DORA vs. NIS2 — Gemeinsamkeiten und Unterschiede
Wie sich DORA und NIS2 unterscheiden, wo sie sich überschneiden und was das für Ihr Drittparteienmanagement bedeutet.
Zwei Regulierungen, ein Ziel
DORA und NIS2 verfolgen im Kern dasselbe Ziel: Die digitale Widerstandsfähigkeit europäischer Unternehmen stärken. Aber sie tun es auf unterschiedliche Weise, für unterschiedliche Zielgruppen und mit unterschiedlicher Detailtiefe.
Für Unternehmen, die unter beide Regulierungen fallen — oder unsicher sind, welche sie betrifft — ist der Vergleich entscheidend.
Die Unterschiede auf einen Blick
| Dimension | DORA | NIS2 |
|---|---|---|
| Rechtsform | EU-Verordnung (direkt anwendbar) | EU-Richtlinie (nationale Umsetzung nötig) |
| Geltung seit | 17. Januar 2025 | Nationale Umsetzung läuft (2025/2026) |
| Zielgruppe | Finanzsektor (Banken, Versicherer, Zahlungsinstitute etc.) | 18 Sektoren (Energie, Gesundheit, Transport, Produktion etc.) |
| Größenschwelle | Keine — alle regulierten Finanzunternehmen | Ab 50 Mitarbeiter oder 10 Mio. EUR Umsatz |
| Fokus | ICT-Risiken und digitale operationelle Resilienz | Breite Cybersicherheit |
| Aufsicht | Nationale Finanzaufsicht (BaFin, FMA) | Nationale Cybersicherheitsbehörden (BSI in DE) |
Drittparteienmanagement im Vergleich
Hier liegt einer der größten Unterschiede — und gleichzeitig die größte Überschneidung:
DORA: Hochdetailliert
DORA widmet dem ICT-Drittparteirisiko drei eigene Artikel (28-30) mit sehr konkreten Anforderungen:
- Register of Information (Art. 28): Strukturiertes Register aller ICT-Dienstleister im EBA-Format
- Risikobewertung und Überwachung (Art. 29): Laufende Bewertung, Konzentrationsrisiko-Analyse, Exit-Pläne
- Vertragliche Pflichtklauseln (Art. 30): 10 konkrete Klauseln, die in jedem ICT-Vertrag stehen müssen
Dazu kommt die Möglichkeit der EU-Aufsicht, “kritische ICT-Drittdienstleister” direkt zu überwachen.
NIS2: Allgemeiner, aber breit
NIS2 verlangt “Sicherheit der Lieferkette” als eine der Kernpflichten, lässt aber mehr Spielraum in der Umsetzung:
- Risikobewertung der Lieferanten und Dienstleister
- Berücksichtigung der Cybersicherheitspraktiken der Anbieter
- Vertragliche Absicherung (ohne konkrete Klauselliste)
- Laufende Überwachung
| Aspekt | DORA | NIS2 |
|---|---|---|
| Dienstleister-Register | Pflicht (EBA-Format) | Nicht explizit vorgeschrieben, aber implizit notwendig |
| Vertragliche Klauseln | Pflichtklauseln definiert | Allgemeine Anforderung, keine Klauselliste |
| Risikobewertung | TPRA-Methodik, quantitativ | Allgemeine Risikobewertung |
| Konzentrationsrisiko | Explizit adressiert | Nicht explizit, aber Teil der Risikobewertung |
| Exit-Strategien | Pflicht für kritische Anbieter | Nicht explizit vorgeschrieben |
| Sub-Outsourcing | Dokumentationspflicht | Teil der Lieferkettenbewertung |
| Detailgrad | Sehr hoch | Prinzipienbasiert |
Governance und Haftung
DORA
DORA verlangt, dass die Geschäftsleitung die ICT-Risikomanagement-Strategie genehmigt und überwacht. Die Verantwortung ist klar zugeordnet, aber die persönliche Haftung richtet sich nach nationalem Recht.
NIS2
NIS2 geht weiter: Die Geschäftsleitung haftet persönlich. Bußgelder können bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes betragen. Geschäftsführer müssen an Cybersicherheits-Schulungen teilnehmen.
Vertiefung: NIS2 Geschäftsführer-Haftung.
Meldepflichten
| Aspekt | DORA | NIS2 |
|---|---|---|
| Was melden? | Schwerwiegende ICT-bezogene Vorfälle | Erhebliche Sicherheitsvorfälle |
| Frühwarnung | Nicht explizit | 24 Stunden |
| Erstmeldung | Innerhalb der Fristen der Aufsicht | 72 Stunden |
| Abschlussbericht | Nach Abschluss der Analyse | 1 Monat |
| An wen? | Finanzaufsicht (BaFin/FMA) | Nationale Cybersicherheitsbehörde (BSI) |
Lex specialis: Was gilt, wenn beide zutreffen?
Finanzunternehmen fallen unter DORA und potenziell unter NIS2. Was gilt?
DORA hat Vorrang als lex specialis (spezielleres Gesetz). Das bedeutet: Wo DORA konkretere Anforderungen stellt, verdrängt sie NIS2. Aber: NIS2 kann zusätzliche Anforderungen stellen, die über DORA hinausgehen — z.B. bei der persönlichen Geschäftsführer-Haftung.
In der Praxis heißt das für Finanzunternehmen:
- DORA ist der primäre Rahmen für ICT-Risikomanagement
- NIS2-Anforderungen, die über DORA hinausgehen, sind zusätzlich zu berücksichtigen
- Die Meldepflichten richten sich nach DORA (an die Finanzaufsicht, nicht an das BSI)
Gemeinsame Basis: Was beide verlangen
Trotz aller Unterschiede teilen DORA und NIS2 einen gemeinsamen Kern:
- Systematisches Risikomanagement — nicht ad hoc, sondern als dokumentierter Prozess
- Lieferanten-/Dienstleistermanagement — wer mit Dritten arbeitet, muss deren Risiken kennen und steuern
- Incident-Response — Vorfälle melden und daraus lernen
- Governance — die Geschäftsleitung muss involviert sein
- Dokumentation — nachvollziehbar für die Aufsicht
Unternehmen, die ein solides Third-Party Risk Management aufbauen, legen die Grundlage für beide Regulierungen gleichzeitig.
Was das für Ihr Drittparteienmanagement bedeutet
Wenn Sie im Finanzsektor tätig sind: Konzentrieren Sie sich auf DORA. Die DORA-Anforderungen an Drittparteienmanagement sind detaillierter als NIS2, und wenn Sie DORA erfuellen, haben Sie den Grossteil der NIS2-Anforderungen automatisch abgedeckt.
Wenn Sie in einem NIS2-regulierten Sektor tätig sind: DORA kann als Orientierung dienen. Die detaillierten Anforderungen von DORA (Register, Klauselliste, Risikoscoring) sind zwar nicht 1:1 auf NIS2 übertragbar, aber sie zeigen, wohin die Reise geht — und geben einen konkreteren Rahmen als die prinzipienbasierten NIS2-Anforderungen.
Nächste Schritte
- Was ist DORA? — Grundlagen der DORA-Verordnung
- Was ist NIS2? — Grundlagen der NIS2-Richtlinie
- Was ist Third-Party Risk Management? — die gemeinsame Basis beider Regulierungen
- Lieferantenrisiken bewerten — praktische Methoden, die für beide Regulierungen gelten