NIS2-Richtlinie und DORA-Verordnung betreffen viele Unternehmen in der EU. Wir erklären Gemeinsamkeiten, Unterschiede und welche Organisation was beachten muss.
In aller Kürze
- NIS2 (Richtlinie, 18 Sektoren) und DORA (Verordnung, Finanzsektor) verfolgen dasselbe Ziel – Cybersicherheit –, gelten aber für unterschiedliche Unternehmen.
- DORA ist seit Januar 2025 durchsetzbar; Die Anforderungen der NIS2-Richtlinie gelten in Deutschland seit Inkrafttreten des Umsetzungsgesetzes am 5. Dezember 2025
- Bei Verstößen gegen beide Regelwerke haften Geschäftsleitungsmitglieder persönlich.
- Es gelten unterschiedliche Meldepflichten.
- Für Finanzunternehmen gilt DORA als lex specialis; soweit DORA entsprechende Anforderungen regelt, gehen diese den NIS2-Vorgaben vor.
- Für Finanzinstitute, die auch als kritische Infrastrukturen gelten, können sich die Anforderungen von DORA und NIS2 überschneiden.
Hinweis: Beachten Sie auch unseren Vergleich der NIS2-Richtlinie mit ISO 27001 und BSI-Grundschutz.
NIS2, DORA – oder beides?
Mit DORA (Digital Operational Resilience Act) und NIS2 (Network and Information Security Directive) hat die Europäische Union innerhalb kurzer Zeit zwei bedeutende Rechtsakte zur Stärkung der digitalen Resilienz und Cybersicherheit verabschiedet. Beide Regelwerke zielen darauf ab, die Informationssicherheit bei Unternehmen, die für die Wirtschaft und Gesellschaft von entscheidender Bedeutung sind, signifikant zu erhöhen. Dennoch ist vielen Unternehmen die genaue Abgrenzung zwischen DORA und NIS2 noch nicht klar. Es besteht oft Verwirrung darüber, welche Regelung auf welche Art von Unternehmen anwendbar ist und welche spezifischen Maßnahmen erforderlich sind. Diese Unsicherheiten führen häufig zu einer unzureichenden Implementierung der erforderlichen Sicherheitsstandards. In diesem Artikel klären wir die Hauptunterschiede und Fehlannahmen zu den beiden Regelungen.Was sind die Hauptunterschiede zwischen DORA und NIS2?
DORA und NIS2 sind zwei zentrale Regelwerke der Europäischen Union, die darauf abzielen, die Cybersicherheit und digitale Resilienz zu stärken. Trotz ihrer ähnlichen Zielsetzung weisen sie jedoch entscheidende Unterschiede auf: die Art der Rechtsvorschrift, die Frist für die Übertragung in nationales Recht, die jeweiligen Geltungsbereiche sowie die Aufsichtsstruktur und Sanktionen.Art der Rechtsvorschrift
NIS2 und DORA unterscheiden sich zunächst grundlegend dadurch, dass sie zwei verschiedene Rechtsinstrumente der Europäischen Union darstellen.NIS2
