DORA und NIS-2
Zwei EU-Vorgaben – klare Abgrenzung, klare Pflichten

Mit DORA und NIS‑2 gelten zwei zentrale europäische Regelwerke für Cybersicherheit. Während NIS‑2 eine breit angelegte Richtlinie für kritische Infrastrukturen darstellt, regelt DORA gezielt die digitale Resilienz im Finanzsektor. Auf dieser Seite erfahren Sie, welche Unternehmen betroffen sind, wie sich die Anforderungen unterscheiden und was bei der Umsetzung zu beachten ist.

7

DORA und NIS-2: zwei europäische Regelwerke mit einem Ziel

In den vergangenen Jahren hat sich gezeigt, wie verwundbar digitale Infrastrukturen gegenüber Cyberangriffen und technischen Störungen sind. Angriffe auf Behörden, Energieversorger oder Finanzinstitute nehmen stetig zu – und mit ihnen der Druck auf Unternehmen, ihre IT-Systeme besser zu schützen. Als Antwort auf diese Bedrohungslage hat die Europäische Union zwei zentrale Rechtsakte auf den Weg gebracht: die Richtlinie NIS 2 und die Verordnung DORA. Beide sollen die digitale Resilienz stärken, verfolgen jedoch unterschiedliche Ansätze und richten sich an verschiedene Adressaten.

NIS-2: Einheitliche Cybersicherheitsstandards für viele Branchen

Mit der NIS-2-Richtlinie verfolgt die EU das Ziel, ein einheitliches Sicherheitsniveau in ganz Europa zu etablieren. Sie ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016 und reagiert auf die veränderte Risikolage in einer digitalisierten Gesellschaft. Neu ist insbesondere, dass NIS 2 den Kreis der betroffenen Einrichtungen erheblich erweitert. Künftig müssen deutlich mehr Unternehmen nachweislich Maßnahmen zur Absicherung ihrer Netz- und Informationssysteme treffen, selbst wenn sie bisher nicht als „kritisch“ galten.

Dabei richtet sich NIS-2 an eine Vielzahl von Sektoren. Neben den klassischen Bereichen wie Energie, Gesundheit oder Transport sind nun auch Unternehmen aus den Bereichen Lebensmittelversorgung, digitale Infrastruktur und Verwaltung erfasst. Entscheidend ist nicht allein die Größe eines Unternehmens, sondern seine Bedeutung für das öffentliche Leben und die wirtschaftliche Stabilität. Unternehmen, die unter die Regelung fallen, müssen sowohl technisch-organisatorische Schutzmaßnahmen ergreifen als auch Prozesse für die Behandlung von Sicherheitsvorfällen einführen. Das umfasst unter anderem die Einrichtung eines Risikomanagements, klare Verantwortlichkeiten im Management und die Pflicht, erhebliche Vorfälle innerhalb festgelegter Fristen zu melden.

In Deutschland müssen die Vorgaben von NIS-2 bis spätestens Mitte Oktober 2024 in nationales Recht überführt werden. Die Umsetzung ist verpflichtend und Verstöße können mit empfindlichen Sanktionen geahndet werden. Besonders für Unternehmen, die erstmals unter ein Sicherheitsgesetz fallen, bedeutet das eine tiefgreifende organisatorische und technische Umstellung.

DORA: Digitale Widerstandskraft für den Finanzsektor

Parallel zu NIS-2 hat die EU mit der Verordnung über die digitale operationelle Resilienz im Finanzsektor, kurz DORA, eine weitere Maßnahme eingeführt. Im Gegensatz zu NIS-2 ist DORA keine Richtlinie, die erst in nationales Recht überführt werden muss, sondern eine unmittelbar geltende Verordnung. Somit ist sie in allen EU-Mitgliedstaaten ab dem 17. Januar 2025 direkt verbindlich und vollumfänglich anwendbar.

DORA wurde speziell für die Finanzwelt konzipiert, da dieser Sektor besonders stark auf funktionierende IT-Systeme angewiesen ist und zugleich ein attraktives Ziel für Cyberangriffe darstellt. Die Verordnung richtet sich an ein breites Spektrum von Finanzakteuren: von Banken und Versicherungen über Zahlungsdienste bis hin zu Wertpapierfirmen und Krypto-Plattformen. Auch IT-Dienstleister, die für diese Unternehmen tätig sind, fallen unter den Anwendungsbereich, sofern ihre Leistungen sicherheitsrelevant sind.

