NIS2 vs. DORA: Was ist der Unterschied und brauchen Sie beides?
Zwei EU-Vorschriften. Beide zur Cybersicherheit. Beide mit engen Fristen. Die kurze Antwort: DORA hat Vorrang für Finanzunternehmen, aber NIS2 bleibt für Ihre IKT-Dienstleister relevant.
Was sind NIS2 und DORA?
NIS2 ist eine breite EU-Richtlinie für Cybersicherheit über 18 Sektoren. Sie fordert 10 Cybersicherheitsmaßnahmen, Vorfallmeldung und persönliche Vorstandshaftung.
DORA ist eine sektorspezifische Verordnung ausschließlich für den Finanzsektor — Banken, Versicherungen, Wertpapierfirmen und deren kritische IKT-Dienstleister.
NIS2 vs. ISO 27001 — Anforderungsvergleich
◈Nur NIS2Pflicht zur Vorfallsmeldung an Behörden (24h / 72h)Persönliche Haftung auf Leitungsebene für CybersicherheitLieferkettensicherheitspflichten für wesentliche EinrichtungenSektorspezifische regulatorische Pflichten⬡Gemeinsame AnforderungenInformationssicherheits-RisikomanagementZugangssteuerung und IdentitätsmanagementGeschäftskontinuität und NotfallwiederherstellungSicherheitsbewusstsein und Schulung◇Nur ISO 27001Interne Audit- und ManagementbewertungszyklenDokumentation der Erklärung zur Anwendbarkeit (SoA)Formelle Zertifizierung und externe Prüfung◈Nur NIS2Pflicht zur Vorfallsmeldung an Behörden (24h / 72h)Persönliche Haftung auf Leitungsebene für CybersicherheitLieferkettensicherheitspflichten für wesentliche EinrichtungenSektorspezifische regulatorische Pflichten⬡Gemeinsame AnforderungenInformationssicherheits-RisikomanagementZugangssteuerung und IdentitätsmanagementGeschäftskontinuität und NotfallwiederherstellungSicherheitsbewusstsein und Schulung◇Nur ISO 27001Interne Audit- und ManagementbewertungszyklenDokumentation der Erklärung zur Anwendbarkeit (SoA)Formelle Zertifizierung und externe PrüfungDie mittlere Spalte zeigt Anforderungen, die NIS2 und ISO 27001 gemeinsam haben
Wichtigste Unterschiede
| NIS2 | DORA | |
|---|---|---|
| Typ | Richtlinie (nationale Umsetzung) | Verordnung (direkt anwendbar) |
| Geltungsbereich | 18 Sektoren | Nur Finanzsektor |
| Anwendbar seit | Umsetzungsfrist: Okt 2024 (Status pro Land) | 17. Januar 2025 |
| Erstmeldung Vorfall | Innerhalb 24 Stunden | Innerhalb 4 Stunden |
| Drittparteien | Lieferkettensicherheit | Umfassendes IKT-Drittparteien-Risikomanagement |
| Testen | Wirksamkeitsbewertung | Verpflichtende TLPT alle 3 Jahre |
Lex specialis: DORA hat Vorrang
Artikel 4 von NIS2 besagt: Wo sektorspezifische EU-Gesetzgebung mindestens gleichwertige Cybersicherheitsanforderungen vorsieht, hat diese Vorrang. DORA ist solche sektorspezifische Gesetzgebung.
Gilt NIS2 für Ihre Organisation?
1Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja▼Nein▼2Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
✗NIS2 gilt nicht unmittelbar für Ihre Organisation.
Ja▼Nein▼✓NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
3Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja▼!NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
1Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja ↓Nein →2Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
Ja ↓Nein →3Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja ↓Nein →✗NIS2 gilt nicht unmittelbar für Ihre Organisation.
✓NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
GiltGilt möglicherweiseGilt nicht
Szenarien
Bank: DORA primär, NIS2 als Auffangnetz. MSP für Banken: NIS2 für eigene Pflichten (NIS2 für MSPs), DORA-Anforderungen vertraglich von Kunden. Nicht-Finanzsektor: Nur NIS2 — beginnen Sie mit den 10 Artikel-21-Maßnahmen.