machCon Logo
machCon Logo
Bild für NIS2 vs DORA: Digitale Effekte mit einem Mitarbeiter vor dem Computer

NIS2 vs DORA: Unterschiede und Gemeinsamkeiten

NIS2 vs DORA

 

Mit dem Digital Operational Resilience Act (DORA) und der Network and Information Security Directive (NIS2) hat die Europäische Union zwei bedeutende Regelwerke verabschiedet, die Unternehmen und Organisationen zu höherer Cybersicherheit und digitaler Resilienz verpflichten. Während beide Regelwerke dasselbe Ziel verfolgen, gibt es erhebliche Unterschiede in ihrer Anwendung, den betroffenen Sektoren und den jeweiligen Umsetzungsvorgaben. Dennoch herrscht in vielen Unternehmen Unsicherheit darüber, welche Regelung für sie relevant ist und welche Maßnahmen konkret umgesetzt werden müssen. 

In der Vergangenheit haben wir bereits zwei Blog-Beiträge zur NIS-2-Richtlinie veröffentlicht. Diese sind hier zu finden: 

Was ist NIS2  

NIS2 vs ISO27001 

Im Folgenden werden die wichtigsten Unterschiede zwischen NIS2 und DORA aufgezeigt, ihr Anwendungsbereich erläutert und häufige Missverständnisse ausgeräumt.  

 

 

Art der Rechtsvorschrift 

 

Ein wesentlicher Unterschied zwischen NIS2 und DORA liegt in der rechtlichen Natur der beiden Regelwerke. 

NIS-2: Die NIS-2 Richtlinie ist ein rechtlicher Rahmen, der in nationales Recht überführt werden muss. Jedes EU-Mitgliedsland ist verpflichtet, eigene Gesetze zu erlassen, um die Ziele der Richtlinie umzusetzen. Dies kann zu leichten Abweichungen in der Umsetzung führen. Bisher haben Deutschland und Österreich nur Gesetzesentwürfe zur NIS-2-Richtlinie veröffentlicht. In anderen Ländern wie Belgien und Italien ist das Gesetz bereits in Kraft getreten.  

DORA: Im Gegensatz dazu ist DORA eine EU-Verordnung. Das bedeutet, dass sie unmittelbar und einheitlich in allen EU-Mitgliedstaaten gilt, ohne dass es einer nationalen Umsetzung bedarf. Unternehmen müssen daher sofort nach Inkrafttreten konform sein. 

 

 

Umsetzungsfristen 

 

Da NIS2 und DORA unterschiedlich ausgestaltet sind, ergeben sich auch Unterschiede in den Fristen bei den Umsetzungsfristen: 

  • NIS-2: Die Richtlinie trat am 17. Januar 2023 in Kraft und hätte bis zum 17. Oktober 2024 in nationalem Recht umgesetzt werden sollen. Unternehmen haben dann bis spätestens Oktober 2026 Zeit, die Anforderungen zu erfüllen. 
  • DORA: Die Verordnung gilt unmittelbar und ist verbindlich seit dem 17. Januar 2025. Unternehmen haben damit einen deutlich kürzeren Zeitraum zur Umsetzung. 

 

 

Geltungsbereich und betroffene Sektoren 

 

NIS2: Kritische Sektoren 

NIS-2 deckt insgesamt 18 Sektoren ab, die für Wirtschaft und Gesellschaft von kritischer Bedeutung sind. In Deutschland sind einige dieser Sektoren bereits durch bestehende Gesetze vollständig reguliert: 

  • Energie  
  • Transport  
  • Banken  
  • Finanzmärkte  
  • Gesundheitswesen  
  • Wasser  
  • Abwasser  
  • Digitale Infrastruktur 
  • Abfallwirtschaft  
  • Lebensmittel  
  • Forschung 

 

Diese Sektoren waren bereits teilweise reguliert: 

  • Raumfahrt 
  • Post- und Kurierdienste 
  • Chemische Industrie 
  • Industrie (Produktion) 
  • Digitale Dienste 

 

Neue Sektoren: 

  • IKT-Dienstleistungsmanagement 
  • Öffentliche Verwaltung 

 

Zusätzlich können die Mitgliedstaaten kleinere Einrichtungen mit einem hohen Sicherheitsprofil in den Anwendungsbereich der Richtlinie aufnehmen. 

