Mit DORA (Digital Operational Resilience Act) und NIS2 (Network and Information Security Directive) hat die Europäische Union innerhalb kurzer Zeit zwei bedeutende Rechtsakte zur Stärkung der digitalen Resilienz und Cybersicherheit verabschiedet. Beide Regelwerke zielen darauf ab, die Informationssicherheit bei Unternehmen, die für die Wirtschaft und Gesellschaft von entscheidender Bedeutung sind, signifikant zu erhöhen.
Dennoch ist vielen Unternehmen die genaue Abgrenzung zwischen DORA und NIS2 noch nicht klar. Es besteht oft Verwirrung darüber, welche Regelung auf welche Art von Unternehmen anwendbar ist und welche spezifischen Maßnahmen erforderlich sind. Diese Unsicherheiten führen häufig zu einer unzureichenden Implementierung der erforderlichen Sicherheitsstandards.
In diesem Artikel klären wir die Hauptunterschiede und Fehlannahmen zu den beiden Regelungen.
Hauptunterschiede zwischen DORA und NIS2
DORA und NIS2 sind zwei zentrale Regelwerke der Europäischen Union, die darauf abzielen, die Cybersicherheit und digitale Resilienz zu stärken. Trotz ihrer ähnlichen Zielsetzung weisen sie jedoch entscheidende Unterschiede auf.
Art der Rechtsvorschrift
NIS2 und DORA unterscheiden sich zunächst grundlegend dadurch, dass sie zwei verschiedene Rechtsinstrumente der Europäischen Union darstellen.
NIS2
Bei NIS2 handelt es sich um eine Richtlinie. Eine Richtlinie ist ein Rechtsakt, in dem ein von den EU-Ländern zu erreichendes Ziel festgelegt wird. Es ist jedoch Sache der einzelnen Länder, eigene Rechtsvorschriften zur Verwirklichung dieses Zieles zu erlassen. Das bedeutet, dass jeder Mitgliedstaat die notwendigen Maßnahmen zur Erreichung der Ziele der Richtlinie in nationales Recht einbetten muss, unter Berücksichtigung der eigenen rechtlichen und operativen Rahmenbedingungen.
Die NIS2-Richtlinie hat also keine direkte Anwendung auf die betroffenen Unternehmen, sondern muss erst in nationales Recht übertragen werden. In Deutschland erfolgt dies beispielsweise durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG).
DORA
DORA hingegen ist eine Verordnung (so, wie auch die EU-Datenschutz-Grundverordnung – DSGVO). Verordnungen sind unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union und bedürfen keiner nationalen Umsetzung. Sie entfalten sofortige rechtliche Wirkung und gelten ab dem Zeitpunkt ihres Inkrafttretens direkt in allen Mitgliedstaaten. Zudem haben sie Vorrang vor nationalem Recht.
Die unmittelbare Geltung von DORA stellt sicher, dass Unternehmen keine Übergangsfristen aufgrund nationaler Gesetzgebungsverfahren abwarten, sondern sofort rechtskonform handeln müssen, sobald die Verordnung anwendbar ist.
Umsetzungsfristen
Die Art der Rechtsvorschrift beeinflusst den Zeitrahmen für die Erfüllung der Anforderungen. Obwohl sowohl NIS2 als auch DORA ab 17. Januar 2023 in Kraft traten, variieren die Umsetzungsfristen aufgrund ihrer unterschiedlichen Natur.
NIS2
Die Frist für die Übertragung der NIS2-Richtlinie in nationales Recht ist der 17. Oktober 2024. Nach der Überführung in nationales Recht haben die betroffenen Unternehmen bis zu zwei Jahre Zeit, die Anforderungen der Richtlinie umzusetzen. Das bedeutet, dass Unternehmen spätestens im Oktober 2026 vollständig konform sein müssen.
DORA
Im Gegensatz dazu muss DORA als EU-Verordnung nicht erst in nationales Recht übertragen werden und wird daher schon am 17. Januar 2025 – zwei Jahre nach ihrem Inkrafttreten – vollständig durchsetzbar sein. Unternehmen haben hier somit weniger Zeit, sich auf die neuen Anforderungen vorzubereiten. Während NIS2 durch den längeren Umsetzungszeitraum etwas Spielraum bietet, verlangt DORA eine schnellere Anpassung.
