NIS2 vs. DORA: Welche Pflichten gelten fuer dein Unternehmen?
Finanzunternehmen stehen unter zwei EU-Regimen gleichzeitig. Das Lex-specialis-Prinzip, das Register of Information, BaFin- vs. BSI-Aufsicht und unterschiedliche Meldefristen – hier bekommst du den vollstaendigen Vergleich mit Entscheidungsbaum.
Überblick
Die NIS-2-Richtlinie (EU) 2022/2555 und die DORA-Verordnung (EU) 2022/2554 verfolgen dasselbe Ziel – digitale Resilienz in Europa – aber aus unterschiedlichen Blickwinkeln. NIS2 ist eine Mindestharmonisierungsrichtlinie, die 18 kritische und wichtige Sektoren umfasst und in Deutschland durch das NIS2UmsuCG ins BSIG-neu ueberfuehrt wurde (in Kraft ab 06.12.2025). DORA ist eine EU-Verordnung mit Direktwirkung, gilt seit 17.01.2025 und adressiert ausschliesslich Finanzentitaeten wie Banken, Versicherungen, Zahlungsdienstleister und Krypto-Anbieter.
Fuer Finanzunternehmen stellt sich die entscheidende Frage: Bin ich von beiden betroffen? Nach Art. 1 Abs. 2 NIS2-RL gilt das Lex-specialis-Prinzip – DORA verdraengt NIS2 als spezielleres Gesetz fuer Finanzentitaeten. Die deutsche Umsetzung im NIS2UmsuCG (BSIG-neu) beinhaltet jedoch keine pauschale Befreiung. Fuer bestimmte BSIG-Pflichten – etwa bei Ueberschneidungen mit kritischen Infrastrukturen – kann Doppelcompliance erforderlich sein. Entscheidend ist die konkrete Einordnung durch die zustaaendige Behoerde: BaFin fuer DORA, BSI fuer NIS2.
SaaS- und IT-Dienstleister, die selbst keine Finanzentitaet sind, unterliegen nicht direkt DORA, werden aber ueber die vertraglichen Anforderungen nach Art. 28 DORA indirekt erfasst – ihre Finanzkunden muessen die DORA-Anforderungen im Vertrag verankern.
NIS2 vs. DORA im Vergleich
| Kriterium | NIS2 | DORA |
|---|---|---|
| Rechtsform | Richtlinie (Mindestharmonisierung) – nationales Recht noetig | Verordnung (Vollharmonisierung) – Direktwirkung seit 17.01.2025 |
| In-Kraft-Treten (Deutschland) | 18.10.2024 (EU); DE: 06.12.2025 (NIS2UmsuCG / BSIG-neu) | 17.01.2025 (EU-weit direkt anwendbar) |
| Aufsichtsbehoerde Deutschland | BSI (Bundesamt fuer Sicherheit in der Informationstechnik) | BaFin (Bundesanstalt fuer Finanzdienstleistungsaufsicht); CTPP: ESAs (EU-Ebene) |
| Anwendungsbereich | 18 kritische und wichtige Sektoren; ab 50 MA oder 10 Mio. EUR Umsatz | 20+ Typen von Finanzentitaeten (Banken, Versicherungen, Zahlungsdienstleister, Krypto etc.) |
| Erstmeldung (Schwere Vorfaelle) | Fruehwarnung innerhalb 24 Stunden (§ 32 BSIG-neu) | Erstmeldung 'as soon as possible', Praxisziel 4 Stunden (Art. 19 DORA) |
| Zwischenmeldung | 72 Stunden nach Kenntnisnahme (§ 32 BSIG-neu) | 72 Stunden nach Erstmeldung (Art. 19 DORA) |
| Abschlussbericht | 30 Tage nach Zwischenmeldung (§ 32 BSIG-neu) | 1 Monat nach Erstmeldung (Art. 19 DORA) |
| Register der ICT-Vertragsverhaeltnisse | Keine gesetzliche Pflicht | Pflicht nach Art. 28 Abs. 3 DORA, jaehrliche Uebermittlung an BaFin (EIOPA-Template) |
