Mit DORA (Digital Operational Resilience Act) und NIS2 (Network and Information Security Directive) hat die Europäische Union innerhalb kurzer Zeit zwei bedeutende Rechtsakte zur Stärkung der digitalen Resilienz und Cybersicherheit verabschiedet. Beide Regelwerke zielen darauf ab, die Informationssicherheit bei Unternehmen, die für die Wirtschaft und Gesellschaft von entscheidender Bedeutung sind, signifikant zu erhöhen.
Dennoch ist vielen Unternehmen die genaue Abgrenzung zwischen DORA und NIS2 noch nicht klar. Es besteht oft Verwirrung darüber, welche Regelung auf welche Art von Unternehmen anwendbar ist und welche spezifischen Maßnahmen erforderlich sind. Diese Unsicherheiten führen häufig zu einer unzureichenden Implementierung der erforderlichen Sicherheitsstandards.
In diesem Artikel klären wir die Hauptunterschiede und Fehlannahmen zu den beiden Regelungen.
Hauptunterschiede zwischen DORA und NIS2
DORA und NIS2 sind zwei zentrale Regelwerke der Europäischen Union, die darauf abzielen, die Cybersicherheit und digitale Resilienz zu stärken. Trotz ihrer ähnlichen Zielsetzung weisen sie jedoch entscheidende Unterschiede auf.
Art der Rechtsvorschrift
NIS2 und DORA unterscheiden sich zunächst grundlegend dadurch, dass sie zwei verschiedene Rechtsinstrumente der Europäischen Union darstellen.
NIS2
Bei NIS2 handelt es sich um eine Richtlinie. Eine Richtlinie ist ein Rechtsakt, in dem ein von den EU-Ländern zu erreichendes Ziel festgelegt wird. Es ist jedoch Sache der einzelnen Länder, eigene Rechtsvorschriften zur Verwirklichung dieses Zieles zu erlassen. Das bedeutet, dass jeder Mitgliedstaat die notwendigen Maßnahmen zur Erreichung der Ziele der Richtlinie in nationales Recht einbetten muss, unter Berücksichtigung der eigenen rechtlichen und operativen Rahmenbedingungen.
Die NIS2-Richtlinie hat also keine direkte Anwendung auf die betroffenen Unternehmen, sondern muss erst in nationales Recht übertragen werden. In Deutschland erfolgt dies beispielsweise durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG).
DORA
DORA hingegen ist eine Verordnung (so, wie auch die EU-Datenschutz-Grundverordnung – DSGVO). Verordnungen sind unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union und bedürfen keiner nationalen Umsetzung. Sie entfalten sofortige rechtliche Wirkung und gelten ab dem Zeitpunkt ihres Inkrafttretens direkt in allen Mitgliedstaaten. Zudem haben sie Vorrang vor nationalem Recht.
Die unmittelbare Geltung von DORA stellt sicher, dass Unternehmen keine Übergangsfristen aufgrund nationaler Gesetzgebungsverfahren abwarten, sondern sofort rechtskonform handeln müssen, sobald die Verordnung anwendbar ist.
Umsetzungsfristen
Die Art der Rechtsvorschrift beeinflusst den Zeitrahmen für die Erfüllung der Anforderungen. Obwohl sowohl NIS2 als auch DORA am 17. Januar 2023 in Kraft traten, variieren die Umsetzungsfristen aufgrund ihrer unterschiedlichen Natur.
NIS2
Die Frist für die Übertragung der NIS2-Richtlinie in nationales Recht ist der 17. Oktober 2024. Nach der Überführung in nationales Recht haben die betroffenen Unternehmen bis zu zwei Jahre Zeit, die Anforderungen der Richtlinie umzusetzen. Das bedeutet, dass Unternehmen spätestens im Oktober 2026 vollständig konform sein müssen.
DORA
Im Gegensatz dazu muss DORA als EU-Verordnung nicht erst in nationales Recht übertragen werden und wird daher schon am 17. Januar 2025 – zwei Jahre nach ihrem Inkrafttreten – vollständig durchsetzbar sein. Unternehmen haben hier somit weniger Zeit, sich auf die neuen Anforderungen vorzubereiten. Während NIS2 durch den längeren Umsetzungszeitraum etwas Spielraum bietet, verlangt DORA eine schnellere Anpassung.