Betroffene Sektoren
Ein weiterer Unterschied liegt im Geltungsbereich, der die spezifischen Schwerpunkte der NIS2-Richtlinie und der DORA-Verordnung deutlich hervorhebt.
NIS2
Die NIS2-Richtlinie richtet sich gezielt an Unternehmen und Organisationen in kritischen Sektoren, die essenziell für das Funktionieren der Gesellschaft und Wirtschaft sind. Der Geltungsbereich von NIS2 umfasst insgesamt 18 Sektoren. Dazu gehören etwa Energie, Transport, Gesundheitswesen, Wasserversorgung und digitale Infrastrukturen.
Der Geltungsbereich umfasst jene Bereiche, die bei Sicherheitsvorfällen erhebliche Auswirkungen auf die öffentliche Sicherheit, Ordnung und wirtschaftliche Stabilität haben können. Diese gezielte Anwendung soll sicherstellen, dass die Cybersicherheit in den besonders anfälligen und wichtigen Sektoren gestärkt wird.
Tipp: Nutzen Sie unseren interaktiven NIS2-Test, um zu prüfen, ob Sie unter die Vorgaben der Richtlinie fallen.
DORA
Im Gegensatz dazu konzentriert sich die DORA-Verordnung ausschließlich auf den Finanzsektor und soll die digitale operationale Resilienz gewährleisten, die im digitalen Zeitalter für die Finanzstabilität und Marktintegrität von entscheidender Bedeutung ist. Sie gilt für Banken, Versicherungen, Wertpapierfirmen und andere Finanzunternehmen.
In den Geltungsbereich der DORA fallen, mit wenigen Ausnahmen (Art. 2 Absatz 1 DORA):
- Kreditinstitute,
- Zahlungsinstitute,
- Kontoinformationsdienstleister,
- E-Geld-Institute,
- Wertpapierfirmen,
- Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
- Zentralverwahrer,
- zentrale Gegenparteien,
- Handelsplätze,
- Transaktionsregister,
- Verwalter alternativer Investmentfonds,
- Verwaltungsgesellschaften
- Datenbereitstellungsdienste,
- Versicherungs- und Rückversicherungsunternehmen,
- Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
- Einrichtungen der betrieblichen Altersversorgung,
- Ratingagenturen,
- Administratoren kritischer Referenzwerte,
- Schwarmfinanzierungsdienstleister,
- Verbriefungsregister
- IKT-Drittdienstleister
Regulierungs- und Aufsichtsrahmen
Ein weiterer Unterschied zwischen NIS2 und DORA liegt in der Aufsichtsstruktur.
NIS2
Unter der NIS2-Richtlinie erfolgt die Überwachung vollständig durch nationale Behörden. In Deutschland sind hierfür das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA) zuständig. Für Kreditinstitute und andere Finanzdienstleister übernimmt die BaFin die Aufsicht gemäß NIS2. Es gibt keine direkte Aufsicht durch EU-Behörden für die betroffenen Einrichtungen unter NIS2. Die Aufsicht liegt somit ausschließlich auf nationaler Ebene.
DORA
Innerhalb von DORA richtet sich die zuständige Aufsichtsbehörde nach der Art des jeweiligen Finanzinstituts. In Betracht kommt etwa die BaFin, Bundesbank oder Europäische Zentralbank.
IKT-Drittdienstleister, die von den europäischen Finanzaufsichtsbehörden (European Supervisory Authorities) als „kritisch“ eingestuft sind, werden außerdem direkt von einer der europäischen Aufsichtsbehörden überwacht, die als federführende Überwachungsbehörde ernannt wird. Hier ist eine zentrale EU-Aufsicht für diese kritischen Dienstleister vorgesehen. Durch diese direkte EU-Aufsicht integriert DORA eine zusätzliche Überwachungsebene, während NIS2 als Richtlinie die Aufsicht ausschließlich den nationalen Behörden überlässt.
Es findet eine enge Zusammenarbeit der zuständigen Behörden untereinander und gegebenenfalls mit der federführenden Überwachungsbehörde statt.
Sanktionen bei Nicht-Compliance
Die Nichteinhaltung der NIS2-Richtlinie und der DORA-Verordnung kann erhebliche Sanktionen nach sich ziehen. Die Sanktionsmechanismen beider Regelungen verfolgen jedoch unterschiedliche Ansätze.