Bei NIS2 handelt es sich um eine Richtlinie. Eine Richtlinie ist ein Rechtsakt, in dem ein von den EU-Ländern zu erreichendes Ziel festgelegt wird. Es ist jedoch Sache der einzelnen Länder, eigene Rechtsvorschriften zur Verwirklichung dieses Zieles zu erlassen. Das bedeutet, dass jeder Mitgliedstaat die notwendigen Maßnahmen zur Erreichung der Ziele der Richtlinie in nationales Recht einbetten muss, unter Berücksichtigung der eigenen rechtlichen und operativen Rahmenbedingungen. Die NIS2-Richtlinie hat also keine direkte Anwendung auf die betroffenen Unternehmen, sondern muss erst in nationales Recht übertragen werden. In Deutschland erfolgte die Umsetzung durch das Gesetz zur Umsetzung der NIS2-Richtlinie mit dem insbesondere das BSI-Gesetz geändert wurde.DORA
DORA hingegen ist eine Verordnung (so, wie auch die EU-Datenschutz-Grundverordnung – DSGVO). Verordnungen sind unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union und bedürfen keiner nationalen Umsetzung. Sie werden sofort rechtswirksam und gelten ab dem Zeitpunkt ihres Inkrafttretens direkt in allen Mitgliedstaaten. Zudem haben sie Vorrang vor nationalem Recht. Die unmittelbare Geltung von DORA stellt sicher, dass Unternehmen keine Übergangsfristen aufgrund nationaler Gesetzgebungsverfahren abwarten, sondern sofort rechtskonform handeln müssen, sobald die Verordnung anwendbar ist.Umsetzungsfristen
Die Art der Rechtsvorschrift beeinflusst den Zeitrahmen für die Erfüllung der Anforderungen. Obwohl sowohl NIS2 als auch DORA am 17. Januar 2023 in Kraft traten, variieren die Umsetzungsfristen aufgrund ihrer unterschiedlichen Natur.NIS2
Die Frist für die Umsetzung der NIS2-Richtlinie in nationales Recht lief am 17. Oktober 2024 ab. In Deutschland gilt das Umsetzungsgesetz seit dem 5. Dezember 2025. Unternehmen müssen die Anforderungen seitdem erfüllen.DORA
Im Gegensatz dazu muss DORA als EU-Verordnung nicht erst in nationales Recht übertragen werden und ist daher schon seit dem 17. Januar 2025 – zwei Jahre nach ihrem Inkrafttreten – vollständig durchsetzbar. Unternehmen haben hier somit weniger Zeit, sich auf die neuen Anforderungen vorzubereiten. Während NIS2 durch den längeren Umsetzungszeitraum etwas Spielraum bietet, verlangt DORA eine schnellere Anpassung.Betroffene Sektoren
Ein weiterer Unterschied liegt im Geltungsbereich, der die spezifischen Schwerpunkte der NIS2-Richtlinie und der DORA-Verordnung deutlich hervorhebt.NIS2
Die NIS2-Richtlinie richtet sich gezielt an Unternehmen und Organisationen in kritischen Sektoren, die essenziell für das Funktionieren der Gesellschaft und Wirtschaft sind. Zu dem Geltungsbereich von NIS2 mit insgesamt 18 Sektoren gehören etwa Energie, Transport, Gesundheitswesen, Wasserversorgung und digitale Infrastrukturen. Der Geltungsbereich umfasst jene Bereiche, die bei Sicherheitsvorfällen erhebliche Auswirkungen auf die öffentliche Sicherheit, Ordnung und wirtschaftliche Stabilität haben können. Diese gezielte Anwendung soll sicherstellen, dass die Cybersicherheit in den besonders anfälligen und wichtigen Sektoren gestärkt wird.Sind Sie von NIS2 betroffen?
Nutzen Sie unseren interaktiven NIS2-Check, um zu prüfen, ob Sie unter die Vorgaben der Richtlinie fallen.