Kernpunkt von DORA ist die Verpflichtung der betroffenen Unternehmen, sich intensiv mit ihren IT-Risiken auseinanderzusetzen. Es geht nicht nur darum, Angriffe abzuwehren, sondern vor allem darum, die Widerstandsfähigkeit gegenüber Störungen aller Art systematisch zu stärken. Dazu gehört, IKT-Risiken in das unternehmerische Risikomanagement zu integrieren, Verträge mit IT-Dienstleistern transparent zu regeln und im Fall eines Vorfalls eine klare Meldekette zu gewährleisten. Auch regelmäßige Tests der technischen und organisatorischen Vorkehrungen gehören zum Pflichtenkatalog, ebenso wie die systematische Auswertung vergangener Vorfälle, um aus ihnen zu lernen.

Die Aufsicht über die Einhaltung der DORA-Vorgaben obliegt in Deutschland der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Unternehmen, die unter DORA fallen, unterliegen somit nicht mehr der Meldepflicht nach dem BSI-Gesetz. Sie sind künftig allein gegenüber der Finanzaufsicht berichtspflichtig, wodurch sich die Meldewege vereinheitlichen und Doppelregulierungen vermieden werden.

Abgrenzung der beiden Regelwerke: Wer unterliegt welcher Vorschrift?

Ob ein Unternehmen DORA oder NIS-2 umsetzen muss, hängt maßgeblich von seiner Branche und seiner konkreten Tätigkeit ab. Die wichtigste Unterscheidung ist: DORA gilt ausschließlich für Unternehmen des Finanzsektors sowie deren relevante IKT-Dienstleister und ersetzt in diesem Bereich die NIS-2-Regelungen. Das bedeutet, dass Finanzunternehmen nicht doppelt reguliert werden. Sie müssen sich vollständig nach DORA richten und werden nicht zusätzlich durch NIS-2 verpflichtet.

Für alle anderen kritischen und wichtigen Einrichtungen bleibt NIS 2 das maßgebliche Regelwerk. Dies betrifft insbesondere Betreiber kritischer Infrastrukturen außerhalb des Finanzsektors, beispielsweise in den Bereichen Energieversorgung, Rechenzentren, Gesundheitswesen und öffentliche Verwaltung. Diese Unternehmen müssen ihre Systeme bis Oktober 2024 entsprechend den NIS-2-Anforderungen absichern.

Obwohl beide Regelwerke unterschiedliche Wege gehen, verfolgen sie das gleiche übergeordnete Ziel: den Aufbau robuster, ausfallsicherer und widerstandsfähiger digitaler Strukturen in der gesamten Europäischen Union.

Was Unternehmen jetzt tun sollten

Unabhängig davon, welchem Regelwerk ein Unternehmen unterliegt, ist klar: Die Anforderungen an die Cybersicherheit steigen deutlich. Unternehmen sollten ihre aktuelle Ausgangslage kritisch prüfen, Zuständigkeiten festlegen und ihre internen Prozesse sowie ihre technischen Systeme auf den Prüfstand stellen. Dazu gehört auch, bestehende Verträge mit IT-Dienstleistern zu analysieren, interne Meldeketten zu definieren und einen Überblick über alle kritischen Systeme zu dokumentieren.

Für Finanzunternehmen ist es besonders wichtig, sich frühzeitig mit den spezifischen Anforderungen der DORA-Verordnung auseinanderzusetzen. Dazu zählen insbesondere die regelmäßige Prüfung der Widerstandsfähigkeit durch Stresstests, die systematische Bewertung von Drittanbieterrisiken und die Entwicklung von Notfallplänen. Wer diese Prozesse heute vorbereitet, reduziert nicht nur das regulatorische Risiko, sondern verbessert auch nachhaltig die eigene Sicherheitslage.

Unternehmen, die voraussichtlich unter NIS-2 fallen, sollten bereits jetzt damit beginnen, ihre Organisation an die neuen Vorgaben anzupassen. Neben technischen Maßnahmen gehören dazu auch die Benennung eines zuständigen Sicherheitsbeauftragten, die Entwicklung eines Vorfallmanagements sowie die transparente Dokumentation der getroffenen Schutzmaßnahmen.

