Wie greifen DORA und NIS2 ineinander?
Sehr gute Frage – das Zusammenspiel dieser beiden Regelwerke ist eines der häufigsten Themen in der Praxis gerade. Lass mich das strukturiert aufschlüsseln.
DORA und NIS2: Das regulatorische Doppel
Gleiche Stoßrichtung, unterschiedliche Instrumente
NIS2 (Richtlinie (EU) 2022/2555) legt Maßnahmen fest, die ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union anstreben. Sie gilt grundsätzlich für mittlere und große Einrichtungen in 18 Sektoren hoher Kritikalität – darunter Energie, Transport, Gesundheit, digitale Infrastruktur, aber eben auch Banken und Finanzmarktinfrastrukturen wie Kreditinstitute, Betreiber von Handelsplätzen und zentrale Gegenparteien.
DORA (Verordnung (EU) 2022/2554) hingegen ist das sektorspezifische Pendant für den Finanzbereich. Beide Rechtsakte wurden am selben Tag – dem 14. Dezember 2022 – verabschiedet.
Das Vorrangverhältnis: DORA als lex specialis
Das ist das Herzstück der Abgrenzung. DORA ist die speziellere Regelung für den Finanzsektor und geht vor. Wo DORA spezifische Regeln aufstellt, verdrängt es die allgemeineren NIS2-Vorgaben. Finanzinstitute müssen also primär DORA erfüllen.
NIS2 regelt das in Art. 4 selbst: Wo sektorspezifische EU-Rechtsakte wie DORA von essentiellen oder wichtigen Einrichtungen verlangen, Cybersicherheits-Risikomanagementmaßnahmen zu ergreifen oder signifikante Vorfälle zu melden, und diese Anforderungen zumindest gleichwertig mit den NIS2-Pflichten sind, gelten die entsprechenden NIS2-Bestimmungen – einschließlich der Aufsichts- und Durchsetzungsregeln – nicht. Kurz: DORA-Compliance schließt NIS2 in den abgedeckten Bereichen aus.
Das bedeutet jedoch nicht, dass NIS2 für Finanzinstitute vollständig irrelevant wäre: In Bereichen, die DORA nicht abdeckt, greifen die NIS2-Anforderungen ergänzend.
Rechtsform: Der strukturelle Unterschied
Ein oft unterschätzter Punkt:
DORA ist eine EU-Verordnung und gilt damit unmittelbar und einheitlich in allen Mitgliedstaaten. NIS2 hingegen ist eine Richtlinie, die von jedem Mitgliedstaat in nationales Recht umgesetzt werden muss – mit der Folge, dass es zu landesspezifischen Abweichungen kommen kann.
Das hat handfeste Konsequenzen für die Praxis – insbesondere in Deutschland:
Die Umsetzungsfrist für NIS2 lief am 18. Oktober 2024 ab. Deutschland hat das NIS2-Umsetzungsgesetz (NIS2UmsuCG) bislang nicht verabschiedet – das Vorhaben wurde durch die vorgezogene Bundestagswahl 2025 zusätzlich verzögert. Für betroffene Unternehmen bedeutet das eine Phase der Rechtsunsicherheit: Die EU-Vorgaben stehen fest, der nationale Rahmen aber noch nicht. Die Verabschiedung wird frühestens für H2 2026 erwartet.
Vergleich der Kernanforderungen
| Dimension | DORA | NIS2 |
|---|---|---|
| Rechtsform | EU-Verordnung – unmittelbar gültig | EU-Richtlinie – nationale Umsetzung erforderlich |
| Geltungsbereich | Finanzsektor: Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Krypto-Anbieter, kritische IKT-Provider | 18 Sektoren: Energie, Transport, Gesundheit, digitale Infrastruktur, Finanzsektor u.a. |
| Anwendbar seit | 17. Januar 2025 | 18. Oktober 2024 (Umsetzungsfrist); Deutschland: noch ausstehend |
| Incident Reporting | Erstmeldung binnen 4 Stunden nach Klassifizierung, Zwischenbericht 72h, Abschlussbericht 1 Monat | Erstmeldung binnen 24 Stunden, Folgebericht 72h, Abschlussbericht 1 Monat |
| Resilience Testing | Jährliche Basistests + TLPT alle 3 Jahre für systemrelevante Institute | Schwachstellenanalysen und Penetrationstests empfohlen – kein verpflichtender TLPT-Zyklus |
| Third-Party Risk | Register of Information, detaillierte Vertragsklauseln, Exit-Strategien, direkte Aufsicht kritischer IKT-Anbieter | Allgemeine Supply-Chain-Sicherheit, keine spezifischen Vertragsanforderungen |
| Sanktionen | Bis zu 2% des weltweiten Jahresumsatzes; persönliche Haftung bis 1 Mio. Euro | Bis zu 10 Mio. Euro oder 2% des Umsatzes; persönliche Haftung der Geschäftsleitung |
| Aufsicht | ESAs (EBA, EIOPA, ESMA) + nationale Behörden (BaFin) | Nationale Behörden (BSI in Deutschland), CSIRT, ENISA |
Die doppelte Compliance-Falle – und wie man ihr entgeht
Für Finanzinstitute, die sowohl unter DORA als auch unter NIS2 fallen, liegt die Herausforderung in der Verzahnung. Die gute Nachricht: Beide Regelwerke überlappen sich in wesentlichen Bereichen – Risikomanagement, Incident Reporting, Governance-Pflichten und Supply-Chain-Sicherheit. Wer DORA konsequent umsetzt, erfüllt damit einen Großteil der NIS2-Anforderungen automatisch.
