NIS2 vs. DORA: Unterschiede und verbreitete Missverständnisse
Vasiliki Paschou ist zugelassene Rechtsanwältin und spezialisiert auf internationales Datenschutzrecht. In Ihrem Gastbeitrag zeigt sie die wichtigsten Unterschiede zwischen NIS2 und DORA und klärt verbreite Missverständnisse auf.
Die Europäische Union hat in kurzer Zeit zwei Rechtsakte verabschiedet, die die digitale Resilienz und Cybersicherheit stärken sollen: DORA (Digital Operational Resilience Act) und die NIS2-Richtlinie (Network and Information Security Directive). Beide Regelwerke verfolgen das Ziel, die Informationssicherheit in Unternehmen maßgeblich zu verbessern.
Dennoch herrscht in vielen Unternehmen Unsicherheit über die Abgrenzung der beiden Vorschriften. Oft bleibt unklar, welche Regelung für welche Unternehmensarten gilt und welche spezifischen Maßnahmen daraus abzuleiten sind. Diese Unklarheiten führen nicht selten zu Defiziten in der Umsetzung der geforderten Sicherheitsstandards.
In diesem Artikel beleuchten wir die wesentlichen Unterschiede zwischen DORA und NIS2 und klären häufige Missverständnisse, um Unternehmen bei der Einhaltung dieser Regelwerke zu unterstützen.
- Hauptunterschiede zwischen DORA und NIS2
- Häufige Irrtümer zu DORA und NIS2
- Irrtum Nummer 1: „NIS2 betrifft nur den IT-Sektor“
- Irrtum Nummer 2: „Wenn man sowohl von NIS2 als auch von DORA betroffen ist, reicht es aus, nur DORA zu berücksichtigen“
- Irrtum Nummer 3: „Wenn man nur von NIS2 betroffen ist, braucht man DORA nicht zu berücksichtigen“
- Irrtum Nummer 4: „Finanzinstitute müssen nur DORA einhalten“
- Irrtum Nummer 5: „DORA und NIS2 sind unabhängig voneinander zu betrachten“
- Fazit
- Zur Autorin
Hauptunterschiede zwischen DORA und NIS2
DORA und NIS2 sind zwei zentrale Regelwerke der Europäischen Union, die darauf abzielen, die Cybersicherheit und digitale Resilienz zu stärken. Trotz ihrer ähnlichen Zielsetzung weisen sie jedoch Unterschiede auf.
Art der Rechtsvorschrift
NIS2 und DORA unterscheiden sich zunächst grundlegend dadurch, dass sie zwei verschiedene Rechtsinstrumente der Europäischen Union darstellen.
NIS2
Bei NIS2 handelt es sich um eine Richtlinie. Eine Richtlinie ist ein Rechtsakt, in dem ein von den EU-Ländern zu erreichendes Ziel festgelegt wird. Es ist jedoch Sache der einzelnen Länder, eigene Rechtsvorschriften zur Verwirklichung dieses Zieles zu erlassen. Das bedeutet, dass jeder Mitgliedstaat die notwendigen Maßnahmen zur Erreichung der Ziele der Richtlinie in nationales Recht einbetten muss, unter Berücksichtigung der eigenen rechtlichen und operativen Rahmenbedingungen.
Die NIS2-Richtlinie hat also keine direkte Anwendung auf die betroffenen Unternehmen, sondern muss erst in nationales Recht übertragen werden. In Deutschland erfolgt dies beispielsweise durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG).
DORA
DORA hingegen ist eine Verordnung (so wie auch die DSGVO). Verordnungen sind unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union und bedürfen keiner nationalen Umsetzung. Sie entfalten sofortige rechtliche Wirkung und gelten ab dem Zeitpunkt ihres Inkrafttretens direkt in allen Mitgliedstaaten. Zudem haben sie Vorrang vor nationalem Recht.
Die unmittelbare Geltung von DORA stellt sicher, dass Unternehmen keine Übergangsfristen aufgrund nationaler Gesetzgebungsverfahren abwarten, sondern sofort rechtskonform handeln müssen, sobald die Verordnung in Kraft getreten ist.
