NIS-2, DORA - Gemeinsamkeiten und Unterschiedeistockphoto/Bablab

NIS 2 und DORA: Gemeinsamkeiten, Unterschiede und wichtige Informationen

/in

Dieser Text wurde nach dem Beschluss des Gesetzes zur Umsetzung der NIS 2-Richtlinie durch den Deutschen Bundestag (13. November 2025) überarbeitet. (Stand 17.11.2025).

Was ist NIS 2?

Die Network-and-Information-Security-Richtlinie 2.0-Richtlinie (NIS 2), in Kraft seit dem 16. Januar 2023, legt EU-weite Sicherheitsstandards für kritische Infrastrukturen und wesentliche und wichtige Einrichtungen fest, darunter Unternehmen in den Sektoren Energie, Verkehr, Finanzdienstleistungen und digitale Dienste. Sie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken und die Reaktionsfähigkeit im Falle von Sicherheitsvorfällen zu verbessern, indem sie klare Anforderungen an das Risikomanagement und das Reporting von Sicherheitsvorfällen stellt.

Was ist DORA?

DORA (Digital Operational Resilience Act) konzentriert sich auf den Finanzsektor und zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyber-Angriffen, wie zum Beispiel Denial-of-Service-Attacken, sicherzustellen. Es fasst die Leitlinien der Europäischen Bankenaufsicht in einem kompakten Rahmenwerk zusammen, um die Cyber-Sicherheit in diesem Sektor zu verbessern. Als EU-Verordnung gilt DORA unmittelbar in allen Mitgliedstaaten.

Was sind die Gemeinsamkeiten von NIS 2 und DORA?

Sowohl NIS 2 als auch DORA zielen darauf ab, die Cybersicherheit in Unternehmen zu verbessern und die Risiken im Zusammenhang mit der Nutzung von Informations- und Kommunikationstechnologie (IKT) zu adressieren.

Sie legen Anforderungen an Unternehmen fest und fordern Maßnahmen wie Risikobewertungen, die auch Lieferketten umfassen, um die Sicherheit zu gewährleisten.

Beide betonen die Bedeutung der Einbeziehung von Software-Zulieferern in das Risikomanagement und die Sicherheitsüberprüfungen. Unter DORA sind für Finanzunternehmen umfassende Testprogramme vorgeschrieben; für einen Teil der Institute kommen zusätzlich Threat-Led Penetration Tests (TLPT) im Drei-Jahres-Rhythmus hinzu.
NIS 2 wiederum verlangt ein risikobasiertes Sicherheits- und Prüfkonzept, das im deutschen NIS2-Umsetzungsgesetz konkretisiert wird. Für viele Betreiber kritischer Infrastrukturen bleiben turnusmäßige Sicherheitsnachweise (in der Praxis häufig alle zwei Jahre) maßgeblich – künftig allerdings für einen deutlich erweiterten Kreis von Einrichtungen.

Darüber hinaus sehen beide Vorschriften Strafen vor, die sowohl für Unternehmen als auch für leitende Personen wie das Top-Management und die Geschäftsführung gelten, falls die Anforderungen nicht erfüllt werden. Diese Strafen richten sich entweder nach dem Jahresumsatz des Unternehmens oder einer festgelegten Summe, ähnlich den Sanktionen in der Datenschutzgrundverordnung.

Worin unterscheiden sich NIS 2 und DORA?

NIS 2 und DORA weisen trotz einiger Gemeinsamkeiten grundlegende Unterschiede auf.

Während NIS 2 darauf abzielt, die Cybersicherheit EU-weit zu harmonisieren und den Informationsaustausch nach Angriffen zu verbessern, konzentriert sich DORA hauptsächlich auf die Aufrechterhaltung der Betriebsstabilität im Finanzsektor.

NIS 2 legt grobe Anforderungen an das Risikomanagement und das Reporting fest, während DORA konkretere Maßnahmen wie Penetrationstests und Sicherheitsaudits vorschreibt, um die Funktionsfähigkeit trotz erfolgreicher Angriffe sicherzustellen.