Fazit: DORA und NIS² – zwei Systeme, ein gemeinsames Ziel

Auch wenn DORA und NIS-2 auf unterschiedlichen rechtlichen Grundlagen beruhen und verschiedene Zielgruppen ansprechen, verfolgen sie eine gemeinsame Linie: Die Cybersicherheit soll in ganz Europa gestärkt und vereinheitlicht werden. Unternehmen, sei es aus dem Finanzsektor oder aus kritischen Infrastrukturen, sind aufgefordert, ihre digitale Resilienz nicht nur zu dokumentieren, sondern aktiv zu gestalten.

Wer frühzeitig handelt, kann nicht nur regulatorische Anforderungen erfüllen, sondern auch die Chance nutzen, die eigene Sicherheitsarchitektur zukunftssicher aufzustellen. Denn in einer digital vernetzten Welt gilt mehr denn je: IT-Sicherheit ist keine Option, sondern Voraussetzung für Stabilität, Vertrauen und Wettbewerbsfähigkeit.

Welche Folgen haben Verstöße gegen DORA oder NIS‑2?

Unternehmen, die ihren Pflichten aus DORA oder NIS-2 nicht nachkommen, riskieren empfindliche Konsequenzen. Beide Regelwerke sehen aufsichtsrechtliche Maßnahmen und teils erhebliche Bußgelder vor.

Verstöße gegen NIS‑2, etwa durch fehlendes Risikomanagement, unzureichende Meldeprozesse oder technische Mängel, können mit Geldbußen von mehreren Millionen Euro geahndet werden. Auch die Geschäftsführung kann bei systematischen Versäumnissen zur Verantwortung gezogen werden.

Gemäß DORA kann die BaFin als Aufsichtsbehörde Maßnahmen bis hin zu Einschränkungen von Geschäftsaktivitäten oder der Untersagung der Zusammenarbeit mit bestimmten IT-Dienstleistern ergreifen, wenn deren Sicherheit nicht gewährleistet ist.

Zusätzlich drohen bei beiden Regelwerken Reputationsverluste, wenn Vorfälle öffentlich werden oder Meldefristen nicht eingehalten werden. Unternehmen, die proaktiv handeln, können solche Risiken frühzeitig vermeiden und gleichzeitig das Vertrauen von Kunden, Partnern und Behörden stärken.

Aspekt DORA NIS‑2
Vollständiger Name Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau
Rechtsform EU-Verordnung – direkt anwendbar EU-Richtlinie – nationale Umsetzung bis 17. Oktober 2024
Geltungsbereich Finanzunternehmen und deren IKT-Dienstleister Kritische und wichtige Einrichtungen vieler Branchen
Zielsetzung Digitale Resilienz im Finanzsektor stärken Einheitliches Cybersicherheitsniveau in der EU schaffen
Aufsicht BaFin (Deutschland) BSI (Deutschland)
Meldepflichten An die Finanzaufsicht (z. B. BaFin) An das BSI – erste Meldung binnen 24 Stunden
Betroffene Dienstleister Ja – wenn sie für Finanzunternehmen tätig sind Nur bei eigener Relevanz (z. B. Rechenzentren)
Inkrafttreten 17. Januar 2025 17. Oktober 2024 (Umsetzungspflicht in DE)
Verhältnis zueinander Hat Vorrang für Finanzsektor – ersetzt NIS‑2 Gilt, wenn DORA nicht anwendbar ist

DORA und NIS‑2 verfolgen zwar ein gemeinsames Ziel, unterscheiden sich aber deutlich in ihrem Fokus. NIS-2 betrifft viele Branchen und schafft einheitliche Cybersicherheitsstandards, während DORA speziell auf die Stabilität digitaler Prozesse im Finanzmarkt zugeschnitten ist. Sie stellt präzise Anforderungen und sieht eine zentrale Aufsicht durch die BaFin vor.

