NIS-2 vs. DORA: Unterschiede und Gemeinsamkeiten

Mit dem Digital Operational Resilience Act (DORA) und der Network and Information Security Directive (NIS-2) hat die Europäische Union zwei bedeutende Regelwerke verabschiedet, die Unternehmen und Organisationen zu höherer Cybersicherheit und digitaler Resilienz verpflichten.

Während beide Gesetze dasselbe übergeordnete Ziel verfolgen — Europa widerstandsfähiger gegen Cyberbedrohungen zu machen — unterscheiden sie sich erheblich in Anwendungsbereich, Anforderungen und Durchsetzung.

Was ist NIS-2?

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die erweiterte Nachfolgerin der NIS-1-Richtlinie. Sie wurde im Januar 2023 in Kraft gesetzt und musste bis Oktober 2024 in nationales Recht umgesetzt werden.

Wer ist betroffen? NIS-2 gilt für Unternehmen in 18 Sektoren, unterteilt in “wesentliche” und “wichtige” Einrichtungen — ab einer bestimmten Größe (i.d.R. >50 Mitarbeitende oder >10 Mio. € Umsatz):

• Energie, Transport, Gesundheit
• Digitale Infrastruktur, Cloud-Anbieter, Rechenzentren
• Verarbeitendes Gewerbe, Lebensmittel, Chemie
• Öffentliche Verwaltung

Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist ein EU-Regelwerk speziell für den Finanzsektor. Es ist seit Januar 2025 vollständig anwendbar.

Wer ist betroffen? DORA gilt für nahezu alle Finanzdienstleister in der EU:

• Banken und Kreditinstitute
• Versicherungen und Rückversicherungen
• Wertpapierdienstleister, Fondsmanager
• Zahlungsdienstleister, E-Money-Institute
• Kryptowährungs-Dienstleister
• IKT-Drittdienstleister für Finanzunternehmen

Gemeinsamkeiten: Wo überschneiden sich NIS-2 und DORA?

Beide Gesetze fordern im Kern:

1. Systematisches IT-Risikomanagement
2. Incident Response und Meldepflichten
3. Lieferantensicherheit (Third-Party Risk Management)
4. Schulungen der Leitungsorgane
5. Regelmäßige Tests der Sicherheitsmaßnahmen

Unterschiede: Was macht jedes Regelwerk einzigartig?

NIS-2

• Breiter Anwendungsbereich (18 Sektoren)
• Fokus auf Netz- und Informationssicherheit
• Nationale Umsetzung durch die EU-Mitgliedstaaten (unterschiedliche Details)
• Bußgelder bis 10 Mio. € oder 2 % des Umsatzes

DORA

• Ausschließlich Finanzsektor — aber sehr detailliert
• EU-weit einheitliche Verordnung (kein nationaler Spielraum)
• Besondere Anforderungen an IKT-Drittanbieter (Cloud, Software)
• Verpflichtende Threat-Led Penetration Tests (TLPT) für bedeutende Institute
• Bußgelder bis 1 % des täglichen weltweiten Umsatzes

Was müssen Unternehmen tun, die von beiden betroffen sind?

Finanzunternehmen in regulierten Sektoren (z.B. Banken in kritischer Infrastruktur) können sowohl von NIS-2 als auch von DORA betroffen sein. In diesem Fall gilt:

• DORA geht vor: Für Finanzunternehmen ist DORA das spezifischere Regelwerk.
• Synergien nutzen: Viele DORA-Anforderungen erfüllen gleichzeitig NIS-2-Anforderungen.
• Gap-Analyse empfohlen: Prüfen, welche Anforderungen noch nicht abgedeckt sind.

Handlungsempfehlungen

1. Betroffenheit prüfen: Welches Regelwerk (oder beide) gilt für Ihr Unternehmen?
2. Bestandsaufnahme: Was ist bereits umgesetzt, was fehlt noch?
3. Prioritäten setzen: Meldepflichten und Governance zuerst — das sind die härtesten Fristen.
4. Lieferkette einbeziehen: Datenschutz- und Sicherheitsanforderungen auch an Dienstleister stellen.
5. Schulung der Führung: §38 NIS2UmsuCG und DORA fordern nachweisliche Schulungen.

Fazit

NIS-2 und DORA verfolgen dasselbe Ziel, aber mit unterschiedlichen Werkzeugen. Für viele Unternehmen — insbesondere im Finanzsektor — bedeutet das eine Doppelbelastung. Der kluge Ansatz: Beide Regelwerke gemeinsam adressieren, Synergien nutzen und ein robustes, integriertes Cybersicherheitsprogramm aufbauen.

Sind Sie unsicher, ob und wie NIS-2 oder DORA für Ihr Unternehmen gilt? Sprechen Sie jetzt mit unseren Compliance-Experten.