Framework-Vergleich
NIS2 vs DORA
NIS2 und DORA sind beide EU-Regelwerke zur Cybersicherheit, zielen aber auf unterschiedliche Adressaten. DORA ist das speziellere Recht für den Finanzsektor und verdrängt dort weitgehend die allgemeineren NIS2-Anforderungen.
Kurzantwort
NIS2 ist die breite EU-Cybersicherheitsrichtlinie für 18 Sektoren. DORA ist die spezielle Verordnung für den Finanzsektor und geht dort als spezielleres Recht (lex specialis) vor. Finanzunternehmen richten sich primär nach DORA, alle anderen betroffenen Branchen nach NIS2.
NIS2 und DORA im direkten Vergleich
| NIS2 | DORA | |
|---|---|---|
| Adressaten | 18 Sektoren (Energie, Gesundheit, Industrie ...) | Finanzsektor (Banken, Versicherer, Zahlungsdienste ...) |
| Rechtsform | Richtlinie (national umgesetzt) | Verordnung (unmittelbar geltend, EU-weit gleich) |
| Detailtiefe | Rahmenanforderungen | Sehr detailliert (Tests, Drittparteien, Register) |
| Drittparteien | Lieferkettensicherheit allgemein | Strenge IKT-Drittparteiensteuerung, kritische Anbieter unter Aufsicht |
| Resilienztests | Wirksamkeitsprüfung gefordert | Verpflichtende, teils bedrohungsorientierte Tests (TLPT) |
| Verhältnis | Allgemeines Cybersicherheitsrecht | Spezielleres Recht, verdrängt NIS2 im Finanzsektor |
Die wichtigsten Unterschiede
Zielgruppe
NIS2 deckt viele Sektoren ab, DORA ausschließlich den Finanzsektor und dessen kritische IKT-Dienstleister.
Vorrang
Im Finanzsektor gilt DORA als spezielleres Recht und verdrängt die NIS2-Anforderungen weitgehend.
Detailgrad
DORA ist deutlich konkreter, etwa bei verpflichtenden Resilienztests und der Steuerung von IT-Drittdienstleistern, bis hin zu deren direkter Aufsicht.
Rechtsform
NIS2 ist eine Richtlinie, die jedes Land umsetzt. DORA ist eine Verordnung und gilt EU-weit unmittelbar und einheitlich.
Gemeinsamkeiten
- Beide verlangen ein risikobasiertes IKT-/Informationssicherheitsmanagement
- Beide fordern Vorfallmeldung, Business Continuity und Lieferketten- bzw. Drittparteiensteuerung
- Beide adressieren die Verantwortung der Leitungsorgane
- Ein ISMS nach ISO 27001 ist für beide eine tragfähige Grundlage
Welches brauche ich?
Die beiden überschneiden sich inhaltlich stark, gelten aber für unterschiedliche Adressaten. Entscheidend ist die Branche: Finanzunternehmen folgen DORA, andere betroffene Sektoren NIS2.
Empfehlung: Prüfen Sie zuerst, ob Sie Finanzunternehmen oder kritischer IKT-Dienstleister des Finanzsektors sind. Falls ja, ist DORA maßgeblich. Falls nein, ist NIS2 der relevante Rahmen. Ein gemeinsames ISMS bedient in beiden Fällen den Kern.
Häufig gestellte Fragen
Gilt für Banken NIS2 oder DORA?
Für den Finanzsektor ist DORA als spezielleres Recht maßgeblich und verdrängt die NIS2-Anforderungen weitgehend. Die Schutzziele sind aber sehr ähnlich.
Ist DORA strenger als NIS2?
In vielen Punkten ja. DORA ist detaillierter, etwa bei verpflichtenden Resilienztests und der Aufsicht über kritische IT-Drittdienstleister.
Kann ein Unternehmen unter beide fallen?
Im Kern gilt für Finanzunternehmen DORA. IT-Dienstleister können je nach Kundschaft mit beiden Welten in Berührung kommen, etwa als NIS2-Einrichtung und zugleich als DORA-relevanter Drittdienstleister.
NIS2 und DORA in einer Plattform
CompliantDesk bringt alle Frameworks über ein gemeinsames Kern-Modell zusammen. Check-Antworten fließen automatisch in alle relevanten Standards, kein doppeltes Dokumentieren.