| Kritische Drittanbieter-Aufsicht | Kein vergleichbarer Mechanismus | CTPP-Designation durch ESAs (Art. 31 DORA), direkte EU-Aufsicht, Sanktionen moeglich |
| Threat-Led Penetration Tests (TLPT) | Nicht verpflichtend (freiwillig empfohlen) | Verpflichtend fuer systemrelevante Finanzunternehmen alle 3 Jahre (Art. 26 DORA) |
| Governance: Leitungsorgan | § 38 BSIG-neu: Schulungspflicht, persoenliche Haftung Geschaeftsfuehrung | Art. 5 DORA: Leitungsorgan verantwortlich fuer ICT-Risikomanagement-Framework |
| Bussgelder (Maximum) | 10 Mio. EUR oder 2% weltweiter Jahresumsatz (§ 65 BSIG-neu) | Sektorspezifisch nach MiFID II / CRD / Solvency II; BaFin kann Berufsverbot anordnen |
| Lex-specialis-Verhaeltnis | Grundregel: NIS2 gilt als allgemeines Gesetz | DORA verdraengt NIS2 fuer Finanzentitaeten (Art. 1 Abs. 2 NIS2-RL) – aber kein pauschales BSIG-Opt-out in DE |
| Informationsaustausch / ISAC | Art. 29 NIS2-RL: freiwillige Informationsaustausch-Netzwerke | Art. 45 DORA: verpflichtend fuer DORA-Einheiten – Threat Intelligence Sharing |
Gemeinsamkeiten
Risikomanagement
Beide Frameworks verlangen ein dokumentiertes ICT-Risikomanagement. NIS2 fordert Massnahmen nach Art. 21 NIS2-RL (§ 30 BSIG-neu), DORA ein vollstaendiges ICT-Risk-Management-Framework nach Art. 5-15 DORA. Ein gemeinsamer Risikoregister deckt rund 70% beider Anforderungen ab.
Incident Reporting
Beide Regelwerke verpflichten zur mehrstufigen Meldung erheblicher Vorfaelle: Fruehwarnung, Zwischenmeldung und Abschlussbericht. Die konkreten Fristen unterscheiden sich jedoch – NIS2 gibt 24h/72h/30 Tage vor, DORA einen sofortigen Erstbericht ('as soon as possible', Praxisziel 4 Stunden), 72h und 1 Monat.
Drittanbieter-Risiko
Supply-Chain-Sicherheit steht in beiden Frameworks im Fokus. DORA reguliert ICT-Third-Party-Provider (TPSP) ueber Art. 28-44 sehr detailliert inkl. Registerflicht. NIS2 adressiert Lieferketten-Risiken ueber Art. 21 Abs. 2 lit. d NIS2-RL und § 30 BSIG-neu.
Governance und Leitungsverantwortung
Geschaeftsfuehrung und Vorstand haften persoenlich fuer Compliance-Versaumnisse. NIS2 formuliert dies in § 38 BSIG-neu (Schulungspflicht, persoenliche Haftung), DORA in Art. 5 DORA (Aufgaben des Leitungsorgans fuer ICT-Risikomanagement).
Business Continuity und Resilience
NIS2 (§ 30 BSIG-neu) und DORA (Art. 11 DORA) verpflichten zu Geschaeftskontinuitaetsplanung (BCP) und Wiederherstellungsplaenen. Gemeinsame BCP-Dokumentation und Ausfallszenarien koennen beide Anforderungen abdecken.
Sicherheitstests und Audits
Beide Frameworks fordern regelmaessige Tests. NIS2 verlangt Sicherheitsaudits und Schwachstellenscans. DORA geht fuer groessere Finanzunternehmen weiter: verpflichtende Threat Led Penetration Tests (TLPT) nach Art. 26 DORA mindestens alle drei Jahre.
