· machCon · IT-Security · 4 min read
NIS2 vs DORA: Unterschiede und Gemeinsamkeiten
NIS2 vs DORA - Hier finden Sie die wichtigsten Informationen und wann welche der beiden Richtlinien gelten. Durch die Unterschiede und ...
NIS2 vs DORA
Mit dem Digital Operational Resilience Act (DORA) und der Network and Information Security Directive (NIS2) hat die Europäische Union zwei bedeutende Regelwerke verabschiedet, die Unternehmen und Organisationen zu höherer Cybersicherheit und digitaler Resilienz verpflichten. Während beide Regelwerke dasselbe Ziel verfolgen, gibt es erhebliche Unterschiede in ihrer Anwendung, den betroffenen Sektoren und den jeweiligen Umsetzungsvorgaben. Dennoch herrscht in vielen Unternehmen Unsicherheit darüber, welche Regelung für sie relevant ist und welche Maßnahmen konkret umgesetzt werden müssen.
In der Vergangenheit haben wir bereits zwei Blog-Beiträge zur NIS-2-Richtlinie veröffentlicht. Diese sind hier zu finden:
Im Folgenden werden die wichtigsten Unterschiede zwischen NIS2 und DORA aufgezeigt, ihr Anwendungsbereich erläutert und häufige Missverständnisse ausgeräumt.
Art der Rechtsvorschrift
Ein wesentlicher Unterschied zwischen NIS–2 und DORA liegt in der rechtlichen Natur der beiden Regelwerke.
NIS-2: Die NIS-2 Richtlinie ist ein rechtlicher Rahmen, der in nationales Recht überführt werden muss. Jedes EU-Mitgliedsland ist verpflichtet, eigene Gesetze zu erlassen, um die Ziele der Richtlinie umzusetzen. Dies kann zu leichten Abweichungen in der Umsetzung führen. Bisher haben Deutschland und Österreich nur Gesetzesentwürfe zur NIS-2-Richtlinie veröffentlicht. In anderen Ländern wie Belgien und Italien ist das Gesetz bereits in Kraft getreten.
DORA: Im Gegensatz dazu ist DORA eine EU-Verordnung. Das bedeutet, dass sie unmittelbar und einheitlich in allen EU-Mitgliedstaaten gilt, ohne dass es einer nationalen Umsetzung bedarf. Unternehmen müssen daher sofort nach Inkrafttreten konform sein.
Umsetzungsfristen
Da NIS2 und DORA unterschiedlich ausgestaltet sind, ergeben sich auch Unterschiede in den Fristen bei den Umsetzungsfristen:
NIS-2: Die Richtlinie trat am 17. Januar 2023 in Kraft und hätte bis zum 17. Oktober 2024 in nationalem Recht umgesetzt werden sollen. Unternehmen haben dann bis spätestens Oktober 2026 Zeit, die Anforderungen zu erfüllen.
DORA: Die Verordnung gilt unmittelbar und ist verbindlich seit dem 17. Januar 2025. Unternehmen haben damit einen deutlich kürzeren Zeitraum zur Umsetzung.
Geltungsbereich und betroffene Sektoren
NIS2: Kritische Sektoren
NIS-2 deckt insgesamt 18 Sektoren ab, die für Wirtschaft und Gesellschaft von kritischer Bedeutung sind. In Deutschland sind einige dieser Sektoren bereits durch bestehende Gesetze vollständig reguliert:
Energie
Transport
Banken
Finanzmärkte
Gesundheitswesen
Wasser
Abwasser
Digitale Infrastruktur
Abfallwirtschaft
Lebensmittel
Forschung
Diese Sektoren waren bereits teilweise reguliert:
Raumfahrt
Post- und Kurierdienste
Chemische Industrie
Industrie (Produktion)
Digitale Dienste
Neue Sektoren:
IKT-Dienstleistungsmanagement
Öffentliche Verwaltung
Zusätzlich können die Mitgliedstaaten kleinere Einrichtungen mit einem hohen Sicherheitsprofil in den Anwendungsbereich der Richtlinie aufnehmen.