16. Januar 2023
L
16. Januar 2023

Veröffentlichung von DORA und NIS‑2 im EU-Amtsblatt

Beide Regelwerke treten formal in Kraft. Der Countdown für Umsetzung und Anwendung beginnt.
Bis 17. Oktober 2024
L
Bis 17. Oktober 2024

Nationale Umsetzung der NIS‑2-Richtlinie

Die EU-Mitgliedstaaten müssen die Richtlinie bis zu diesem Datum in nationales Recht überführen. In Deutschland entsteht daraus ein neues NIS‑2-Umsetzungsgesetz.
Ab 18. Oktober 2024
L
Ab 18. Oktober 2024

NIS‑2 gilt in Deutschland verbindlich für betroffene Unternehmen

Ab diesem Tag müssen kritische und wichtige Einrichtungen die neuen Anforderungen umgesetzt haben. Dazu gehören z. B. Risikoanalysen, Meldeprozesse und Sicherheitsorganisation.
Bis Ende 2024
L
Bis Ende 2024

Letzte Phase zur Vorbereitung auf DORA

Finanzunternehmen und IKT-Dienstleister sollten bis Jahresende alle technischen, organisatorischen und vertraglichen Maßnahmen vollständig vorbereitet haben – inklusive Notfallplänen und Stresstests.
17. Januar 2025
L
17. Januar 2025

DORA wird europaweit anwendbar – ohne Übergangsfrist

Die Verordnung gilt ab diesem Tag vollumfänglich. Unternehmen des Finanzsektors müssen alle Anforderungen vollständig erfüllen. Die BaFin beginnt mit der Aufsicht und Kontrolle.

Häufige Fragen zu DORA und NIS 2

Was Unternehmen jetzt wissen müssen. DORA und NIS‑2 bringen umfangreiche neue Anforderungen an die IT-Sicherheit in Unternehmen mit sich. Viele Organisationen fragen sich derzeit, ob sie betroffen sind, welche konkreten Maßnahmen gefordert werden und wie sich die beiden Regelwerke voneinander unterscheiden. Die folgenden Fragen und Antworten bieten praxisnahe Orientierung: kompakt, verständlich und auf dem neuesten Stand.