Zentrale Unterschiede
Aufsichtsbehoerde in Deutschland
NIS2/BSIG: Primaere Aufsicht durch das BSI (Bundesamt fuer Sicherheit in der Informationstechnik). DORA: Zustaendig ist die BaFin (Bundesanstalt fuer Finanzdienstleistungsaufsicht) als nationale Behoerde; kritische Drittanbieter (CTPP) werden direkt durch die ESAs (EBA, ESMA, EIOPA) auf EU-Ebene beaufsichtigt.
Meldefrist Erstmeldung
NIS2 (§ 32 BSIG-neu): Fruehwarnung innerhalb von 24 Stunden nach Kenntnisnahme. DORA (Art. 19 DORA): Erstmeldung 'as soon as possible' – der praktische Zielwert der Regulatoren liegt bei 4 Stunden. Dies ist ein wesentlicher Unterschied fuer Finanzunternehmen, die deutlich schneller reagieren muessen.
Register of Information (DORA-exklusiv)
DORA Art. 28 Abs. 3 verpflichtet Finanzentitaeten, ein vollstaendiges Register aller Vertragsverhaeltnisse mit ICT-Drittanbietern zu fuehren. Dieses Register ist jaehrlich der BaFin zu uebermitteln (Vorlage durch EIOPA/ESA). NIS2 kennt keine vergleichbare Registerpflicht.
Kritische Drittanbieter-Designation (CTPP)
DORA Art. 31 ermoeglicht die Designation kritischer ICT-Drittanbieter (Critical Third-Party Providers, CTPP) durch die ESAs auf EU-Ebene – mit direktem Aufsichtsmechanismus, Untersuchungsrechten und Bussgeld-Sanktionen. NIS2 kennt keinen vergleichbaren Mechanismus fuer Zulieferer.
Rechtsform: Richtlinie vs. Verordnung
NIS2 ist eine Mindestharmonisierungsrichtlinie – sie musste in nationales Recht umgesetzt werden (Deutschland: NIS2UmsuCG, in Kraft ab 06.12.2025), wodurch nationale Abweichungen moeglich sind. DORA ist eine EU-Verordnung mit Direktwirkung und Vollharmonisierung – gilt unmittelbar seit 17.01.2025 in allen Mitgliedstaaten.
Bussgelder und Sanktionen
NIS2/BSIG: Bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes (wesentliche Einrichtungen), zusaetzlich persoenliche Haftung Geschaeftsfuehrung (§ 65 BSIG-neu). DORA: Sanktionen richten sich nach sektorspezifischen Finanzmarktgesetzen (u.a. MiFID II, CRD, Solvency II) – BaFin kann Geldbussen, Taetigkeitsverbote und oeffentliche Bekanntmachungen anordnen.
Anwendungsbereich und Sektoren
NIS2 umfasst 18 kritische und wichtige Sektoren (Energie, Transport, Gesundheit, Wasser, Digitale Infrastruktur u.a.) sowie alle Unternehmen ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz in diesen Sektoren. DORA adressiert ueber 20 Typen von Finanzentitaeten und ist unabhaengig von Unternehmensgrösse weitgehend verpflichtend.
Threat Intelligence und TLPT
NIS2 empfiehlt Threat Intelligence und Informationsaustausch, macht aber keine TLPT-Pflicht. DORA Art. 26 verpflichtet systemrelevante Finanzunternehmen zu Threat Led Penetration Tests (TLPT) mindestens alle drei Jahre, koordiniert durch die BaFin.
Welchen Standard wählen?
Die Frage 'NIS2 oder DORA?' laesst sich mit einem einfachen Entscheidungsbaum beantworten.
Schritt 1: Bist du eine regulierte Finanzentitaet im Sinne des DORA-Anhangs? Dazu zaehlen: Banken, Kreditinstitute, Versicherungen, Rueckversicherungen, Wertpapierfirmen, Handelsplaetze, Zahlungsdienstleister, E-Geld-Institute, Krypto-Asset-Dienstleister, Ratingagenturen, Fondsverwaltungen und weitere. Wenn JA: DORA gilt fuer dich. DORA verdraengt NIS2 nach dem Lex-specialis-Prinzip (Art. 1 Abs. 2 NIS2-RL) fuer die meisten Kernpflichten. Pruefe aber: Bist du gleichzeitig als KRITIS-Betreiber oder wesentliche Einrichtung eingestuft? Dann koennen ergaenzende BSIG-Pflichten bestehen.
