NIS2 vs. DORA: Unterschiede und Abgrenzung
Worum geht es jeweils?
NIS2 (Richtlinie (EU) 2022/2555) ist eine sektorübergreifende EU-Richtlinie, die ein hohes gemeinsames Cybersicherheitsniveau herstellen soll und national umgesetzt wird – in Deutschland seit dem 6. Dezember 2025 durch das NIS2UmsuCG (BSIG-Neufassung), in Österreich ab dem 1. Oktober 2026 durch das NISG 2026. DORA (Verordnung (EU) 2022/2554, Digital Operational Resilience Act) ist dagegen eine unmittelbar geltende EU-Verordnung speziell für den Finanzsektor; sie bündelt die Anforderungen an die digitale operationale Resilienz von Finanzunternehmen und ihren IKT-Dienstleistern und gilt seit dem 17. Januar 2025.
NIS2 und DORA im Vergleich
| Aspekt | NIS2 | DORA |
|---|---|---|
| Rechtsform | Richtlinie (EU) 2022/2555 – nationale Umsetzung nötig | Verordnung (EU) 2022/2554 – unmittelbar geltend |
| Geltungsbereich | Sektorübergreifend (Energie, Gesundheit, Verkehr, Produktion u. v. m.) | Finanzsektor (Banken, Versicherer, Wertpapierfirmen u. a.) + IKT-Drittdienstleister |
| Gilt seit / ab | Deutschland: seit 6.12.2025 (NIS2UmsuCG/BSIG) · Österreich: ab 1.10.2026 (NISG 2026) | EU-weit seit 17. Januar 2025 (Art. 64) |
| Meldekette | Frühwarnung 24 h · Meldung 72 h · Abschlussbericht 1 Monat (Art. 23) | Erstmeldung 4 h nach Klassifizierung (max. 24 h) · Zwischenmeldung 72 h · Abschlussmeldung 1 Monat (Del. VO (EU) 2025/301) |
| Schwerpunkt | Cyber-Risikomanagement, Meldepflichten, Governance | Digitale operationale Resilienz: Risikomanagement, Vorfälle, Tests, Drittparteien |
| Testpflicht | Wirksamkeit bewerten, Krisenfähigkeit (Art. 21) | Jährliches Testprogramm (Art. 24) inkl. TLPT alle 3 Jahre für benannte Institute (Art. 26) |
| Sanktionen | bis 10 Mio. € / 2 % bzw. 7 Mio. € / 1,4 % des Weltumsatzes | verwaltungsrechtliche Sanktionen, national ausgestaltet (Art. 50 f.) |
Lex specialis: Warum DORA für Finanzunternehmen Vorrang hat
NIS2 Art. 4 regelt das Verhältnis zu sektorspezifischen EU-Rechtsakten: Wo solche Akte Anforderungen vorsehen, die mindestens gleichwertig zu NIS2 sind, gehen sie vor. Für Finanzunternehmen im Anwendungsbereich von DORA bedeutet das: DORA verdrängt NIS2 für die abgedeckten Bereiche. Die nationalen Umsetzungsgesetze schreiben das fest – in Deutschland nimmt § 28 Abs. 6 BSIG Finanzunternehmen nach Art. 2 DORA von den zentralen Pflichten (Risikomanagement, Meldung, Nachweise) aus, in Österreich gibt § 24 Abs. 7 NISG 2026 der DORA-Verordnung ausdrücklich Vorrang. Doppelregulierung wird so vermieden.
Wichtig für Konzerne: Der Vorrang gilt je Einrichtung und je Bereich. Eine Unternehmensgruppe kann mit ihrer Bank unter DORA fallen und mit einem Industrie- oder IT-Tochterunternehmen zugleich unter NIS2 – die Abgrenzung lohnt also einen genauen Blick auf jede juristische Einheit. Ob eine Einheit überhaupt NIS2-betroffen ist, klärt die Betroffenheitsprüfung.
Wo unterscheiden sich die Pflichten am deutlichsten?
- Tempo der Meldungen: DORA verlangt die Erstmeldung binnen 4 Stunden nach Klassifizierung (max. 24 h nach Kenntnis), NIS2 die Frühwarnung binnen 24 Stunden.
- Testpflicht: NIS2 fordert Wirksamkeitsbewertung und Krisenfähigkeit (Art. 21); DORA schreibt ein formales, jährliches Testprogramm vor – inklusive TLPT alle drei Jahre für benannte Institute.
- Drittparteien: DORA reguliert IKT-Dienstleister direkt (Informationsregister, EU-Überwachung kritischer Anbieter); NIS2 adressiert die Lieferkette als Risikomanagement-Baustein der Einrichtung.
- Sanktionslogik: NIS2 gibt EU-weit einheitliche Bußgeld-Höchstsätze vor; DORA überlässt die Ausgestaltung der Sanktionen den Mitgliedstaaten (Art. 50 f.).
Die Gemeinsamkeit: testen und üben
Beide Regelwerke verlangen mehr als Dokumentation: Die Wirksamkeit der Maßnahmen muss nachgewiesen werden – NIS2 über die Bewertung der Maßnahmen und Krisenfähigkeit, DORA über ein verbindliches Testprogramm mit szenariobasierten Tests und jährlich erprobten Reaktions- und Wiederherstellungsplänen. Tabletop-Übungen sind in beiden Welten ein effizienter, prüffähiger Baustein: Sie trainieren dieselbe Meldekette, die im Ernstfall unter 4- bzw. 24-Stunden-Druck funktionieren muss.
Häufige Fragen
Gilt für mein Finanzunternehmen NIS2 oder DORA?
Für Finanzunternehmen im Anwendungsbereich von DORA gilt DORA als Lex specialis. Nach NIS2 Art. 4 haben sektorspezifische EU-Rechtsakte mit mindestens gleichwertigen Anforderungen Vorrang – die nationalen Gesetze stellen das ausdrücklich klar: § 28 Abs. 6 BSIG nimmt DORA-Finanzunternehmen von den zentralen BSIG-Pflichten aus, § 24 Abs. 7 NISG 2026 gibt DORA in Österreich explizit Vorrang.
Was ist der Hauptunterschied zwischen NIS2 und DORA?
NIS2 ist eine sektorübergreifende Richtlinie zur Cybersicherheit, die national umgesetzt wird – in Deutschland seit 6. Dezember 2025 durch das NIS2UmsuCG, in Österreich ab 1. Oktober 2026 durch das NISG 2026. DORA ist eine unmittelbar geltende EU-Verordnung speziell für den Finanzsektor mit Fokus auf digitale operationale Resilienz, inklusive verpflichtender Resilienztests.
Sind die Meldefristen bei NIS2 und DORA gleich?
Ähnlich, aber nicht identisch: Beide staffeln in drei Stufen bis zum Abschlussbericht nach einem Monat. NIS2 verlangt die Frühwarnung binnen 24 Stunden nach Kenntnis; DORA ist strenger – die Erstmeldung ist binnen 4 Stunden nach der Klassifizierung als schwerwiegend fällig, spätestens 24 Stunden nach Kenntnis, die Zwischenmeldung folgt 72 Stunden nach der Erstmeldung.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.