DORA: Finanzsektor
Der Anwendungsbereich von DORA ist in Artikel 2 der Verordnung genau definiert. Die folgenden Unternehmen und Organisationen fallen unter die Regelung:
Kreditinstitute
Zahlungsinstitute (einschließlich nach Richtlinie (EU) 2015/2366 befreite)
Kontoinformationsdienstleister
E-Geld-Institute (einschließlich nach Richtlinie 2009/110/EG befreite)
Wertpapierfirmen
Anbieter von Krypto-Dienstleistungen und Emittenten von wertreferenzierten Token
Zentralverwahrer
Zentrale Gegenparteien
Handelsplätze
Transaktionsregister
Manager alternativer Investmentfonds
Verwaltungsgesellschaften
Anbieter von Datenmeldepflicht-Dienstleistungen
Versicherungs- und Rückversicherungsunternehmen
Versicherungsvermittler, Rückversicherungsvermittler und Nebenversicherungsvermittler
Einrichtungen der betrieblichen Altersversorgung
Ratingagenturen
Administratoren kritischer Benchmarks
Anbieter von Crowdfunding-Diensten
Verbriefungsregister
IKT-Drittdienstleister
Vorrangregelung: NIS2 oder DORA?
Eine interessante Frage stellt sich für Unternehmen des Finanzsektors, die potenziell unter beide Regelwerke fallen könnten: Welches Regelwerk hat Vorrang?
Die Antwort ist eindeutig: DORA hat Vorrang. Dies liegt daran, dass DORA als „lex specialis“ für den Finanzsektor gilt und damit als Spezialregelungder allgemeineren NIS-2-Richtlinie vorgeht. Dies wird in DORA explizit festgehalten:
„Diese Verordnung stellt eine lex specialis zur Richtlinie (EU) 2022/2555 dar. Gleichzeitig ist es entscheidend, eine starke Verbindung zwischen dem Finanzsektor und dem horizontalen Cybersicherheitsrahmen der Union gemäß der Richtlinie (EU) 2022/2555 aufrechtzuerhalten.“
(Direktive (EU) 2022/2555 ist der offizielle Name für NIS-2.)
Aufsichtsstruktur
Während NIS2 auf nationale Aufsichtsbehörden setzt, führt DORA eine direkte EU-Aufsicht für kritische IKT-Dienstleister ein:
NIS2: Die Aufsicht erfolgt ausschließlich durch nationale Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die Bundesnetzagentur (BNetzA).
DORA: Während Finanzaufsichtsbehörden wie BaFin oder Europäische Zentralbank (EZB) für Finanzinstitute zuständig sind, unterliegen kritische IKT-Dienstleister einer EU-weiten Aufsicht durch die European Supervisory Authorities (ESA).
Sanktionen bei Verstößen
Die Nichteinhaltung von NIS2 oder DORA kann gravierende Konsequenzen nach sich ziehen:
NIS2:
Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen
Bis zu 7 Millionen Euro oder 1,4 % des Umsatzes für wichtige Einrichtungen
DORA:
Keine fixen Bußgelder für Finanzunternehmen, jedoch nationale Sanktionen möglich
IKT-Dienstleister können mit Zwangsgeldern von bis zu 1 % des weltweiten Tagesumsatzes belegt werden
Häufige Fragen zu NIS2 und DORA
Haben beide Regelwerke identische Meldepflichten?
Tatsächlich gibt es signifikante Unterschiede zwischen den Meldepflichten. Unternehmen, die bereits eine Meldung nach DORA abgegeben haben, sind oft von der NIS–2-Meldepflicht befreit. Dies wird im deutschen NIS2-Umsetzungsgesetz ausdrücklich geregelt.
Kann man NIS2 ignorieren, wenn man unter DORA fällt?
Zwar hat DORA als lex specialis Vorrang für Finanzunternehmen, doch es gibt Themenbereiche, die DORA nicht vollständig abdeckt. Unternehmen sollten daher prüfen, ob zusätzliche Sicherheitsmaßnahmen gemäß NIS-2 erforderlich sind.
Sind NIS2 und DORA vollkommen unabhängig voneinander?
Obwohl sie unterschiedliche Sektoren adressieren, gibt es Überschneidungen. Finanzinstitute, die auch als kritische Infrastruktur gelten, müssen eine ganzheitliche Strategie verfolgen, um beide Vorschriften zu erfüllen.
Fazit
Während NIS-2 eine breitere Zielgruppe mit Fokus auf kritische Infrastrukturen adressiert, setzt DORA auf die Stärkung der digitalen Resilienz im Finanzsektor. Unternehmen sollten sich frühzeitig mit der Frage auseinandersetzen, ob sie von NIS-2 oder DORA betroffen sind, um sich rechtzeitig mit den jeweiligen Anforderungen vertraut zu machen und Bußgelder sowie Haftungsrisiken zu vermeiden. Eine klare Compliance-Strategie, kann langfristig die Cybersecurity und die Resilienz gegenüber Cyberbedrohungen stärken.
