DORA vs. NIS2: Was ist der Unterschied, und müssen Sie beide einhalten?

Cyberbedrohungen haben sich im letzten Jahrzehnt dramatisch entwickelt. Angriffe, die einst einzelne Unternehmen ins Visier nahmen, betreffen nun ganze Sektoren, stören die nationale Infrastruktur und bedrohen die Stabilität der Finanzsysteme. In Anerkennung dieses wachsenden Risikos hat die Europäische Union eine Reihe von Cybersicherheitsvorschriften eingeführt, die darauf abzielen, die digitale Widerstandsfähigkeit sowohl bei kritischen Dienstleistungen als auch bei Finanzinstituten zu stärken.

Zwei der bedeutendsten und weitreichendsten Vorschriften auf diesem Gebiet sind der Digital Operational Resilience Act (DORA) und die Network and Information Security Directive (NIS2). Auf den ersten Blick könnten sie ähnliches Terrain abdecken. Beide sind darauf ausgelegt, die Cybersicherheitsvorbereitung zu verbessern und die Geschäftskontinuität während IKT-bedingter Störungen zu gewährleisten. Doch genauer hinschauen, zeigen wichtige Unterschiede in Umfang, Durchsetzung und Anwendbarkeit.

Wenn Sie unsicher sind, wie Sie Compliance effizient verwalten können oder ob Ihre Organisation unter eine, beide oder keine fällt, hilft dieser Leitfaden, die Situation zu klären.

Warum die EU sowohl DORA als auch NIS2 eingeführt hat

In den letzten zehn Jahren hat sich Cybersicherheit von einem technischen Silo zu einem zentralen strategischen Thema entwickelt. Die EU führte sowohl DORA als auch NIS2 als Reaktion auf die wachsende digitale Interdependenz und einen alarmierenden Anstieg von Cyberangriffen auf wesentliche Dienste ein. Prominente Ransomware-Vorfälle, Datenpannen und Angriffe in der Lieferkette haben gezeigt, dass Störungen in einer Organisation schnell ganze Branchen oder Regionen betreffen können.

NIS2 entstand, um Schwachstellen in einer Vielzahl kritischer Sektoren zu beheben, während DORA mit einem stärkeren Fokus auf die Stabilität des Finanzsystems entwickelt wurde. Diese sektorspezifische Regelung erkennt an, dass ein einzelner IKT-Vorfall bei einer großen Bank, Zahlungsinstitution oder Finanzinfrastruktur systemische Risiken in der gesamten europäischen Wirtschaft auslösen könnte.

Anstatt ihre Bemühungen zu duplizieren, gestaltete die EU diese beiden Rahmenwerke so, dass sie sich ergänzen. Zusammen decken sie ein Spektrum digitaler Risiken ab, das keine einzelne Regulierung allein ausreichend abdecken könnte.

Was ist DORA?

Das Digital Operational Resilience Act (DORA) ist eine verbindliche EU-Verordnung, die im Januar 2025 in Kraft trat. Sie konzentriert sich speziell auf den Finanzsektor und seine Abhängigkeit von digitaler Technologie.

Das Hauptziel von DORA ist es, sicherzustellen, dass Finanzeinrichtungen IKT-bedingte Vorfälle überstehen, darauf reagieren und sich von ihnen erholen können. DORA legt einheitliche Regeln für das Management von IKT-Risiken im Finanzsektor fest. Sie verlangt von regulierten Unternehmen:

• Implementierung und Testen von IKT-Risikomanagement-Frameworks
• Melden Sie größere IKT-bezogene Vorfälle innerhalb bestimmter Zeiträume
• Klassifizieren und überwachen Sie kritische Drittanbieter von IKT-Diensten
• Durchführung von Resilienztests
• Teilnahme an Informationsaustauschvereinbarungen

Eines der prägenden Merkmale von DORA ist ihr sektorspezifischer Wirkungsbereich. Es ist auf Finanzunternehmen zugeschnitten, darunter Banken, Versicherer, Investmentfirmen, Zahlungsdienstleister, Rentenanbieter, Ratingagenturen und Anbieter von Krypto-Asset-Dienstleistungen.

Darüber hinaus vereint DORA IKT-Anbieter unter seinem regulatorischen Dach. Jeder Drittanbieter, der kritische digitale Dienstleistungen an Finanzinstitute erbringt, kann ebenfalls in den Anwendungsbereich fallen – entweder direkt oder indirekt durch Aufsichtsmechanismen.

Da DORA eine Verordnung ist, gilt sie einheitlich in allen EU-Mitgliedstaaten, ohne dass eine nationale Übertragung erforderlich ist. Dies gewährleistet rechtliche Konsistenz und vereinfacht die Compliance-Strategien multinationaler Finanzinstitute.