Die Klärung der Zuständigkeiten bleibt eine Herausforderung, insbesondere für grenzüberschreitend tätige Gruppen. In Deutschland wird das BSI im Rahmen des NIS2-Umsetzungsgesetzes zur zentralen Aufsichts- und Meldestelle für NIS-2-Einrichtungen ausgebaut; im Finanzsektor bleibt daneben die BaFin eine wichtige Ansprechpartnerin.
DORA selbst sieht in Artikel 46 einen europäischen Aufsichtsverbund vor, der die europäischen Aufsichtsbehörden (ESAs), die EZB und die nationalen Aufsichtsbehörden – in Deutschland insbesondere die BaFin – umfasst.

Welche Norm ist anzuwenden, wenn Sie sowohl von NIS 2 als auch DORA betroffen sind?

Wenn ein Unternehmen sowohl unter NIS 2 als auch unter DORA fällt, ist DORA für Finanzunternehmen als sektorspezifische „lex specialis“ zu NIS 2 zu verstehen. In den Bereichen, die DORA ausdrücklich regelt – insbesondere IKT-Risikomanagement, Tests und Meldepflichten bei IKT-Vorfällen – ist daher in erster Linie DORA maßgeblich.

Das bedeutet aber keine vollständige Freistellung von NIS-2-Pflichten: Soweit NIS 2 bzw. das deutsche NIS2-Umsetzungsgesetz zusätzliche Anforderungen vorsieht (z. B. Registrierungspflichten, Aufsichts- und Mitwirkungspflichten gegenüber dem BSI), können diese auch für Finanzunternehmen weiterhin gelten.

Sollte auch DORA betrachtet werden, wenn unser Unternehmen nur NIS 2 unterliegt?

Auch wenn Ihr Unternehmen nur NIS-2 unterliegt, kann es sinnvoll sein, sich mit den spezifischeren Anforderungen von DORA vertraut zu machen. Diese können als Referenz dienen, um einen umfassenderen Überblick darüber zu erhalten, wie Ihr Unternehmen im Vergleich zu den strengeren Anforderungen von DORA aufgestellt ist. Auf diese Weise können potenzielle Lücken oder Bereiche identifiziert werden, in denen zusätzliche Maßnahmen erforderlich sind, um die Anforderungen von NIS 2 zu erfüllen.

Bis wann haben die Unternehmen Zeit, die Vorgaben umzusetzen?

NIS 2

Die NIS-2-Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Deutschland hat diese Frist verpasst; das deutsche NIS2-Umsetzungsgesetz wurde am 13. November 2025 beschlossen und tritt nach Verkündung im Bundesgesetzblatt in Kraft.

DORA

DORA ist seit dem 17. Januar 2023 in Kraft und gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten. Für beaufsichtigte Finanzunternehmen und ihre wesentlichen IKT-Dienstleister sind die Vorgaben damit heute bereits verbindlich – nationale Gesetze dienen hier nur noch der Flankierung, nicht der eigentlichen Umsetzung der Verordnung.
In Deutschland konkretisiert die BaFin die Anforderungen durch Leitlinien und Hinweise und hat im Zuge von DORA Teile der bisherigen BAIT/VAIT/ZAIT-Regelungen angepasst bzw. abgelöst.

Fazit: Die Kritik an NIS 2 und DORA?

Die Cyber-Sicherheit ist in der heutigen digitalen Welt von entscheidender Bedeutung, insbesondere für Unternehmen im Finanzsektor. Um dieser wachsenden Bedrohung gerecht zu werden, hat die EU Regularien wie den Digital Operational Resilience Act (DORA) und die Network and Information Security 2 (NIS 2) eingeführt. Diese sollen die Resilienz stärken und die Betriebsstabilität im Finanzsektor sicherstellen. Doch das Nebeneinander dieser beiden Regularien wirft einige Herausforderungen auf.