DORA
Im Gegensatz dazu konzentriert sich die DORA-Verordnung ausschließlich auf den Finanzsektor und soll die digitale operationale Resilienz gewährleisten, die im digitalen Zeitalter für die Finanzstabilität und Marktintegrität von entscheidender Bedeutung ist. Sie gilt für Banken, Versicherungen, Wertpapierfirmen und andere Finanzunternehmen. In den Geltungsbereich der DORA fallen, mit wenigen Ausnahmen (Art. 2 Absatz 1 DORA):- Kreditinstitute,
- Zahlungsinstitute,
- Kontoinformationsdienstleister,
- E-Geld-Institute,
- Wertpapierfirmen,
- Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
- Zentralverwahrer,
- zentrale Gegenparteien,
- Handelsplätze,
- Transaktionsregister,
- Verwalter alternativer Investmentfonds,
- Verwaltungsgesellschaften
- Datenbereitstellungsdienste,
- Versicherungs- und Rückversicherungsunternehmen,
- Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
- Einrichtungen der betrieblichen Altersversorgung,
- Ratingagenturen,
- Administratoren kritischer Referenzwerte,
- Schwarmfinanzierungsdienstleister,
- Verbriefungsregister
- IKT-Drittdienstleister
Regulierungs- und Aufsichtsrahmen
Ein weiterer Unterschied zwischen NIS2 und DORA liegt in der Aufsichtsstruktur.NIS2
Unter der NIS2-Richtlinie erfolgt die Überwachung vollständig durch nationale Behörden. In Deutschland sind hierfür das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA) zuständig. Für Kreditinstitute und andere Finanzdienstleister übernimmt die BaFin die Aufsicht gemäß NIS2. Es gibt keine direkte Aufsicht durch EU-Behörden für die betroffenen Einrichtungen unter NIS2. Die Aufsicht liegt somit ausschließlich auf nationaler Ebene.DORA
Innerhalb von DORA richtet sich die zuständige Aufsichtsbehörde nach der Art des jeweiligen Finanzinstituts. In Betracht kommt etwa die BaFin, Bundesbank oder Europäische Zentralbank. IKT-Drittdienstleister, die von den europäischen Finanzaufsichtsbehörden (European Supervisory Authorities) als „kritisch“ eingestuft sind, werden außerdem direkt von einer der europäischen Aufsichtsbehörden überwacht, die als federführende Überwachungsbehörde ernannt wird. Für diese kritischen Dienstleister, etwa Cloud-Dienste, Software, Rechenzentren und IT-Support , ist eine direkte EU-Aufsicht vorgesehen. Durch diese direkte EU-Aufsicht integriert DORA eine zusätzliche Überwachungsebene, während NIS2 als Richtlinie die Aufsicht ausschließlich den nationalen Behörden überlässt. Es findet eine enge Zusammenarbeit der zuständigen Behörden untereinander und gegebenenfalls mit der federführenden Überwachungsbehörde statt.Sanktionen bei Nicht-Compliance
Die Nichteinhaltung der NIS2-Richtlinie und der DORA-Verordnung kann erhebliche Sanktionen nach sich ziehen. Die Sanktionsmechanismen beider Regelungen verfolgen jedoch unterschiedliche Ansätze.NIS2
Bei der NIS2-Richtlinie sind die Bußgelder konkret definiert:- Wesentliche Einrichtungen, wie solche in den Sektoren Energie, Transport und Gesundheit, können mit bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes (je nachdem welcher Betrag höher ist) bestraft werden.
- Für wichtige Einrichtungen, wie digitale Dienstleister und Chemieunternehmen, beträgt das maximale Bußgeld 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres.
DORA
Im Gegensatz dazu legt die DORA-Verordnung keine festen Bußgeldbeträge oder strafrechtlichen Sanktionen für die Nichteinhaltung von Anforderungen durch Finanzunternehmen fest. Diese Regelungen erfolgen durch die Mitgliedstaaten. In Deutschland sollen etwa Ordnungswidrigkeitentatbestände durch das Gesetz über die Digitalisierung des Finanzmarktes (FinmadiG) eingeführt werden.Achtung: Spezifische Regelungen für IKT-Dienstleister
Allerdings gibt es spezifische Regelungen für IKT-Dienstleister. DORA erlaubt es führenden Aufsichtsstellen, Zwangsgelder gegen IKT-Anbieter in Höhe von 1 % des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr zu erheben. Anbieter können täglich für bis zu sechs Monate mit einem Zwangsgeld belegt werden, bis sie die Vorschriften einhalten.
Was NIS2 und DORA bei Sanktionen verbindet
Ein gemeinsamer Aspekt der Sanktionsmechanismen beider Vorschriften ist jedoch die persönliche Haftung von verantwortlichen Personen, insbesondere von Personen des Managements. Sowohl NIS2 als auch DORA sehen vor, dass verantwortliche Personen für Verstöße haftbar gemacht werden können. Dies bedeutet, dass diese Personen nicht nur für die Umsetzung der regulatorischen Anforderungen verantwortlich sind, sondern auch persönliche Konsequenzen bei Nichteinhaltung tragen können.