NIS2
Bei der NIS2-Richtlinie sind die Bußgelder konkret definiert:
- Wesentliche Einrichtungen, wie solche in den Sektoren Energie, Transport und Gesundheit, können mit bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes (je nachdem welcher Betrag höher ist) bestraft werden.
- Für wichtige Einrichtungen, wie digitale Dienstleister und Chemieunternehmen, beträgt das maximale Bußgeld 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres.
DORA
Im Gegensatz dazu legt die DORA-Verordnung keine festen Bußgeldbeträge oder strafrechtlichen Sanktionen für die Nichteinhaltung von Anforderungen durch Finanzunternehmen fest. Diese Regelungen erfolgen durch die Mitgliedstaaten. In Deutschland sollen etwa Ordnungswidrigkeitentatbestände durch das Gesetz über die Digitalisierung des Finanzmarktes (FinmadiG) eingeführt werden, das bislang lediglich als Entwurf vorliegt.
Allerdings gibt es spezifische Regelungen für IKT-Dienstleister. DORA erlaubt es führenden Aufsichtsstellen, Zwangsgelder gegen IKT-Anbieter in Höhe von 1 % des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr zu erheben. Anbieter können täglich für bis zu sechs Monate mit einem Zwangsgeld belegt werden, bis sie die Vorschriften einhalten.
Ein gemeinsamer Aspekt der Sanktionsmechanismen beider Vorschriften ist jedoch die persönliche Haftung von verantwortlichen Personen, insbesondere von Personen des Managements. Sowohl NIS2 als auch DORA sehen vor, dass verantwortliche Personen für Verstöße haftbar gemacht werden können. Dies bedeutet, dass diese Personen nicht nur für die Umsetzung der regulatorischen Anforderungen verantwortlich sind, sondern auch persönliche Konsequenzen bei Nichteinhaltung tragen können.
Häufige Irrtümer zu DORA und NIS2
Im Zuge der Implementierung von DORA und NIS2 treten immer wieder verschiedene Missverständnisse auf, die zu Unsicherheiten und Fehlinterpretationen führen können. Die folgenden Klarstellungen zielen darauf ab, Unternehmer und Compliance-Verantwortliche bei der korrekten Einhaltung der Vorschriften zu unterstützen.
Irrtum 1: Meldepflichten sind in beiden Regelungen identisch
Ein häufiger Irrtum ist die Annahme, dass die Meldepflichten in der DORA-Verordnung und der NIS2-Richtlinie deckungsgleich sind. Tatsächlich unterscheiden sich die Regelungen in ihrer Ausgestaltung, Zielrichtung und Anwendungsweise erheblich. Dies wird auch im NIS2-Umsetzungsgesetz ausdrücklich geregelt:
„Absatz 6 regelt, dass für Betreiber kritischer Anlagen, deren Dienstleistungsempfänger bereits der Verordnung (EU) 2022/2554 (DORA) unterliegen und nach dieser meldepflichtig sind, eine weitere Meldepflicht nach § 32 dieses Gesetzes entfällt. Freiwillige Meldungen nach § 5 sind weiterhin möglich.“
Das NIS2-Umsetzungsgesetz schafft Klarheit für Unternehmen, die unter beide Regelungen fallen könnten. Wenn ein Betreiber kritischer Anlagen Dienstleistungen für Finanzunternehmen erbringt, die bereits nach DORA meldepflichtig sind, entfällt die Verpflichtung zur Meldung nach § 32 des Gesetzes. Das bedeutet, dass Unternehmen, die bereits im Rahmen von DORA ihre Meldung an die BaFin übermittelt haben, keine zusätzliche Meldung nach den Regeln der NIS2 an das BSI abgeben müssen.
Wichtig zu beachten ist, dass freiwillige Meldungen nach § 5 des NIS2-Umsetzungsgesetzes dennoch möglich bleiben. Solche Meldungen können sinnvoll sein, um Transparenz zu fördern oder in Fällen, in denen die Meldepflicht nach DORA die Besonderheiten eines Vorfalls nicht vollständig abdeckt.