Was ist NIS2?

Die Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) ist eine aktualisierte Version der ursprünglichen NIS-Richtlinie, die 2016 verabschiedet wurde. NIS2 trat im Januar 2023 in Kraft, wobei die Mitgliedstaaten ihn bis Oktober 2024 in nationale Gesetzgebung umsetzen müssen.

NIS2 verfolgt einen horizontalen, sektorübergreifenden Ansatz in der Cybersicherheit. Sie deckt eine breite Palette von Branchen ab, die als essenziell oder für gesellschaftliche und wirtschaftliche Funktionen von Bedeutung angesehen werden. Dazu gehören Energie, Verkehr, Gesundheit, Wasser, digitale Infrastruktur (z. B. DNS-Anbieter, Rechenzentren), öffentliche Verwaltung, IKT-Dienstleistungen sowie Raumfahrt und Fertigung (für bestimmte Sektoren)

Entitäten unter NIS2 werden je nach ihrer Kritikalität entweder als essentiell oder wichtig eingestuft. Beide Kategorien haben Verpflichtungen wie:

• Implementierung von Risikomanagement- und Sicherheitsmaßnahmen
• Meldung bedeutender Vorfälle innerhalb von 24 Stunden
• Sicherstellung der Verantwortlichkeit des oberen Managements für Cybersicherheit
• Unter Aufsicht durch nationale Regulierungsbehörden

Da NIS2 eine Richtlinie ist, variiert ihre Durchsetzung leicht zwischen den Mitgliedstaaten, abhängig davon, wie jedes Land sie in das nationale Recht umsetzt.

Lassen Sie uns die Unterschiede mit einem schnellen direkten Vergleich visualisieren:

Wichtige Unterschiede zwischen DORA und NIS2

Obwohl beide Vorschriften Cybersicherheit und operative Resilienz betreffen, unterscheiden sie sich in mehreren grundlegenden Punkten:

1. Anwendungsbereich
DORA ist sektorsspezifisch und konzentriert sich ausschließlich auf den Finanzsektor und seine digitalen Dienstleister. NIS2 ist sektorübergreifend und deckt ein breiteres Spektrum wesentlicher und wichtiger Industrien in der gesamten EU-Wirtschaft ab.

2. Rechtsformat
DORA ist eine EU-Verordnung, die sie direkt in allen Mitgliedstaaten anwendbar macht, ohne dass einzelne Länder lokale Gesetze entwerfen müssen. NIS2 ist eine Richtlinie, was bedeutet, dass jedes Land sie in nationales Recht umsetzen muss, was zu geringfügigen Unterschieden zwischen den Rechtsordnungen führen kann.

3. Aufsichtsmodell
DORA führt eine zentralisierte Aufsicht ein, die weitgehend auf EU-Ebene von Gremien wie den Europäischen Aufsichtsbehörden (ESAs) koordiniert wird. NIS2 hingegen folgt einem dezentralen Modell, bei dem jedes Land seine eigenen National Competent Authorities (NCAs) zur Überwachung der Einhaltung bestimmt.

4. Grad der Präskriptivität
DORA legt detaillierte, vorschreibende Anforderungen bezüglich des IKT-Risikomanagements, der Aufsicht durch Lieferanten, Tests und der Incident-Response für Finanzinstitute fest. NIS2 konzentriert sich stärker auf Ergebnisse und Prinzipien und gewährt den nationalen Behörden Ermessensspielraum bei der Auslegung spezifischer Kontrollen.

5. Aufsicht durch Dritte
DORA überträgt direkte regulatorische Verpflichtungen gegenüber kritischen IKT-Drittanbietern, die den Finanzsektor bedienen. NIS2 legt den Schwerpunkt auf ein breiteres Risiko in der Lieferkette, beschränkt sich jedoch in der Regel auf eine Regulierung einzelner Anbieter, es sei denn, sie fallen in den direkten Anwendungsbereich von NIS2 (z. B. große Anbieter digitaler Infrastruktur).

Wo sich die beiden Rahmenwerke überschneiden

Trotz ihrer Unterschiede teilen DORA und NIS2 mehrere Bereiche operativer und prozeduraler Ausrichtung. Wenn Ihre Organisation unter beide Rahmenwerke fällt, werden Sie Überschneidungen bemerken bei:

• Vorfallmeldung: Beide Vorschriften schreiben die rechtzeitige Meldung bedeutender IKT-Vorfälle vor, wobei die Meldefristen und -formate unterschiedlich sein können.
• Governance-Strukturen: Die Verantwortlichkeit des oberen Managements und die Beteiligung des Vorstands an der Cybersicherheitsgovernance sind zentrale Erwartungen in beiden Rahmenwerken.
• Lieferantenrisikomanagement: Beide erfordern Aufsicht und Risikobewertungen für Drittanbieter, allerdings mit unterschiedlichen Graden der Vorschrift.
• Geschäftskontinuität und Tests: Laufende Resilienztests und szenariobasierte Planung sind Schlüsselkomponenten sowohl bei DORA als auch bei NIS2.
• Kultureller Wandel: Beide Rahmenwerke signalisieren, dass Cybersicherheit nicht mehr ausschließlich im IT-Bereich liegen kann. Rechts-, Risiko-, Beschaffungs- und Führungsteams müssen alle aktive Rollen übernehmen.
• Für multinationale Organisationen, insbesondere IKT-Anbieter und digitale Infrastrukturunternehmen, kann diese Überschneidung Komplexität schaffen, aber auch die Möglichkeit bieten, einen einheitlichen Compliance-Rahmen zu schaffen, der beide Anforderungen gleichzeitig abdeckt.

Was, wenn du unter beide fällst?

Das ist nicht nur eine theoretische Frage. Viele große Unternehmen – insbesondere IKT-Anbieter, Anbieter digitaler Infrastruktur und Finanzsoftwarefirmen – könnten sowohl DORA als auch NIS2 unterliegen.

Wenn das auf Sie zutrifft, ist es entscheidend, eine Compliance-Ausrichtungsstrategie zu entwickeln. Dies beginnt damit, beide Verpflichtungen mit Ihren bestehenden Kontrollen abzugleichen und zu identifizieren, wo Prozesse einheitlich werden können. Zum Beispiel könnten Sie Ihre Vorfall-Response-Playbooks zentralisieren, die interne Governance standardisieren und die Onboarding-Prozesse für Anbieter so optimieren, dass beide Frameworks gleichzeitig berücksichtigt werden.

Funktionsübergreifende Zusammenarbeit ist unerlässlich. Rechts-, Compliance-, Sicherheits-, IT- und Beschaffungsteams müssen sich koordinieren, um Doppelarbeit zu vermeiden und Lücken zu verringern. Es kann auch hilfreich sein, einen designierten Programminhaber zu ernennen, der für die Aufrechterhaltung der Synergie zwischen DORA und NIS2-Implementierung verantwortlich ist.

Und denken Sie daran, dass die gesetzlichen Vorgaben zwar unterschiedlich sind, das Ziel aber dasselbe ist: Zu beweisen, dass Ihre Organisation digital vorbereitet, widerstandsfähig und in der Lage ist, reale Störungen zu bewältigen.

Ausblick: Der breitere regulatorische Kontext

DORA und NIS2 sind keine isolierten Initiativen. Sie sind Teil eines umfassenderen EU-Regulierungstrends hin zu mehr digitaler Resilienz, Cybersicherheitsverantwortung und Transparenz in der Lieferkette.

Bevorstehende Vorschriften wie das Cyber Resilience Act (CRA) und das EU-KI-Gesetz werden weitere Anforderungen in Bezug auf Softwaresicherheit und neue Technologien einführen. Organisationen, die heute flexible, skalierbare Compliance-Rahmenwerke entwickeln, sind besser in der Lage, sich anzupassen, während sich die regulatorische Landschaft weiterentwickelt.

Eine neue Ära der regulatorischen Cyber-Reife

DORA und NIS2 sind zwei der ehrgeizigsten Cybersicherheitsvorschriften, die je von der Europäischen Union eingeführt wurden. Gemeinsam markieren sie einen bedeutenden Wendepunkt darin, wie Organisationen über Resilienz, Verantwortung und Risiko nachdenken müssen.

Obwohl sie verschiedene Sektoren bedienen und unterschiedliche gesetzliche Wege verfolgen, sind die ihnen zugrunde liegenden Prinzipien einheitlich: Digitale Abläufe müssen robust sein, Risiken müssen aktiv gemanagt werden, und Störungen müssen reparierbar sein.

Für Organisationen, die beiden unterliegen, liegt die Herausforderung in der Integration. Für diejenigen, die dem einen oder anderen unterliegen, bleibt die Botschaft klar: Cyberresilienz ist kein Wettbewerbsvorteil mehr. Es ist eine Grunderwartung.

Benötigen Sie Klarheit darüber, wie DORA Ihr Team beeinflusst? Unser DORA Essentials-Kurs bietet einen tieferen Einblick darin, wie die Regulierung strukturiert ist, was sie für Ihre Organisation bedeutet und wie Sie beginnen, sich mit den fünf Hauptsäulen in Einklang zu bringen. Es ist ein praktischer Weg, von der Theorie zur Praxis zu gelangen – besonders für Finanzinstitute und deren IKT-Anbieter, die sich in diesem sich wandelnden Umfeld navigieren.