Was ist der Unterschied zwischen DORA und NIS-2?
DORA ist eine EU-Verordnung, die speziell für den Finanzsektor gilt und die digitale Widerstandsfähigkeit von Banken, Versicherern, Krypto-Plattformen und deren IT-Dienstleistern stärken soll. NIS-2 ist hingegen eine Richtlinie, die in nationales Recht überführt werden muss. Sie richtet sich branchenübergreifend an kritische und wichtige Einrichtungen, beispielsweise aus den Bereichen Energie, Gesundheit, IT und Verwaltung. Während DORA europaweit unmittelbar gilt, müssen die NIS-2-Vorgaben erst bis Oktober 2024 von den Mitgliedstaaten umgesetzt werden.
Gilt DORA auch für IT-Dienstleister?
Ja, DORA bezieht ausdrücklich auch externe IT- und Cloud-Dienstleister mit ein, sofern sie für Finanzunternehmen tätig sind und deren Systeme betreiben oder unterstützen. Diese Dienstleister müssen künftig vertraglich klar geregelt eingebunden sein und bestimmte Anforderungen an Sicherheit, Kontrollierbarkeit und Meldungen erfüllen. Damit erhöht sich auch auf Zuliefererseite der Druck, Cybersicherheitsstandards einzuhalten.
Muss ein Unternehmen beide Vorschriften gleichzeitig erfüllen?
In der Regel nicht. Fällt ein Unternehmen unter die DORA-Verordnung, gelten deren Regelungen vorrangig und die Pflichten aus NIS-2 werden durch DORA ersetzt. Es ist also ausgeschlossen, dass ein Finanzunternehmen denselben Vorfall gleichzeitig an das BSI und an die BaFin melden muss. Damit will die EU eine Doppelregulierung vermeiden und die Zuständigkeiten klar trennen.
Ab wann müssen die Vorschriften umgesetzt werden?
Die NIS-2-Richtlinie muss bis spätestens 17. Oktober 2024 in deutsches Recht überführt sein. Ab diesem Zeitpunkt gelten die neuen Pflichten für alle betroffenen Einrichtungen. DORA tritt als EU-Verordnung ohne Übergangsfrist am 17. Januar 2025 in Kraft und ist ab diesem Datum für alle relevanten Finanzunternehmen und ihre Dienstleister verbindlich.
Was passiert bei einem Verstoß gegen die Regelungen?
Sowohl DORA als auch NIS‑2 sehen spürbare Sanktionen vor. So können bei NIS‑2 Bußgelder in Millionenhöhe verhängt werden, wenn Unternehmen ihren Pflichten nicht nachkommen oder relevante Vorfälle nicht rechtzeitig melden. Auch DORA sieht aufsichtsrechtliche Maßnahmen vor, die beispielsweise durch die BaFin umgesetzt werden. Im Ernstfall kann die BaFin auch Untersagungen aussprechen. Es ist daher wichtig, frühzeitig Vorsorge zu treffen und alle Prozesse rechtskonform auszurichten.
Wie können Unternehmen feststellen, ob sie betroffen sind?
Die Betroffenheit ergibt sich in erster Linie aus der Branche und dem Gefährdungspotenzial. Für NIS 2 ist entscheidend, ob das Unternehmen in einem der über ein Dutzend Wirtschaftsbereiche umfassenden kritischen Sektoren tätig ist. Bei DORA ist ausschlaggebend, ob es sich um ein beaufsichtigtes Finanzunternehmen oder einen sicherheitsrelevanten IKT-Dienstleister handelt. Die Einordnung sollte sorgfältig erfolgen, idealerweise mit externer fachlicher Unterstützung.
Welche zentralen Anforderungen ergeben sich aus DORA?
Unternehmen müssen ein umfassendes Risikomanagement für ihre Informations- und Kommunikationstechnologie einführen. Dazu gehören die Identifikation von Risiken, die Umsetzung technischer Schutzmaßnahmen, regelmäßige Tests der Widerstandsfähigkeit und klare Abläufe im Störungsfall. Auch die Einbindung von Drittanbietern muss vertraglich geregelt und kontrollierbar sein. Alle Prozesse müssen dokumentiert und sowohl intern als auch durch die Aufsichtsbehörde überprüfbar sein.
Welche organisatorischen Maßnahmen verlangt NIS 2?
Unternehmen, die unter NIS-2 fallen, müssen nicht nur ihre Technik schützen, sondern auch auf organisatorischer Ebene klare Strukturen schaffen. Das bedeutet konkret, dass Zuständigkeiten benannt, Sicherheitsbeauftragte eingesetzt und Schulungen durchgeführt werden müssen. Darüber hinaus müssen Prozesse zur Vorfallbearbeitung und Notfallkommunikation etabliert werden, um im Ernstfall schnell reagieren zu können.
Welche Meldepflichten gelten künftig?
Sowohl DORA als auch NIS-2 verpflichten Unternehmen dazu, erhebliche IT-Sicherheitsvorfälle zeitnah zu melden. Gemäß NIS‑2 muss innerhalb von 24 Stunden nach Bekanntwerden zunächst ein erster Hinweis erfolgen, später folgt ein ausführlicher Bericht. DORA verlangt ähnliche Meldewege, allerdings direkt an die zuständige Finanzaufsicht. Für die praktische Umsetzung bedeutet das, dass Unternehmen entsprechende Meldeprozesse technisch und organisatorisch absichern müssen.
Welche Vorteile bringt eine frühzeitige Umsetzung?
Unternehmen, die sich rechtzeitig mit den neuen Vorgaben befassen, profitieren gleich mehrfach. Sie senken das Risiko regulatorischer Sanktionen, verbessern ihre Sicherheitslage und stärken das Vertrauen von Kunden, Partnern und Behörden. Zudem lassen sich viele Anforderungen – etwa im Bereich Risikomanagement oder Lieferantenkontrolle – langfristig auch wirtschaftlich nutzen, beispielsweise durch effizientere Abläufe und geringere Ausfallrisiken. Sicherheit wird so nicht nur zur Pflicht, sondern auch zur strategischen Ressource.

Warum kritis-info.de?

Kritis-Info.de steht für unabhängige, fundierte und praxisnahe Informationen zum Schutz kritischer Infrastrukturen. Wir unterstützen Betreiber und Verantwortliche mit verlässlichem Wissen und aktuellen Informationen dabei, ihre Sicherheitsanforderungen optimal umzusetzen.

Unabhängig und neutral

Wir berichten unabhängig und ohne kommerzielle Interessen, damit Sie objektive Informationen erhalten.

Praxisnah und verständlich

Alle Inhalte sind leicht verständlich aufbereitet – speziell für Betreiber und Verantwortliche kritischer Infrastrukturen.

Aktuell & fundiert

Wir verfolgen kontinuierlich die Entwicklungen im Bereich KRITIS und Sicherheitsgesetzgebung, um Sie immer auf dem neuesten Stand zu halten.