Umsetzungstermine
Die Art der Rechtsvorschrift von DORA und NIS2 führt zu unterschiedlichen Zeitrahmen für die Umsetzung ihrer Anforderungen. Beide Regelwerke wurden im November 2022 verabschiedet, doch die Fristen für die Anwendbarkeit variieren.
NIS2
Die EU-Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, die NIS2-Richtlinie in nationales Recht zu überführen. Wie die Mehrheit der EU-Mitgliedstaaten, konnte auch Deutschland diese Frist allerdings nicht einhalten. Das nationale Umsetzungsgesetz wird hierzulande demnach frühestens im März 2025 erwartet. Ab diesem Zeitpunkt werden die Anforderungen aus der NIS2-Richtlinie unmittelbar für die betroffene Unternehmen gelten.
Es gibt darüber hinaus keine zusätzlichen Übergangsfristen für die Unternehmen. Sobald das nationale Gesetz in Kraft ist, müssen die Regelungen eingehalten werden.
DORA
Während NIS2 durch die Abhängigkeit von der nationalen Gesetzgebung in Deutschland voraussichtlich erst ab März 2025 verbindlich wird, schafft DORA durch seinen festen Stichtag von 17. Januar 2025 klare Rahmenbedingungen. Für betroffene Unternehmen bedeutet dies, dass die Vorgaben bis zu diesem Datum vollständig erfüllt sein müssen.
Betroffene Sektoren
Ein weiterer Unterschied liegt im Anwendungsbereich, der die spezifischen Schwerpunkte der NIS2-Richtlinie und der DORA-Verordnung deutlich voneinander abgrenzt.
NIS2
Der Anwendungsbereich der NIS2-Richtlinie wird im nationalen Umsetzungsgesetz in § 28, Teil 3, Kapitel 1 geregelt. Es wird zwischen besonders wichtigen und wichtigen Einrichtungen unterschieden. Der Anwendungsbereich umfasst 18 Sektoren, darunter:
- Energie
- Transport
- Gesundheitswesen
- Wasserversorgung und
- digitale Infrastrukturen
Diese Regelung zielt darauf ab, Unternehmen und Organisationen in kritischen Sektoren abzusichern, die für die Gesellschaft und Wirtschaft von zentraler Bedeutung sind. Die betroffenen Bereiche werden detailliert in den Anlagen 1 und 2 des Umsetzungsgesetzes aufgelistet.
DORA
Im Gegensatz dazu ist die DORA-Verordnung wesentlich enger gefasst und konzentriert sich ausschließlich auf den Finanzsektor. Der Anwendungsbereich von DORA wird in Artikel 2 Absatz 1 definiert und umfasst:
- Kreditinstitute
- Versicherungen
- Wertpapierfirmen
- Zahlungsdienstleister und weitere Einrichtungen, wie z. B.:
- Anbieter von Krypto-Dienstleistungen (gemäß MiCAR)
- Ratingagenturen
- Schwarmfinanzierungsdienstleister
- IKT-Dienstleister, die als kritische Drittparteien für Finanzunternehmen tätig sind
Sanktionen bei Verstößen
Die Nichteinhaltung der NIS2-Richtlinie und der DORA-Verordnung kann erhebliche Sanktionen nach sich ziehen. Die Sanktionsmechanismen beider Regelungen verfolgen jedoch unterschiedliche Ansätze.
NIS2
Die Bußgelder für Verstöße gegen die Anforderungen sind im § 65 des NIS2-Umsetzungsgesetzes geregelt. Sie variieren je nach Schwere des Verstoßes und der Art des betroffenen Unternehmens:
Für besonders wichtige Einrichtungen (§ 28 Absatz 1):
- Geldbuße bis zu 10 Millionen Euro.
- Bei einem Jahresumsatz von mehr als 500 Millionen Euro kann die Geldbuße bis zu 2 % des Jahresumsatzes betragen.
Für wichtige Einrichtungen (§ 28 Absatz 2):
- Geldbuße bis zu 7 Millionen Euro.
- Bei einem Jahresumsatz von mehr als 500 Millionen Euro kann die Geldbuße bis zu 1,4 % des Jahresumsatzes betragen.
