Digitalisierungsmanager in Banken und Versicherungen: BaFin, NIS2, MaRisk

Banken und Versicherungen sind 2026 die regulatorisch komplexeste Branche für Digitalisierungsmanager in Deutschland. Wer hier arbeitet, jongliert gleichzeitig mit BaFin-Aufsicht, MaRisk, DORA, NIS2 und EU AI Act. Die Bezahlung ist überdurchschnittlich, das Tempo zäher als in anderen Branchen, der Aufwand für jedes Projekt höher. Wer auf schnelle Wins steht, wird hier nicht glücklich. Wer Compliance-Tiefe sucht und Strukturen mag, schon.

Warum Banken und Versicherungen ein eigenes Spielfeld sind

Eine Bank ist kein normaler Mittelständler. Selbst eine Sparkasse mit 200 Mitarbeitern unterliegt Aufsichtsanforderungen, die sonst nur Großkonzerne kennen. BaFin schreibt vor, wie IT-Systeme dokumentiert werden müssen. MaRisk regelt, wie Risiken gemessen und gesteuert werden. DORA verlangt seit Januar 2025 ein lückenloses ICT-Risikomanagement. NIS2 ergänzt Cybersecurity-Anforderungen. Über alldem hängt seit Februar 2025 der EU AI Act mit der Schulungspflicht aus Art. 4, ab August 2026 dann mit den Hochrisiko-Pflichten.

Das ist 2026 keine theoretische Diskussion mehr. Die BaFin hat im Jahresbericht 2025 explizit klargestellt, dass KI-Systeme als ICT-Risiken unter DORA fallen. Wer eine KI im Bankenkontext einsetzt, muss sie wie jedes andere ICT-System dokumentieren, steuern, kontrollieren, plus die KI-spezifischen Risikodimensionen abbilden.

Ein DigiMan in einer mittelständischen Privatbank verbringt 30 bis 40 Prozent seiner Arbeitszeit mit Dokumentation und Auditvorbereitung. In einer Versicherung ähnlich. In einem normalen Industriemittelständler sind es vielleicht 5 bis 10 Prozent. Wer das nicht akzeptieren kann, ist in der Finanzbranche fehl am Platz.

Welche Anwendungen Hochrisiko-KI sind

Der EU AI Act unterscheidet zwischen Risikoklassen. Hochrisiko-KI nach Art. 6 KI-VO unterliegt strengen Pflichten, die ab 02.08.2026 voll wirksam werden. Banken und Versicherungen sind besonders betroffen, weil viele klassische Anwendungen explizit als Hochrisiko eingestuft sind.

Anhang III der KI-VO listet unter anderem KI-Systeme zur Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen als Hochrisiko. Das trifft den Kern des Bankgeschäfts. Wer eine KI-gestützte Kreditentscheidung trifft, fällt unter Hochrisiko. Wer ein internes Scoring nutzt, das zumindest eine Entscheidungsgrundlage bildet, ebenfalls. KI-Systeme zur Risikobewertung in Lebens- und Krankenversicherungen sind ebenfalls Hochrisiko.

Was viele Häuser unterschätzen: Auch HR-KI fällt darunter, wenn sie Bewerber filtert oder Performance bewertet. Eine KI, die Bewerbungsunterlagen vorqualifiziert, ist nach Anhang III Punkt 4 Hochrisiko. Das gilt für jeden Arbeitgeber, in der Finanzbranche aber besonders relevant, weil HR-Prozesse hier oft formalisiert und KI-gestützt sind.

Die Pflichten für Hochrisiko-KI umfassen Risikomanagementsystem, Datenqualitätsmanagement, technische Dokumentation, Aufzeichnungspflichten, Transparenz, menschliche Aufsicht, Cybersicherheit. Das ist kein Häkchen auf einer Compliance-Liste, das ist ein eigenes Programm, das ein bis zwei Personen Vollzeit beschäftigt, je nach Anzahl der eingesetzten Systeme.

Ein DigiMan in einer Bank ist 2026 oft Teil dieses Programms. Nicht als Compliance-Officer (das ist eine andere Rolle), aber als technischer Treiber, der die Anforderungen in funktionierende Prozesse übersetzt.