Betroffene Sektoren
Ein weiterer Unterschied liegt im Geltungsbereich, der die spezifischen Schwerpunkte der NIS2-Richtlinie und der DORA-Verordnung deutlich hervorhebt.
NIS2
Die NIS2-Richtlinie richtet sich gezielt an Unternehmen und Organisationen in kritischen Sektoren, die essenziell für das Funktionieren der Gesellschaft und Wirtschaft sind. Der Geltungsbereich von NIS2 umfasst insgesamt 18 Sektoren. Dazu gehören etwa Energie, Transport, Gesundheitswesen, Wasserversorgung und digitale Infrastrukturen.
Der Geltungsbereich umfasst jene Bereiche, die bei Sicherheitsvorfällen erhebliche Auswirkungen auf die öffentliche Sicherheit, Ordnung und wirtschaftliche Stabilität haben können. Diese gezielte Anwendung soll sicherstellen, dass die Cybersicherheit in den besonders anfälligen und wichtigen Sektoren gestärkt wird.
Tipp: Nutzen Sie unseren interaktiven NIS2-Test, um zu prüfen, ob Sie unter die Vorgaben der Richtlinie fallen.
DORA
Im Gegensatz dazu konzentriert sich die DORA-Verordnung ausschließlich auf den Finanzsektor. Sie gilt für Banken, Versicherungen, Wertpapierfirmen und andere Finanzdienstleister. Der Anwendungsbereich von DORA umfasst alle Finanzunternehmen, die digitale Dienste anbieten oder nutzen. Dies soll betriebliche Resilienz gegenüber digitalen Risiken und Bedrohungen im Finanzsektor gewährleisten. Diese spezifische Fokussierung reflektiert die besondere Bedeutung des Finanzsektors für die wirtschaftliche Stabilität und den Schutz vor systemischen Risiken. In den Geltungsbereich der DORA fallen, mit wenigen Ausnahmen (Art. 2 Absatz 1 DORA):- CRR-Kreditinstitute,
- Zahlungsinstitute,
- Kontoinformationsdienstleister,
- E-Geld-Institute,
- Wertpapierfirmen,
- Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
- Zentralverwahrer,
- zentrale Gegenparteien,
- Handelsplätze,
- Transaktionsregister,
- Verwalter alternativer Investmentfonds,
- Verwaltungsgesellschaften
- Datenbereitstellungsdienste,
- Versicherungs- und Rückversicherungsunternehmen,
- Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
- Einrichtungen der betrieblichen Altersversorgung,
- Ratingagenturen,
- Administratoren kritischer Referenzwerte,
- Schwarmfinanzierungsdienstleister,
- Verbriefungsregister
- IKT-Dienstleister
Regulierungs- und Aufsichtsrahmen
Ein weiterer Unterschied zwischen NIS2 und DORA liegt in der Aufsichtsstruktur.NIS2
Unter der NIS2-Richtlinie erfolgt die Überwachung vollständig durch nationale Behörden. In Deutschland sind hierfür das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA) zuständig. Für Kreditinstitute und andere Finanzdienstleister übernimmt die BaFin die Aufsicht gemäß NIS2. Es gibt keine direkte Aufsicht durch EU-Behörden für die betroffenen Einrichtungen unter NIS2. Die Aufsicht liegt somit ausschließlich auf nationaler Ebene.DORA
Im Gegensatz dazu werden im Rahmen von DORA Finanzunternehmen zwar primär auch von nationalen Aufsichtsbehörden wie der BaFin und der Bundesbank zusammen mit der Europäischen Zentralbank überwacht, diese arbeiten jedoch eng mit den EU-Behörden zusammen. So spielen beispielsweise die European Securities and Markets Authority (ESMA), die European Banking Authority (EBA) und die European Insurance and Occupational Pensions Authority (EIOPA) eine zentrale Rolle bei der Überwachung und Durchsetzung der DORA-Verordnung auf europäischer Ebene. Diese Behörden koordinieren die Aufsichtsaktivitäten und unterstützen die nationalen Behörden bei der Sicherstellung der digitalen Resilienz im Finanzsektor. IKT-Anbieter, die von der Europäischen Kommission als „entscheidend“ eingestuft werden, werden außerdem direkt von führenden Aufsichtsstellen der ESAs (European Supervisory Authorities) überwacht. Hier ist eine zentrale EU-Aufsicht für diese kritischen Dienstleister vorgesehen. Durch diese direkte EU-Aufsicht integriert DORA eine zusätzliche Überwachungsebene, während NIS2 als Richtlinie die Aufsicht ausschließlich den nationalen Behörden überlässt.Sanktionen bei Nicht-Compliance
Die Nichteinhaltung der NIS2-Richtlinie und der DORA-Verordnung kann erhebliche Sanktionen nach sich ziehen. Die Sanktionsmechanismen beider Regelungen verfolgen jedoch unterschiedliche Ansätze.NIS2
Bei der NIS2-Richtlinie sind die Bußgelder konkret definiert:- Wesentliche Einrichtungen, wie solche in den Sektoren Energie, Transport und Gesundheit, können mit bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes (je nachdem welcher Betrag höher ist) bestraft werden.