Die Höhe der Geldbuße richtet sich nach der Schwere und Art des Verstoßes. Schwerwiegende Verstöße, wie das Versäumnis, Sicherheitsvorfälle zu melden oder kritische Maßnahmen zur Cybersicherheit zu implementieren, führen zu den höchsten Strafen.
DORA
Die DORA-Verordnung sieht dagegen keine festen Bußgeldbeträge für allgemeine Verstöße vor, wie sie im NIS2-Umsetzungsgesetz definiert sind. Allerdings enthält DORA spezifische Sanktionsregelungen für IKT-Drittanbieter, die als kritische IT-Dienstleister tätig sind. Diese Regelungen erlauben es Aufsichtsbehörden, bei Nichteinhaltung Strafen zu verhängen:
- Geldbußen von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr.
- Tägliche Strafen können für einen Zeitraum von bis zu sechs Monaten verhängt werden, bis die Vorschriften eingehalten werden.
Ein zentraler gemeinsamer Aspekt der Sanktionen beider Regelwerke ist jedoch die persönliche Haftung des Managements. Sowohl NIS2 als auch DORA sehen vor, dass Führungskräfte für grobe Fahrlässigkeit oder vorsätzliche Verstöße persönlich haftbar gemacht werden können. Dies unterstreicht die Verpflichtung des Managements, sicherzustellen, dass Cybersicherheitsanforderungen ordnungsgemäß umgesetzt werden.
Häufige Irrtümer zu DORA und NIS2
Im Zuge der Implementierung von DORA und NIS2 treten immer wieder verschiedene Missverständnisse auf, die zu Unsicherheiten und Fehlinterpretationen führen können. Die folgenden Klarstellungen zielen darauf ab, Unternehmer und Compliance-Verantwortliche bei der korrekten Einhaltung der Vorschriften zu unterstützen.
Irrtum Nummer 1: „NIS2 betrifft nur den IT-Sektor“
NIS2 richtet sich an eine Vielzahl von Sektoren, die als kritisch für die Gesellschaft und Wirtschaft angesehen werden. Dazu gehören nicht nur der IT-Sektor, sondern auch Energie, Transport, Gesundheitswesen, Wasserversorgung und digitale Dienste. Unternehmen in diesen Sektoren müssen daher die umfassenden Sicherheitsanforderungen von NIS2 erfüllen, unabhängig davon, ob sie direkt im IT-Sektor tätig sind oder nicht.
Irrtum Nummer 2: „Wenn man sowohl von NIS2 als auch von DORA betroffen ist, reicht es aus, nur DORA zu berücksichtigen“
Dies stimmt nur bedingt. DORA bietet spezifische und detaillierte Regelungen für den Finanzsektor und hat in diesem Bereich als Lex specialis Vorrang vor NIS2, welches ein allgemeines Gesetz darstellt. Dies ist auch im Text von DORA verankert:
“This Regulation constitutes lex specialis with regard to Directive (EU) 2022/2555. At the same time, it is crucial to maintain a strong relationship between the financial sector and the Union horizontal cybersecurity framework as currently laid out in Directive (EU) 2022/2555.”
Es ist demnach ein weit verbreitetes Missverständnis, dass Unternehmen, die sowohl von DORA als auch von NIS2 betroffen sind, nur die Anforderungen von DORA erfüllen müssen.
Obwohl DORA spezifische Anforderungen für den Finanzsektor festlegt, dürfen die allgemeinen Anforderungen von NIS2 nicht ignoriert werden. In Bereichen, die durch DORA nicht vollständig abgedeckt sind, ist es erforderlich, weiterhin die Bestimmungen von NIS2 zu beachten. Beispielsweise verlangt NIS2 eine sektorübergreifende Zusammenarbeit und den Informationsaustausch, die für alle kritischen Infrastrukturen, einschließlich Finanzinstitute, gelten. Diese allgemeinen Anforderungen bleiben relevant und müssen zusätzlich zu den spezifischen Vorgaben von DORA erfüllt werden.
Unternehmen müssen daher sicherstellen, dass sie sowohl den speziellen Anforderungen von DORA als auch den allgemeinen Anforderungen von NIS2 nachkommen, um eine vollständige Compliance zu gewährleisten.