Die wichtigsten Unterschiede von NIS2 und DORA im Überblick
| NIS2 | DORA | |
|---|---|---|
| Art der Rechtsvorschrift | Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS2-Richtlinie“) | Verordnung (EU) 2022/2554 vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor („DORA-Verordnung“) |
| Anwendbarkeit | Inkrafttreten: 16. Januar 2023; Umsetzungsfrist: 17. Oktober 2024 (Art. 41 Abs. 1 NIS2); Anwendung in Deutschland seit Inkrafttreten des NIS2-Umsetzungsgesetzes am 5. Dezember 2025 | Inkrafttreten: 16. Januar 2023 (Art. 64 DORA); Anwendung ab dem 17. Januar 2025 (Art. 64 Abs. 2 DORA) |
| Betroffene Organisationen | „Wesentliche“ und „wichtige Einrichtungen“ gemäß Art. 3 i. V. m. Anhängen I und II NIS2 aus insgesamt 18 Sektoren | Finanzuntnernehmen sowie deren IKT-Dienstleister |
| Aufsichtsbehörden | In Deutschland insbesondere das BSI als zentrale Behörde, ergänzt durch sektorspezifische Zuständigkeiten | Zuständige nationale Finanzaufsichtsbehörden (z. B. BaFin, Bundesbank, EZB je nach Institut); zusätzlich EU-weite Aufsicht über kritische IKT-Drittdienstleister durch die Europäischen Aufsichtsbehörden (ESAs) |
| Sanktionen | Harmonisierte Mindestvorgaben für Sanktionen, insb. Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen. | Sanktionen gegenüber Finanzunternehmen werden durch nationales Recht konkretisiert. Zusätzlich unionsrechtliche Zwangsgelder für kritische IKT-Drittdienstleister möglich. |
Häufige Fragen und Irrtümer zu DORA und NIS2
Im Zuge der Implementierung von DORA und NIS2 treten immer wieder verschiedene Missverständnisse auf, die zu Unsicherheiten und Fehlinterpretationen führen können. Die folgenden Klarstellungen zielen darauf ab, Unternehmer und Compliance-Verantwortliche bei der korrekten Einhaltung der Vorschriften zu unterstützen.
Sind die Meldepflichten in NIS2 und DORA identisch?
Nein. Die Meldepflichten in der DORA-Verordnung und der NIS2-Richtlinie sind nicht deckungsgleich. Sie unterscheiden sich in ihrer Ausgestaltung, Zielrichtung und Anwendungsweise erheblich. Dies wird auch im NIS2-Umsetzungsgesetz ausdrücklich geregelt:
„Absatz 6 regelt, dass für Betreiber kritischer Anlagen, deren Dienstleistungsempfänger bereits der Verordnung (EU) 2022/2554 (DORA) unterliegen und nach dieser meldepflichtig sind, eine weitere Meldepflicht nach § 32 dieses Gesetzes entfällt. Freiwillige Meldungen nach § 5 sind weiterhin möglich.“
Das NIS2-Umsetzungsgesetz schafft Klarheit für Unternehmen, die unter beide Regelungen fallen könnten. Wenn ein Betreiber kritischer Anlagen Dienstleistungen für Finanzunternehmen erbringt, die bereits nach DORA meldepflichtig sind, entfällt die Verpflichtung zur Meldung nach § 32 des Gesetzes. Das bedeutet, dass Unternehmen, die bereits im Rahmen von DORA ihre Meldung an die BaFin übermittelt haben, keine zusätzliche Meldung nach den Regeln der NIS2 an das BSI abgeben müssen.
Hinweis: Freiwillige Meldungen nach § 5 des NIS2-Umsetzungsgesetzes bleiben dennoch möglich . Solche Meldungen können sinnvoll sein, um Transparenz zu fördern oder in Fällen, in denen die Meldepflicht nach DORA die Besonderheiten eines Vorfalls nicht vollständig abdeckt.
Betrifft NIS2 nur den IT-Sektor?