Schritt 2: Bist du ein IT- oder SaaS-Anbieter, der Finanzunternehmen bedient, selbst aber keine Finanzentitaet? Dann gilt DORA nicht direkt fuer dich. Deine Finanzkunden muessen jedoch per Vertrag DORA-Anforderungen nach Art. 28 DORA von dir einfordern. Zusaetzlich koennen NIS2/BSIG-Pflichten greifen, wenn du in einem der 18 NIS2-Sektoren taetig bist.
Schritt 3: Bist du weder Finanzentitaet noch Dienstleister fuer Finanzunternehmen? Dann ist DORA nicht relevant. NIS2/BSIG gilt, wenn dein Unternehmen einen der 18 kritischen oder wichtigen Sektoren abdeckt und die Groessenschwellen (50+ Mitarbeitende oder 10 Mio. EUR Umsatz) erreicht.
Kurzzusammenfassung: Finanzentitaet = primaer DORA + ggf. BSIG-Restzusatz. IT-Zulieferer fuer Banken = NIS2 + DORA-Vertragsanforderungen. Alle anderen relevanten Sektoren = NIS2/BSIG.
Synergien: Beide Standards effizient umsetzen
Fuer Unternehmen, die beiden Regimen unterliegen oder den Wechsel vorbereiten, loehnt sich eine Dual-Compliance-Strategie mit gemeinsamen Bausteinen.
Gemeinsames ISMS-Fundament: ISO 27001 als technisches Rueckgrat deckt den Grossteil beider Anforderungen ab. Ein einheitliches Informationssicherheits-Managementsystem reduziert doppelte Dokumentation erheblich. Risikoregister, Asset-Inventar und Sicherheitsrichtlinien muessen nur einmal erstellt und gepflegt werden.
Ein Risikoregister fuer NIS2 und DORA: DORA Art. 6 und NIS2 § 30 BSIG-neu verwenden aehnliche Risikokategorien. Ein konsolidiertes ICT-Risikoregister – mit Mapping auf beide Regelwerke – spart erheblichen Aufwand. Kopexa's Framework-Builder unterstuetzt dieses Cross-Mapping direkt aus der Plattform.
Gemeinsamer Incident-Response-Plan: Ein einziger, gut strukturierter IRP mit klar definierten Eskalationspfaden kann beide Meldepflichten abdecken. Entscheidend ist, die unterschiedlichen Fristen (4h DORA vs. 24h NIS2) in der Alarmierungskette zu beruecksichtigen – zum Beispiel durch einen einheitlichen 4-Stunden-Erstmelde-Trigger, der fuer beide Regime gilt.
DORA Register of Information als NIS2-Asset-Inventar: Das nach Art. 28 Abs. 3 DORA verpflichtende Register aller ICT-Vertragsverhaeltnisse kann gleichzeitig als umfassendes Drittanbieter-Inventar nach NIS2 dienen.
Häufig gestellte Fragen
Bin ich betroffen?
Nutze unseren branchengenauen Rechner und finde in wenigen Minuten heraus, ob NIS2, DORA oder beide fuer dein Unternehmen gelten.
Zum NIS2-BetroffenheitsrechnerInhalt
Weitere Vergleiche
- DORA vs. PCI-DSS: Was braucht dein Finanzunternehmen?
- ISO 27001 vs. DORA: Was brauchst du wirklich?
- ISO 27001 vs. NIS2: Was passt zu deinem Unternehmen?
- NIS2 vs. DSGVO: Was ist für dein Unternehmen entscheidend?
- NIS2 vs. KRITIS: Welcher Standard passt zu deinem Unternehmen?
- TISAX vs. NIS2: Welche Zertifizierung benötigst du?
Multi-Standard Compliance?
Kopexa zeigt dir, wo sich NIS2 und DORA überschneiden — und spart dir doppelte Arbeit.
Demo anfragen