Irrtum 2: NIS2 betrifft nur den IT-Sektor
NIS2 richtet sich an eine Vielzahl von Sektoren, die als kritisch für die Gesellschaft und Wirtschaft angesehen werden. Dazu gehören nicht nur der IT-Sektor, sondern auch Energie, Transport, Gesundheitswesen, Wasserversorgung und digitale Dienste. Unternehmen in diesen Sektoren müssen daher die umfassenden Sicherheitsanforderungen von NIS2 erfüllen, unabhängig davon, ob sie direkt im IT-Sektor tätig sind oder nicht. Im deutschen NIS2-Umsetzungsgesetz sind die relevanten Sektoren in Anlage 1 und Anlage 2 aufgeführt.
Irrtum 3: Wenn man sowohl von NIS2 als auch von DORA betroffen ist, reicht es aus, nur DORA zu berücksichtigen
Diese Aussage ist nur teilweise korrekt. DORA enthält spezifische Regelungen für den Finanzsektor und hat daher als lex specialis Vorrang vor der NIS2-Richtlinie. Dies wird auch im NIS2-Umsetzungsgesetz klargestellt:
“In Umsetzung von Erwägungsgrund 28 der NIS-2-Richtlinie gilt die Verordnung (EU) 2022/2554 (DORA-VO) für Finanzunternehmen als lex specialis. Somit sind diese Unternehmen von den hier genannten Verpflichtungen ausgenommen.”
Das bedeutet, dass Finanzunternehmen, die unter DORA fallen, grundsätzlich von den Anforderungen der NIS2-Richtlinie befreit sind.
Es ist jedoch wichtig zu beachten, dass DORA nicht zwangsläufig alle Themenbereiche abdeckt, die in NIS2 geregelt sind. In Bereichen, die von DORA nicht vollständig geregelt werden – beispielsweise bei branchenübergreifenden Sicherheitsanforderungen oder Lieferkettenrisiken –, können die allgemeinen Anforderungen der NIS2 weiterhin relevant sein. Unternehmen sollten daher prüfen, ob ergänzende Maßnahmen notwendig sind, um mögliche Lücken zu schließen und eine umfassende Resilienz zu gewährleisten.
Irrtum 4: Wenn man nur von NIS2 betroffen ist, braucht man DORA nicht zu berücksichtigen
Es stimmt, dass Unternehmen, die ausschließlich unter die NIS2-Richtlinie fallen, rechtlich nicht verpflichtet sind, die Anforderungen der DORA-Verordnung zu erfüllen. Beide Regelwerke gelten für unterschiedliche Zielgruppen.
Da die DORA-Vorgaben jedoch an manchen Stellen präziser als die allgemeinen Anforderungen von NIS2 sind, können Unternehmen, die nur von NIS2 betroffen sind, von DORA profitieren, indem sie dessen Standards freiwillig als Best Practices nutzen.
Irrtum 5: DORA und NIS2 sind unabhängig voneinander zu betrachten
Trotz unterschiedlicher Schwerpunkte können sich die Anforderungen von DORA und NIS2 überschneiden, insbesondere für Finanzinstitute, die auch als kritische Infrastrukturen gelten. Es ist daher unerlässlich, dass Unternehmen eine integrierte Compliance-Strategie entwickeln, die beide Regelwerke berücksichtigt. Dies beinhaltet die Implementierung von Sicherheitsmaßnahmen, die sowohl den spezifischen Anforderungen von DORA als auch den allgemeinen Sicherheitsstandards von NIS2 entsprechen.
Fazit
Sowohl die DORA-Verordnung als auch die NIS2-Richtlinie verfolgen das gleiche übergeordnete Ziel: die Erhöhung der Cybersicherheit und digitalen Resilienz innerhalb der EU. Trotz dieser gemeinsamen Zielsetzung gibt es wesentliche Unterschiede in ihrem Ansatz, ihrer Anwendung und Durchsetzung.
Aufgrund dieser Unterschiede ist es essenziell, dass Unternehmen sich intensiv mit beiden Regelungen vertraut machen, um Missverständnisse zu vermeiden und sicherzustellen, dass sämtliche Anforderungen erfüllt werden. Irrtümer sollten frühzeitig erkannt und beseitigt werden. Bei offenen Fragen oder Unsicherheiten empfiehlt es sich, den Informationssicherheitsbeauftragten zu konsultieren.