DORA: Was sich seit Januar 2025 geändert hat

DORA (Digital Operational Resilience Act) ist seit dem 17. Januar 2025 voll anwendbar. Für Banken und Versicherungen heißt das: Pflicht zu lückenloser Dokumentation aller IT-Risiken, Pflicht zu Tests der Resilienz inklusive TLPT (Threat-Led Penetration Testing) bei größeren Häusern, Pflicht zu Drittanbieter-Management mit detaillierten Verträgen und Exit-Strategien, Meldepflicht bei IT-Vorfällen mit kurzen Fristen.

In der Praxis hat das die Aufgabenliste eines DigiMan in der Finanzbranche stark erweitert. Wer 2024 noch dachte, ein paar Cloud-Verträge mit AWS oder Azure und gut ist, wird 2026 von der BaFin gefragt, wo der Exit-Plan steht, falls AWS ausfällt. Wer das nicht schriftlich hat, hat ein Problem.

Aktuell (Stand April 2026) ist die Implementierung gemischt. Große Banken haben die Kernanforderungen umgesetzt. Mittelständische Häuser kämpfen noch mit dem ICT-Informationsregister und dem Drittanbieter-Management. Erste BaFin-Prüfungen haben Lücken aufgedeckt, vor allem bei TLPT-Kapazitäten und Cloud-Exit-Strategien.

Ein DigiMan in einer mittelständischen Bank arbeitet 2026 oft monatelang an genau diesen Themen. Das ist kein KI-Pilotprojekt mit schickem Dashboard. Das ist Verträge lesen, Excel-Listen pflegen, Workshops mit IT, Recht und Risikomanagement leiten, Audit-Vorbereitung. Wer das kann, ist in der Branche extrem gefragt.

NIS2: Die Cybersecurity-Komponente

Die NIS2-Richtlinie (EU 2022/2555) wurde durch das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt. In Kraft getreten ist die deutsche Umsetzung 06.12.2025, mit BSI-Registrierungsfristen Anfang 2026.

Banken und Versicherungen fallen in die Kategorie "wesentliche Einrichtungen" und unterliegen damit den vollen Pflichten. Cybersecurity-Risikomanagement, Meldepflicht bei Vorfällen innerhalb 24 Stunden (Frühwarnung) und 72 Stunden (Detailmeldung), Schulungspflicht für Geschäftsleitung, Strafzahlungen bei Verstößen.

Was DORA und NIS2 für Banken bedeuten: Doppelmeldepflichten. Ein einziger IT-Vorfall, etwa ein erfolgreicher Phishing-Angriff auf einen Kreditberater mit Zugang zu KI-Bonitätsbewertung, trigger drei Meldepflichten: NIS2 ans BSI, DORA an die BaFin, EU AI Act gegebenenfalls an die zuständige KI-Behörde. Drei verschiedene Formulare, drei Fristen, drei Behörden.

Ein DigiMan in der Finanzbranche muss diese Überschneidungen kennen. Er ist nicht der Compliance-Officer, aber er baut die technischen Systeme, die diese Meldepflichten ermöglichen. Wer das nicht versteht, baut Lücken in die Architektur.

MaRisk: Was Banken-spezifisch dazukommt

MaRisk (Mindestanforderungen an das Risikomanagement) ist die deutsche Auslegung der europäischen Anforderungen für Banken. Sie gilt seit Jahren, wird aber regelmäßig aktualisiert. Die letzte Novelle (MaRisk 8.0) hat unter anderem die Anforderungen an Auslagerungen und IT-Risiken verschärft.

Für einen DigiMan heißt das: Jedes IT-Projekt, jede neue Software, jede KI-Anwendung muss in den Risikomanagement-Prozess der Bank eingebettet werden. Risikoinventur, Risikobewertung, Risikomitigation, Berichtspflicht an Vorstand und Aufsichtsrat. Das ist nicht optional, das ist Pflicht.

In Versicherungen gibt es das Pendant in Form von VAIT (Versicherungsaufsichtliche Anforderungen an die IT) und MaGo (Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen). Strukturell ähnlich, im Detail anders.

Wer als Quereinsteiger in eine Bank kommt, lernt MaRisk und VAIT in den ersten 6 bis 12 Monaten. Das ist Pflichtwissen, nicht Kürwissen. Externe Schulungen dazu kosten 1.500 bis 3.000 Euro für ein zweitägiges Seminar. Viele Banken senden DigiMans im ersten Jahr auf solche Schulungen.

