Wenn die Schwellenwerte des § 28 BSIG-Regierungsentwurfs überschritten sind, gilt das BSIG auch für Finanzunternehmen. Aber § 28 Abs. 5 Nr. 1 BSIG-Regierungsentwurf sieht vor, dass die §§ 30, 31, 32, 35, 36, 38 und 39 BSIG-Regierungsentwurf nicht für Finanzunternehmen nach Art. 2 Abs. 2 DORA (Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act)) gelten. Dasselbe gilt für Unternehmen, für die die Anforderungen der DORA auf Grund von § 1a Abs. 2 des Kreditwesengesetzes oder § 293 Abs. 5 des Versicherungsaufsichtsgesetzes gelten.