Nein. NIS2 richtet sich an eine Vielzahl von Sektoren, die als kritisch für die Gesellschaft und Wirtschaft angesehen werden. Dazu gehören nicht nur der IT-Sektor, sondern auch Energie, Transport, Gesundheitswesen, Wasserversorgung und digitale Dienste. Unternehmen in diesen Sektoren müssen daher die umfassenden Sicherheitsanforderungen von NIS2 erfüllen, unabhängig davon, ob sie direkt im IT-Sektor tätig sind oder nicht. Im deutschen NIS2-Umsetzungsgesetz sind die relevanten Sektoren in Anlage 1 und Anlage 2 aufgeführt.
Wenn man sowohl von NIS2 als auch von DORA betroffen ist, reicht es aus, nur DORA zu berücksichtigen?
Diese Aussage ist nur teilweise korrekt. DORA enthält spezifische Regelungen für den Finanzsektor und hat daher als lex specialis Vorrang vor der NIS2-Richtlinie. Dies wird auch im NIS2-Umsetzungesgesetz (Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, siehe Bundesgesetzblatt 2025, Nr. 301) klargestellt:
“In Umsetzung von Erwägungsgrund 28 der NIS-2-Richtlinie gilt die Verordnung (EU) 2022/2554 (DORA-VO) für Finanzunternehmen als lex specialis. Somit sind diese Unternehmen von den hier genannten Verpflichtungen ausgenommen.”
Das bedeutet, dass Finanzunternehmen, die unter DORA fallen, grundsätzlich von den Anforderungen der NIS2-Richtlinie befreit sind.
Achtung: DORA deckt nicht zwangsläufig alle Themenbereiche ab, die in NIS2 geregelt sind. In Bereichen, die von DORA nicht vollständig geregelt werden – beispielsweise bei branchenübergreifenden Sicherheitsanforderungen oder Lieferkettenrisiken –, können die allgemeinen Anforderungen der NIS2 weiterhin relevant sein. Unternehmen sollten daher prüfen, ob ergänzende Maßnahmen notwendig sind, um mögliche Lücken zu schließen und eine umfassende Resilienz zu gewährleisten.
Wenn man nur von NIS2 betroffen ist, braucht man DORA nicht zu berücksichtigen?
Es stimmt, dass Unternehmen, die ausschließlich unter die NIS2-Richtlinie fallen, rechtlich nicht verpflichtet sind, die Anforderungen der DORA-Verordnung zu erfüllen. Beide Regelwerke gelten für unterschiedliche Zielgruppen.
Da die DORA-Vorgaben jedoch an manchen Stellen präziser als die allgemeinen Anforderungen von NIS2 sind, können Unternehmen, die nur von NIS2 betroffen sind, von DORA profitieren, indem sie dessen Standards freiwillig als Best Practices nutzen.
Sind DORA und NIS2 unabhängig voneinander zu betrachten?
Trotz unterschiedlicher Schwerpunkte können sich die Anforderungen von DORA und NIS2 überschneiden, insbesondere für Finanzinstitute, die auch als kritische Infrastrukturen gelten. Es ist daher unerlässlich, dass Unternehmen eine integrierte Compliance-Strategie entwickeln, die beide Regelwerke berücksichtigt. Dies beinhaltet die Implementierung von Sicherheitsmaßnahmen, die sowohl den spezifischen Anforderungen von DORA als auch den allgemeinen Sicherheitsstandards von NIS2 entsprechen.
Fazit
Sowohl die DORA-Verordnung als auch die NIS2-Richtlinie verfolgen das gleiche übergeordnete Ziel: die Erhöhung der Cybersicherheit und digitalen Resilienz innerhalb der EU. Trotz dieser gemeinsamen Zielsetzung gibt es wesentliche Unterschiede in ihrem Ansatz, ihrer Anwendung und Durchsetzung.
Aufgrund dieser Unterschiede ist es essenziell, dass Unternehmen sich intensiv mit beiden Regelungen vertraut machen, um Missverständnisse zu vermeiden und sicherzustellen, dass sämtliche Anforderungen erfüllt werden. Irrtümer sollten frühzeitig erkannt und beseitigt werden.
Bei offenen Fragen oder Unsicherheiten empfiehlt es sich, den Informationssicherheitsbeauftragten zu konsultieren bzw. externe Beratung zur NIS2-Compliance bzw. zur DORA-Compliance einzuholen.