Gehalt: 65 bis 90k im Mittelfeld

Banken und Versicherungen zahlen im Vergleich der DigiMan-Branchen am oberen Ende. Junior-Positionen (0 bis 2 Jahre) starten bei 55 bis 65k, Mid-Level (3 bis 5 Jahre) bei 65 bis 80k, Senior-Positionen ab 80 bis 110k. Im Großbanken-Umfeld (Deutsche Bank, Commerzbank, Allianz, Munich Re) sind die Spannen 10 bis 15 Prozent höher.

Region macht weniger Unterschied als in anderen Branchen, weil große Finanzhäuser zentral sitzen (Frankfurt, München, Düsseldorf). Wer remote arbeitet, kann oft Frankfurter Gehälter realisieren, ohne dort zu wohnen. Bei kleinen Sparkassen und Volksbanken in der Provinz liegen die Gehälter etwas niedriger, dafür mit weniger Stress.

Was die Finanzbranche gegenüber der Industrie attraktiv macht: Bonus-Strukturen. Ein DigiMan in einer Bank bekommt oft 10 bis 25 Prozent Variable obendrauf, abhängig von Erreichung jährlicher Ziele. In Versicherungen ähnlich. In der Industrie sind 5 bis 10 Prozent variable Anteile typischer.

Was sie unattraktiver macht: Dresscode, Hierarchie, längere Entscheidungswege. Wer Lust auf Hoodie und kurze Dienstwege hat, geht ins Tech-Startup. Wer Anzug und klare Karrierepfade akzeptiert, geht in die Bank.

Mehr zum Gehalt nach Branche findest du im verlinkten Artikel.

Welche zusätzlichen Skills neben dem DigiMan-Standard nötig sind

Eine fundierte DigiMan-Ausbildung wie der 16-wöchige AZAV-Kurs deckt die Grundlagen ab: Prozessanalyse, KI-Tools, Workflow-Automatisierung, EU AI Act, DSGVO. Was in der Finanzbranche dazukommt, ist drei Bereiche tief.

Risk-Frameworks. ISO 31000, COSO ERM, BAIT/VAIT, MaRisk. Du musst nicht jedes Kapitel auswendig können, aber wissen, wie ein Risikoinventar aufgebaut wird, was eine Heatmap bedeutet, wie ein Kontrollsystem funktioniert. Wer aus einem ungeregelten Bereich kommt, unterschätzt das oft.

Audit-Trail-Verständnis. In der Finanzbranche muss alles nachvollziehbar sein. Welcher Mitarbeiter hat wann welche Entscheidung getroffen, mit welchem KI-Output, auf welcher Datengrundlage. Wer ein KI-System baut, das diese Nachvollziehbarkeit nicht garantiert, hat das System verfehlt.

DORA-Spezifika. Drittanbieter-Management, ICT-Informationsregister, Resilience-Tests, Vorfall-Meldepflichten. Diese Themen waren bis 2024 Spezialwissen, sind 2026 Pflichtwissen für jeden, der in der Finanzbranche IT macht.

Diese Skills lernt man am besten on-the-job in den ersten 12 Monaten, ergänzt durch Spezial-Seminare. Eine Standard-DigiMan-Weiterbildung deckt sie nicht ab, weil sie zu branchenspezifisch sind. Wer gezielt in die Finanzbranche will, sollte das im Bewerbungsgespräch sauber adressieren: "Ich bringe die DigiMan-Grundlagen mit, MaRisk und DORA werde ich in den ersten Monaten vertiefen, dazu plane ich eine externe Zertifizierung im ersten Jahr."

Was wir bei Wechslern in die Finanzbranche sehen

Bei unseren DigiMan-Teilnehmern, die nach dem Kurs gezielt in Banken oder Versicherungen wechseln, fällt regelmäßig auf, dass die ersten sechs Monate hart sind. Das Tempo ist langsamer als erwartet, die Bürokratie höher, die Akzeptanz neuer Tools und Prozesse ist konservativ. Wer in dieser Phase ungeduldig wird oder die Compliance-Anforderungen als unnötig abkanzelt, verbrennt sich. Wer akzeptiert, dass die Tiefe der Regulierung ihren Sinn hat (Banken handhaben fremdes Geld, ein Bug kostet schnell Millionen), kommt durch.