- Für wichtige Einrichtungen, wie digitale Dienstleister und Chemieunternehmen, beträgt das maximale Bußgeld 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres.
DORA
Im Gegensatz dazu legt die DORA-Verordnung keine festen Bußgeldbeträge für die allgemeine Nichteinhaltung fest. Allerdings gibt es spezifische Regelungen für IKT-Dienstleister. DORA erlaubt es führenden Aufsichtsstellen, Bußgelder gegen IKT-Anbieter in Höhe von 1 % des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr zu erheben. Anbieter können täglich für bis zu sechs Monate mit einer Geldstrafe belegt werden, bis sie die Vorschriften einhalten. Ein gemeinsamer Aspekt der Sanktionsmechanismen beider Vorschriften ist jedoch die persönliche Haftung des Managements. Sowohl NIS2 als auch DORA sehen vor, dass Mitglieder des Managements für grobe Fahrlässigkeit oder vorsätzliche Verstöße haftbar gemacht werden können. Dies bedeutet, dass Führungskräfte nicht nur für die Umsetzung der Cybersicherheitsanforderungen verantwortlich sind, sondern auch persönliche Konsequenzen bei Nichteinhaltung tragen können.Häufige Irrtümer zu DORA und NIS2
Im Zuge der Implementierung von DORA und NIS2 treten immer wieder verschiedene Missverständnisse auf, die zu Unsicherheiten und Fehlinterpretationen führen können. Die folgenden Klarstellungen zielen darauf ab, Unternehmer und Compliance-Verantwortliche bei der korrekten Einhaltung der Vorschriften zu unterstützen.
Meldepflichten sind in beiden Regelungen identisch
Obwohl beide Regelungen Meldepflichten für Sicherheitsvorfälle vorsehen, unterscheiden sich die spezifischen Anforderungen:
- DORA erfordert von Finanzinstituten detaillierte Berichte über Vorfälle, die die Betriebsresilienz beeinträchtigen könnten. Diese Berichte müssen zeitnah erfolgen und detaillierte Informationen über die Art des Vorfalls und die ergriffenen Maßnahmen enthalten.
- NIS2 hingegen sieht strengere Fristen für die Meldung von Sicherheitsvorfällen vor, typischerweise innerhalb von 24 Stunden, und stellt spezifische Meldeformate je nach Sektor zu Verfügung. Die Meldepflichten unter NIS2 sind daher oft umfangreicher und zeitkritischer.
NIS2 betrifft nur den IT-Sektor
NIS2 richtet sich an eine Vielzahl von Sektoren, die als kritisch für die Gesellschaft und Wirtschaft angesehen werden. Dazu gehören nicht nur der IT-Sektor, sondern auch Energie, Transport, Gesundheitswesen, Wasserversorgung und digitale Dienste. Unternehmen in diesen Sektoren müssen daher die umfassenden Sicherheitsanforderungen von NIS2 erfüllen, unabhängig davon, ob sie direkt im IT-Sektor tätig sind oder nicht.
Wenn man sowohl von NIS2 als auch von DORA betroffen ist, reicht es aus, nur DORA zu berücksichtigen
Dies stimmt nur bedingt. DORA bietet spezifische und detaillierte Regelungen für den Finanzsektor und hat in diesem Bereich als lex specialis Vorrang vor NIS2, welches ein allgemeines Gesetz darstellt. Dies ist auch im Text von DORA verankert:
“This Regulation constitutes lex specialis with regard to Directive (EU) 2022/2555. At the same time, it is crucial to maintain a strong relationship between the financial sector and the Union horizontal cybersecurity framework as currently laid out in Directive (EU) 2022/2555.”