Irrtum Nummer 3: „Wenn man nur von NIS2 betroffen ist, braucht man DORA nicht zu berücksichtigen“
Es stimmt, dass Unternehmen, die ausschließlich unter den Anwendungsbereich von NIS2 fallen, nicht verpflichtet sind, die Anforderungen von DORA zu erfüllen, da DORA speziell für die Finanzindustrie konzipiert wurde. Allerdings kann es dennoch sinnvoll sein, die detaillierten und spezifischen Anforderungen von DORA als Orientierungshilfe heranzuziehen.
Die DORA-Verordnung definiert viele Sicherheits- und Resilienzanforderungen deutlich präziser als die NIS2-Richtlinie. Unternehmen können von diesen detaillierten Vorgaben profitieren, indem sie diese nutzen, um ihre eigenen Sicherheitsmaßnahmen zu evaluieren und zu verbessern. Dies kann besonders nützlich sein, wenn es darum geht, Bereiche zu identifizieren, in denen bislang keine oder nur unzureichende Maßnahmen ergriffen wurden, um den Anforderungen von NIS2 gerecht zu werden.
Irrtum Nummer 4: „Finanzinstitute müssen nur DORA einhalten“
Finanzinstitute können sowohl unter DORA als auch unter NIS2 fallen. Während DORA spezifische Anforderungen an die digitale Betriebsresilienz von Finanzinstituten stellt, adressiert NIS2 allgemeine Sicherheitsanforderungen für kritische Infrastrukturen. Finanzinstitute, die als kritische Infrastrukturen eingestuft werden, müssen daher sowohl die spezifischen Vorschriften von DORA als auch die allgemeinen Sicherheitsanforderungen von NIS2 einhalten. Dies erfordert eine umfassende Compliance-Strategie, die beide Regelwerke integriert.
Irrtum Nummer 5: „DORA und NIS2 sind unabhängig voneinander zu betrachten“
Trotz unterschiedlicher Schwerpunkte können sich die Anforderungen von DORA und NIS2 überschneiden, insbesondere für Finanzinstitute, die auch als kritische Infrastrukturen gelten. Es ist daher unerlässlich, dass Unternehmen eine integrierte Compliance-Strategie entwickeln, die beide Regelwerke berücksichtigt. Dies beinhaltet die Implementierung von Sicherheitsmaßnahmen, die sowohl den spezifischen Anforderungen von DORA als auch den allgemeinen Sicherheitsstandards von NIS2 entsprechen.
Fazit
Sowohl die DORA-Verordnung als auch die NIS2-Richtlinie verfolgen das gleiche übergeordnete Ziel: die Erhöhung der Cybersicherheit und digitalen Resilienz innerhalb der EU. Trotz dieser gemeinsamen Zielsetzung gibt es wesentliche Unterschiede in ihrem Ansatz, ihrer Anwendung und Durchsetzung.
Aufgrund dieser Unterschiede ist es essenziell, dass Unternehmen sich mit beiden Regelungen vertraut machen, um Missverständnisse zu vermeiden und sicherzustellen, dass sämtliche Anforderungen erfüllt werden. Hierzu gehört die Einführung geeigneter technischer und organisatorischer Maßnahmen, einschließlich sicherer Prozesse für den Umgang mit sensiblen Informationen und der Einhaltung von Anforderungen wie sicherer Datenübertragung und Datenintegrität. Tools wie idgard können Unternehmen dabei unterstützen, diese Vorgaben umzusetzen, indem sie datenschutzkonforme Datenräume bereitstellen, die Verschlüsselung, Zugriffskontrollen und die sichere Speicherung sensibler Daten gewährleisten – zentrale Anforderungen, die in beiden Regelwerken verankert sind.
Zur Autorin
Vasiliki Paschou ist zugelassene Rechtsanwältin (Dikigoros) in Athen und Mitglied der Rechtsanwaltskammer München. Sie ist spezialisiert auf internationales Datenschutzrecht und berät nationale und internationale Mandanten vornehmlich in den Bereichen E-Commerce und Marketing.
Mehr Infos: Compliance mit dem Digital Operational Resilience Act | activeMind.legal