Compliance

NIS2 vs. DORA: Unterschiede und Abgrenzung

Von SecDrills-Redaktion
NIS2 und DORA verfolgen ein ähnliches Ziel – widerstandsfähigere digitale Dienste – setzen es aber unterschiedlich um. Wer im Finanzsektor tätig ist, muss wissen, welches Regelwerk vorrangig gilt und wo sich die Pflichten im Detail unterscheiden.

Worum geht es jeweils?

NIS2 (Richtlinie (EU) 2022/2555) ist eine sektorübergreifende EU-Richtlinie, die ein hohes gemeinsames Cybersicherheitsniveau herstellen soll und national umgesetzt wird – in Deutschland seit dem 6. Dezember 2025 durch das NIS2UmsuCG (BSIG-Neufassung), in Österreich ab dem 1. Oktober 2026 durch das NISG 2026. DORA (Verordnung (EU) 2022/2554, Digital Operational Resilience Act) ist dagegen eine unmittelbar geltende EU-Verordnung speziell für den Finanzsektor; sie bündelt die Anforderungen an die digitale operationale Resilienz von Finanzunternehmen und ihren IKT-Dienstleistern und gilt seit dem 17. Januar 2025.

NIS2 und DORA im Vergleich

Aspekt NIS2 DORA
Rechtsform Richtlinie (EU) 2022/2555 – nationale Umsetzung nötig Verordnung (EU) 2022/2554 – unmittelbar geltend
Geltungsbereich Sektorübergreifend (Energie, Gesundheit, Verkehr, Produktion u. v. m.) Finanzsektor (Banken, Versicherer, Wertpapierfirmen u. a.) + IKT-Drittdienstleister
Gilt seit / ab Deutschland: seit 6.12.2025 (NIS2UmsuCG/BSIG) · Österreich: ab 1.10.2026 (NISG 2026) EU-weit seit 17. Januar 2025 (Art. 64)
Meldekette Frühwarnung 24 h · Meldung 72 h · Abschlussbericht 1 Monat (Art. 23) Erstmeldung 4 h nach Klassifizierung (max. 24 h) · Zwischenmeldung 72 h · Abschlussmeldung 1 Monat (Del. VO (EU) 2025/301)
Schwerpunkt Cyber-Risikomanagement, Meldepflichten, Governance Digitale operationale Resilienz: Risikomanagement, Vorfälle, Tests, Drittparteien
Testpflicht Wirksamkeit bewerten, Krisenfähigkeit (Art. 21) Jährliches Testprogramm (Art. 24) inkl. TLPT alle 3 Jahre für benannte Institute (Art. 26)
Sanktionen bis 10 Mio. € / 2 % bzw. 7 Mio. € / 1,4 % des Weltumsatzes verwaltungsrechtliche Sanktionen, national ausgestaltet (Art. 50 f.)

Lex specialis: Warum DORA für Finanzunternehmen Vorrang hat

NIS2 Art. 4 regelt das Verhältnis zu sektorspezifischen EU-Rechtsakten: Wo solche Akte Anforderungen vorsehen, die mindestens gleichwertig zu NIS2 sind, gehen sie vor. Für Finanzunternehmen im Anwendungsbereich von DORA bedeutet das: DORA verdrängt NIS2 für die abgedeckten Bereiche. Die nationalen Umsetzungsgesetze schreiben das fest – in Deutschland nimmt § 28 Abs. 6 BSIG Finanzunternehmen nach Art. 2 DORA von den zentralen Pflichten (Risikomanagement, Meldung, Nachweise) aus, in Österreich gibt § 24 Abs. 7 NISG 2026 der DORA-Verordnung ausdrücklich Vorrang. Doppelregulierung wird so vermieden.

Wichtig für Konzerne: Der Vorrang gilt je Einrichtung und je Bereich. Eine Unternehmensgruppe kann mit ihrer Bank unter DORA fallen und mit einem Industrie- oder IT-Tochterunternehmen zugleich unter NIS2 – die Abgrenzung lohnt also einen genauen Blick auf jede juristische Einheit. Ob eine Einheit überhaupt NIS2-betroffen ist, klärt die Betroffenheitsprüfung.

Wo unterscheiden sich die Pflichten am deutlichsten?

  • Tempo der Meldungen: DORA verlangt die Erstmeldung binnen 4 Stunden nach Klassifizierung (max. 24 h nach Kenntnis), NIS2 die Frühwarnung binnen 24 Stunden.
  • Testpflicht: NIS2 fordert Wirksamkeitsbewertung und Krisenfähigkeit (Art. 21); DORA schreibt ein formales, jährliches Testprogramm vor – inklusive TLPT alle drei Jahre für benannte Institute.
  • Drittparteien: DORA reguliert IKT-Dienstleister direkt (Informationsregister, EU-Überwachung kritischer Anbieter); NIS2 adressiert die Lieferkette als Risikomanagement-Baustein der Einrichtung.
  • Sanktionslogik: NIS2 gibt EU-weit einheitliche Bußgeld-Höchstsätze vor; DORA überlässt die Ausgestaltung der Sanktionen den Mitgliedstaaten (Art. 50 f.).

Die Gemeinsamkeit: testen und üben

Beide Regelwerke verlangen mehr als Dokumentation: Die Wirksamkeit der Maßnahmen muss nachgewiesen werden – NIS2 über die Bewertung der Maßnahmen und Krisenfähigkeit, DORA über ein verbindliches Testprogramm mit szenariobasierten Tests und jährlich erprobten Reaktions- und Wiederherstellungsplänen. Tabletop-Übungen sind in beiden Welten ein effizienter, prüffähiger Baustein: Sie trainieren dieselbe Meldekette, die im Ernstfall unter 4- bzw. 24-Stunden-Druck funktionieren muss.

Häufige Fragen

Gilt für mein Finanzunternehmen NIS2 oder DORA?

Für Finanzunternehmen im Anwendungsbereich von DORA gilt DORA als Lex specialis. Nach NIS2 Art. 4 haben sektorspezifische EU-Rechtsakte mit mindestens gleichwertigen Anforderungen Vorrang – die nationalen Gesetze stellen das ausdrücklich klar: § 28 Abs. 6 BSIG nimmt DORA-Finanzunternehmen von den zentralen BSIG-Pflichten aus, § 24 Abs. 7 NISG 2026 gibt DORA in Österreich explizit Vorrang.

Was ist der Hauptunterschied zwischen NIS2 und DORA?

NIS2 ist eine sektorübergreifende Richtlinie zur Cybersicherheit, die national umgesetzt wird – in Deutschland seit 6. Dezember 2025 durch das NIS2UmsuCG, in Österreich ab 1. Oktober 2026 durch das NISG 2026. DORA ist eine unmittelbar geltende EU-Verordnung speziell für den Finanzsektor mit Fokus auf digitale operationale Resilienz, inklusive verpflichtender Resilienztests.

Sind die Meldefristen bei NIS2 und DORA gleich?

Ähnlich, aber nicht identisch: Beide staffeln in drei Stufen bis zum Abschlussbericht nach einem Monat. NIS2 verlangt die Frühwarnung binnen 24 Stunden nach Kenntnis; DORA ist strenger – die Erstmeldung ist binnen 4 Stunden nach der Klassifizierung als schwerwiegend fällig, spätestens 24 Stunden nach Kenntnis, die Zwischenmeldung folgt 72 Stunden nach der Erstmeldung.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.

Resilienz testen – für NIS2 wie für DORA

Beide Regelwerke verlangen geübte Reaktionsfähigkeit. Führen Sie eine ENISA-konforme Tabletop-Übung durch.

Übungsreife-Check starten