Es ist also ein weit verbreitetes Missverständnis, dass Unternehmen, die sowohl von DORA als auch von NIS2 betroffen sind, nur die Anforderungen von DORA erfüllen müssen.
Obwohl DORA spezifische Anforderungen für den Finanzsektor festlegt, dürfen die allgemeinen Anforderungen von NIS2 nicht ignoriert werden. In Bereichen, die durch DORA nicht vollständig abgedeckt sind, müssen weiterhin die Bestimmungen von NIS2 beachtet werden. Beispielsweise verlangt NIS2 eine sektorübergreifende Zusammenarbeit und den Informationsaustausch, die für alle kritischen Infrastrukturen, einschließlich Finanzinstitute, gelten. Diese allgemeinen Anforderungen bleiben relevant und müssen zusätzlich zu den spezifischen Vorgaben von DORA erfüllt werden.
Unternehmen müssen daher sicherstellen, dass sie sowohl den speziellen Anforderungen von DORA als auch den allgemeinen Anforderungen von NIS2 nachkommen, um eine vollständige Compliance zu gewährleisten.
Wenn man nur von NIS2 betroffen ist, braucht man DORA nicht zu berücksichtigen
Es stimmt, dass Unternehmen, die ausschließlich unter die NIS2-Richtlinie fallen, nicht verpflichtet sind, die Anforderungen von DORA zu erfüllen, da DORA speziell für die Finanzindustrie konzipiert wurde. Allerdings kann es dennoch sinnvoll sein, die detaillierten und spezifischen Anforderungen von DORA als Orientierungshilfe heranzuziehen.
Die DORA-Verordnung definiert viele Sicherheits- und Resilienzanforderungen deutlich präziser als die NIS2-Richtlinie. Unternehmen können von diesen detaillierten Vorgaben profitieren, indem sie diese nutzen, um ihre eigenen Sicherheitsmaßnahmen zu evaluieren und zu verbessern. Dies kann besonders nützlich sein, um Bereiche zu identifizieren, in denen bislang keine oder nur unzureichende Maßnahmen ergriffen wurden, um den Anforderungen von NIS2 gerecht zu werden.
Finanzinstitute müssen nur DORA einhalten
Finanzinstitute können sowohl unter DORA als auch unter NIS2 fallen. Während DORA spezifische Anforderungen an die digitale Betriebsresilienz von Finanzinstituten stellt, adressiert NIS2 allgemeine Sicherheitsanforderungen für kritische Infrastrukturen. Finanzinstitute, die als kritische Infrastrukturen eingestuft werden, müssen daher sowohl die spezifischen Vorschriften von DORA als auch die allgemeinen Sicherheitsanforderungen von NIS2 einhalten. Dies erfordert eine umfassende Compliance-Strategie, die beide Regelwerke integriert.
DORA und NIS2 sind unabhängig voneinander zu betrachten
Trotz unterschiedlicher Schwerpunkte können sich die Anforderungen von DORA und NIS2 überschneiden, insbesondere für Finanzinstitute, die auch als kritische Infrastrukturen gelten. Es ist daher unerlässlich, dass Unternehmen eine integrierte Compliance-Strategie entwickeln, die beide Regelwerke berücksichtigt. Dies beinhaltet die Implementierung von Sicherheitsmaßnahmen, die sowohl den spezifischen Anforderungen von DORA als auch den allgemeinen Sicherheitsstandards von NIS2 entsprechen.
Fazit
Sowohl die DORA-Verordnung als auch die NIS2-Richtlinie verfolgen das gleiche übergeordnete Ziel: die Erhöhung der Cybersicherheit und digitalen Resilienz innerhalb der EU. Trotz dieser gemeinsamen Zielsetzung gibt es wesentliche Unterschiede in ihrem Ansatz, ihrer Anwendung und Durchsetzung.
Aufgrund dieser Unterschiede ist es essenziell, dass Unternehmen sich intensiv mit beiden Regelungen vertraut machen, um Missverständnisse zu vermeiden und sicherzustellen, dass sämtliche Anforderungen erfüllt werden. Irrtümer sollten frühzeitig erkannt und beseitigt werden. Bei offenen Fragen oder Unsicherheiten empfiehlt es sich, den Informationssicherheitsbeauftragten zu konsultieren.