Die schlechte Nachricht: „Ein Großteil" ist nicht „alles". NIS2 stellt eigenständige Anforderungen an Schulungspflichten, an die Zusammenarbeit mit nationalen CSIRTs und an Bereiche, die DORA nicht explizit adressiert. Zudem unterscheiden sich die Meldefristen erheblich: Während DORA eine Erstmeldung binnen vier Stunden verlangt, gewährt NIS2 ein Fenster von 24 Stunden. Für Institute, die beide Pflichten parallel bedienen müssen, bedeutet das: Wer die schärfere DORA-Frist einhält, erfüllt automatisch auch NIS2 – aber die Prozesse müssen entsprechend designt sein.
Konkret für das Incident Reporting: Wer automatisierte Monitoring-Tools etabliert, die IKT-Vorfälle erkennen, klassifizieren und die Meldekette auslösen, erfüllt mit der DORA-Frist automatisch auch die 24-Stunden-Frist der NIS2.
Strategischer Ansatz: Konsolidierung statt Doppelarbeit
Die klügste Strategie für Finanzinstitute ist die Konsolidierung. Statt zwei parallele Compliance-Stränge aufzubauen, empfiehlt sich ein integrierter Ansatz: ein gemeinsames Risikomanagement-Framework, das die strengeren DORA-Anforderungen als Baseline nimmt und NIS2-spezifische Anforderungen ergänzt. Incident-Reporting-Prozesse können mit Anpassungen an die unterschiedlichen Fristen konsolidiert werden. Governance-Strukturen lassen sich harmonisieren.
Praktisch bedeutet das: Ein integriertes Risikomanagement-Framework – etwa auf Basis von ISO 27001 oder dem NIST CSF – das die strengeren DORA-Anforderungen als Baseline nimmt und NIS2-spezifische Ergänzungen systematisch einbettet: Schulungspflichten (auch nach Art. 13 Abs. 6 DORA), CSIRT-Zusammenarbeit, sektorübergreifende Meldewege.
Dieser Ansatz spart nicht nur Ressourcen, sondern reduziert auch das Risiko widersprüchlicher Policies – ein Problem, das bei paralleler Implementierung schnell entsteht. Die Regulierungswelle 2026 umfasst neben DORA und NIS2 auch den AI Act und den Cyber Resilience Act. Institute, die jetzt ein skalierbares Compliance-Framework aufbauen, sind für kommende Regulierungen besser aufgestellt.
Kurz zusammengefasst: DORA und NIS2 sind keine Konkurrenten, sondern überlagernde Regelwerke mit klarer Hierarchie. DORA geht als lex specialis vor – was es nicht abdeckt, füllt NIS2 ergänzend. Der praktische Kniff liegt darin, die schärfere DORA-Messlatte als Baseline zu nehmen und NIS2-Spezifika (vor allem CSIRT-Kooperation und Schulungspflichten) systematisch oben draufzusetzen – statt zwei getrennte Compliance-Welten aufzubauen.
Quellen
- Artikel: DORA: Ein Jahr danach – Zwischen Anspruch und Wirklichkeit, Christian Schablitzki, März 2026
- Artikel: DORA: Wie die EU-Verordnung das Kapitalmarktgeschäft deutscher Banken neu ordnet, Christian Schablitzki, Februar 2026
- Regulierung: DORA – Verordnung (EU) 2022/2554
- Regulierung: NIS2 – Richtlinie (EU) 2022/2555