kosten auf 249 EUR pro Monat, internes Personal bleibt unerlässlich. Details in der ISO 27001 Kostenübersicht.

Typische Fallstricke im Finanzsektor

• 1.MaRisk-Dokumentation statt ISMS-Betrieb: Viele Institute haben detaillierte MaRisk-Handbücher, die aber in der Realität wenig gelebt werden. ISO 27001-Auditoren prüfen explizit die Lebensrealität. Papier allein genügt nicht.
• 2.Register of Information unvollständig: DORA Art. 28 verlangt ein strukturiertes Register aller ICT-Drittanbieter mit Kritikalitätsbewertung. Ein Excel-Sheet mit 20 Einträgen reicht für einen typischen FinTech nicht.
• 3.TLPT-Anforderungen ignoriert: Besonders relevante Finanzinstitute müssen Threat-Led Penetration Testing durchführen. Das ist kein klassischer Pentest, sondern ein szenariobasierter Red-Team-Ansatz. Wer das erst in der Zertifizierung entdeckt, verliert ein Quartal.
• 4.Cloud-Exit-Strategien nur auf dem Papier: DORA verlangt testbare Exit-Pläne für jeden kritischen Cloud-Dienst. Im Audit werden konkrete Szenarien abgefragt, nicht allgemeine Aussagen.

FAQ: ISO 27001 im Finanzsektor

Nächster Schritt