Das gleichzeitige Bestehen von DORA und NIS 2 könnte zu einem erhöhten bürokratischen Aufwand führen. Unternehmen sehen sich möglicherweise mit unterschiedlichen Anforderungen und Prüfverfahren konfrontiert, was die Umsetzung erschweren könnte. Diese Situation birgt die Gefahr eines Audit-Chaos, da Unternehmen Schwierigkeiten haben könnten, die Anforderungen beider Regularien effizient zu erfüllen.

Es ist wichtig, dass die Regulierungsbehörden und betroffene Parteien, die die verschiedenen Gesetze und Richtlinien ausarbeiten, enger zusammenarbeiten, um Redundanzen zu vermeiden, die Zusammenarbeit zu verbessern und klare Leitlinien für die Umsetzung der Regularien bereitzustellen. Durch eine effiziente Koordination, mehr Abstimmung und klare Kommunikation zwischen den einzelnen Mitgliedsstaaten der europäischen Union kann das Risiko eines Audit-Chaos minimiert werden und die Effektivität der Cybersicherheitsmaßnahmen im Finanzsektor gestärkt werden.

Insgesamt ist es entscheidend, dass alle Beteiligten sich der Herausforderungen bewusst sind und gemeinsam daran arbeiten, Wege zu finden, um das Nebeneinander von DORA und NIS 2 im Finanzsektor der EU erfolgreich zu bewältigen.

Wie kann Securance-iAP dabei unterstützen?

Securance-iAP begleitet Sie professionell bei der Umsetzung von NIS 2 und DORA – von der ersten Gap-Analyse bis zum prüfungssicheren Bericht.
Unsere Leistungen umfassen:

  • Systematische Anforderungsermittlung über Gap-Analysen für NIS-2 und DORA

  • Aufbau und Optimierung prüfbarer IKT-Kontrollsysteme (IKS) zur Sicherstellung der Compliance

  • Beratung zum Business Continuity Management (BCM) und Incident-Response-Strategien

  • Auditvorbereitung mit revisionssicheren Nachweisen für Governance und IT-Sicherheit

Mit rechtzeitigen Änderungen bei der physischen Sicherheit in Ihrer Organisation können Sie sich schon früh auf die Anforderungen von NIS 2 und DORA einstellen. Dank unserer langjährigen Erfahrung im KRITIS-Bereich sowie im Finanzsektor unterstützen wir Sie gezielt bei der Vorbereitung und der nachhaltigen Einhaltung dieser Vorschriften.

👉 Noch nicht sicher, wo Sie starten sollen?
Laden Sie jetzt unsere kostenlosen Schritt-für-Schritt-Anleitungen herunter:

So gewinnen Sie einen schnellen Einstieg und eine klare Roadmap – und mit Securance-iAP den richtigen Partner für eine nachhaltige Compliance-Strategie.

Das könnte Dich auch interessieren
Die Neufassung des Anwendungserlasses zu §146a AO tritt ab 01.01.2024 in Kraft: Ein umfassender Blick auf GOBD und elektronische Kassensystemeistockphoto.com/CamerisDie Neufassung des Anwendungserlasses zu §146a AO tritt ab 01.01.2024 in Kraft: Ein umfassender Blick auf GOBD und elektronische Kassensysteme
Cybersicherheit nach NIS2Cybersicherheit nach NIS2: Umfassende Handlungsstrategien für betroffene Unternehmen
BSI C5 Testierung 2025BSI C5-Testierungspflicht ab 1. Juli 2025: Übergangslösungen für betroffene Unternehmen
ISO 27001 IKSWarum ISO 27001 allein nicht mehr reicht – und wie ein IKS neue Chancen eröffnet
CYBER-SECURITY IM HOTEL IST CHEFSACHE!, Check-in Daten, iAPCyber-Security im Hotel ist Chefsache!
ISO 27001 ZertifizierungISO 27001 Zertifizierung durch Wirtschaftsprüfer – gleichwertig zur DAkkS-Zertifizierung