Was uns auch auffällt: Die Quereinstiegs-Hürde in die Finanzbranche ist höher als in Industrie oder Mittelstand, dafür sind die Gehälter besser und die Stellen stabiler. Wer einmal drin ist, hat in der Regel einen sicheren Job mit klarem Karrierepfad. Wer ihn verliert, findet meist innerhalb von zwei bis drei Monaten eine ähnliche Position bei einem anderen Finanzdienstleister.

Eine Vermittlung in einen konkreten Banken-Job kann niemand garantieren, auch nicht eine gute Weiterbildung. Was hilft: ein Portfolio mit konkreten Compliance-relevanten Projekten (etwa eine Datenschutz-Folgenabschätzung für eine fiktive KI-Anwendung, ein Audit-Trail-Konzept für ein Workflow-System), Bewerbungsunterlagen mit klarem Bezug zur Finanzbranche, Vorstellungsgespräche mit gezeigtem Verständnis für Aufsichtsanforderungen.

Mehr zum Thema EU AI Act für Quereinsteiger findest du in unserem Compliance-Artikel, der speziell die Anforderungen aus Art. 4 und Anhang III aufdröselt.

Häufige Fragen

Brauche ich für eine DigiMan-Stelle in einer Bank ein BWL- oder VWL-Studium?

In Großbanken wird oft ein wirtschaftswissenschaftliches Studium erwartet, ist aber nicht immer zwingend. In Sparkassen und mittelständischen Privatbanken reichen oft eine fundierte Weiterbildung plus relevante Berufserfahrung. Quereinsteiger ohne Studium haben Chancen, wenn sie ein Portfolio mit Finanzbranchen-Bezug mitbringen und im Vorstellungsgespräch Kenntnis der regulatorischen Rahmen zeigen. Eine Banklehre oder eine Versicherungsausbildung in der Vergangenheit sind starke Pluspunkte.

Wie unterscheidet sich der DigiMan in einer Großbank vom DigiMan in einer Sparkasse?

In der Großbank ist der DigiMan oft Spezialist für ein Teilthema (etwa nur KI-Use-Cases im Privatkundengeschäft, nur DORA-Implementation, nur AML-Automatisierung). In der Sparkasse ist der DigiMan Generalist und deckt von ERP-Modernisierung über KI-Tools bis Mitarbeiter-Schulung alles ab. Großbank zahlt 10 bis 20 Prozent besser, Sparkasse hat oft kürzere Entscheidungswege und mehr Verantwortung pro Person. Karrierepfad in Großbank ist klarer strukturiert, in der Sparkasse breiter angelegt.

Was ist der Unterschied zwischen DORA und NIS2 für meinen Arbeitsalltag?

DORA gilt nur für Finanzunternehmen und ist technisch tiefer. ICT-Risikomanagement, Resilience-Tests, Drittanbieter-Verwaltung, Meldepflicht an die BaFin. NIS2 gilt für deutlich mehr Branchen ("wesentliche und wichtige Einrichtungen") und fokussiert auf Cybersecurity. Cybersicherheits-Risikomanagement, Meldepflicht an das BSI, Schulungspflicht für Geschäftsleitung. Eine Bank fällt unter beide. In der täglichen Arbeit überschneiden sich die Anforderungen zu etwa 60 bis 70 Prozent, der Rest ist jeweils spezifisch.

Wie lange dauert es, bis ich als Quereinsteiger in einer Bank produktiv bin?

Realistisch sechs bis zwölf Monate. Die ersten drei Monate sind Onboarding und Verständnis der Aufsichtsanforderungen. Monate vier bis sechs sind Mitarbeit an bestehenden Projekten unter Anleitung. Ab Monat sieben übernimmst du selbst kleinere Projekte, ab Monat zwölf bist du in der Regel voll einsatzfähig. Wer aus einer ungeregelten Branche (Tech-Startup, Handel, Marketing) kommt, braucht eher zwölf Monate. Wer aus einer regulierten Branche (Pharma, Energie, öffentlicher Sektor) kommt, ist schneller drin.