 

DORA: Finanzsektor 

Der Anwendungsbereich von DORA ist in Artikel 2 der Verordnung genau definiert. Die folgenden Unternehmen und Organisationen fallen unter die Regelung: 

  • Kreditinstitute 
  • Zahlungsinstitute (einschließlich nach Richtlinie (EU) 2015/2366 befreite) 
  • Kontoinformationsdienstleister 
  • E-Geld-Institute (einschließlich nach Richtlinie 2009/110/EG befreite) 
  • Wertpapierfirmen 
  • Anbieter von Krypto-Dienstleistungen und Emittenten von wertreferenzierten Token 
  • Zentralverwahrer 
  • Zentrale Gegenparteien 
  • Handelsplätze 
  • Transaktionsregister 
  • Manager alternativer Investmentfonds 
  • Verwaltungsgesellschaften 
  • Anbieter von Datenmeldepflicht-Dienstleistungen 
  • Versicherungs- und Rückversicherungsunternehmen 
  • Versicherungsvermittler, Rückversicherungsvermittler und Nebenversicherungsvermittler 
  • Einrichtungen der betrieblichen Altersversorgung 
  • Ratingagenturen 
  • Administratoren kritischer Benchmarks 
  • Anbieter von Crowdfunding-Diensten 
  • Verbriefungsregister 
  • IKT-Drittdienstleister 

 

 

Vorrangregelung: NIS2 oder DORA? 

 

Eine interessante Frage stellt sich für Unternehmen des Finanzsektors, die potenziell unter beide Regelwerke fallen könnten: Welches Regelwerk hat Vorrang? 

Die Antwort ist eindeutig: DORA hat Vorrang. Dies liegt daran, dass DORA als „lex specialis“ für den Finanzsektor gilt und damit als Spezialregelungder allgemeineren NIS-2-Richtlinie vorgeht. Dies wird in DORA explizit festgehalten: 

„Diese Verordnung stellt eine lex specialis zur Richtlinie (EU) 2022/2555 dar. Gleichzeitig ist es entscheidend, eine starke Verbindung zwischen dem Finanzsektor und dem horizontalen Cybersicherheitsrahmen der Union gemäß der Richtlinie (EU) 2022/2555 aufrechtzuerhalten.“ 

(Direktive (EU) 2022/2555 ist der offizielle Name für NIS-2.) 

 

 

Aufsichtsstruktur 

 

Während NIS2 auf nationale Aufsichtsbehörden setzt, führt DORA eine direkte EU-Aufsicht für kritische IKT-Dienstleister ein: 

  • NIS2: Die Aufsicht erfolgt ausschließlich durch nationale Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die Bundesnetzagentur (BNetzA). 
  • DORA: Während Finanzaufsichtsbehörden wie BaFin oder Europäische Zentralbank (EZB) für Finanzinstitute zuständig sind, unterliegen kritische IKT-Dienstleister einer EU-weiten Aufsicht durch die European Supervisory Authorities (ESA). 

 

 

Sanktionen bei Verstößen 

 

Die Nichteinhaltung von NIS2 oder DORA kann gravierende Konsequenzen nach sich ziehen: 

NIS2: 

  • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen 
  • Bis zu 7 Millionen Euro oder 1,4 % des Umsatzes für wichtige Einrichtungen 

DORA: 

  • Keine fixen Bußgelder für Finanzunternehmen, jedoch nationale Sanktionen möglich 
  • IKT-Dienstleister können mit Zwangsgeldern von bis zu 1 % des weltweiten Tagesumsatzes belegt werden 

 

 

Häufige Fragen zu NIS2 und DORA 

 

Haben beide Regelwerke identische Meldepflichten? 

Tatsächlich gibt es signifikante Unterschiede zwischen den Meldepflichten. Unternehmen, die bereits eine Meldung nach DORA abgegeben haben, sind oft von der NIS2-Meldepflicht befreit. Dies wird im deutschen NIS2-Umsetzungsgesetz ausdrücklich geregelt. 

 

Kann man NIS2 ignorieren, wenn man unter DORA fällt? 

Zwar hat DORA als lex specialis Vorrang für Finanzunternehmen, doch es gibt Themenbereiche, die DORA nicht vollständig abdeckt. Unternehmen sollten daher prüfen, ob zusätzliche Sicherheitsmaßnahmen gemäß NIS-2 erforderlich sind. 

 

Sind NIS2 und DORA vollkommen unabhängig voneinander? 

Obwohl sie unterschiedliche Sektoren adressieren, gibt es Überschneidungen. Finanzinstitute, die auch als kritische Infrastruktur gelten, müssen eine ganzheitliche Strategie verfolgen, um beide Vorschriften zu erfüllen. 

 

 

Fazit 

 

Während NIS-2 eine breitere Zielgruppe mit Fokus auf kritische Infrastrukturen adressiert, setzt DORA auf die Stärkung der digitalen Resilienz im Finanzsektor. Unternehmen sollten sich frühzeitig mit der Frage auseinandersetzen, ob sie von NIS-2 oder DORA betroffen sind, um sich rechtzeitig mit den jeweiligen Anforderungen vertraut zu machen und Bußgelder sowie Haftungsrisiken zu vermeiden. Eine klare Compliance-Strategie, kann langfristig die Cybersecurity und die Resilienz gegenüber Cyberbedrohungen stärken. 

 

 

Christian Herbst - CEO, IT-Security, NIS-2, Projektmanagement und Datenschutz

Christian Herbst

Chief Executive Officer

contact@machcon.com