NIS2 vs. DORA: Der ultimative Guide zu den neuen EU-Cyber-Sicherheitsregeln 2026

Die NIS2-Richtlinie (Sicherung von Netz- und Informationssystemen) ist die Antwort der EU auf die gestiegene Bedrohungslage durch staatliche Akteure und Cyberkriminelle. Sie erweitert den Kreis der betroffenen Unternehmen massiv.

Die zwei Kategorien der NIS2:

• Wesentliche Einrichtungen: Große Unternehmen in Sektoren mit hoher Kritikalität (Energie, Transport, Bankwesen, Gesundheit).
• Wichtige Einrichtungen: Anbieter in Sektoren wie Abfallbewirtschaftung, Lebensmittelproduktion oder chemische Industrie.

KMU sind oft indirekt betroffen: Wenn ein kleiner Zulieferer für einen Energiekonzern arbeitet, wird dieser vertraglich gezwungen, NIS2-Standards einzuhalten, um die Lieferkette abzusichern.

Der Digital Operational Resilience Act (DORA) ist eine Verordnung – sie gilt also unmittelbar und ohne nationale Umwege. DORA geht davon aus, dass ein IT-Ausfall im Finanzsystem eine Kettenreaktion auslösen kann, die die gesamte EU-Wirtschaft bedroht.

Die fünf Säulen von DORA:

1. IKT-Risikomanagement: Ein robuster Rahmen für die Identifizierung und Eindämmung von Risiken.
2. Meldung von IKT-Vorfällen: Klassifizierung und Meldung schwerwiegender Vorfälle.
3. Tests der digitalen Betriebsstabilität: Regelmäßige Penetrationstests (TLPT).
4. Drittparteienrisiko: Überwachung von Cloud-Anbietern und Software-Häusern.
5. Informationsaustausch: Förderung der Zusammenarbeit zwischen Finanzinstituten.

Dies ist die wichtigste Frage für den Compliance-Officer. Es gilt das Prinzip "Lex specialis derogat legi generali".
Da DORA spezifischer auf den Finanzsektor zugeschnitten ist, haben dessen Regeln Vorrang vor NIS2. Finanzinstitute müssen also primär DORA erfüllen. Doch Vorsicht: In Bereichen, die DORA nicht explizit abdeckt (z. B. bestimmte physische Sicherheitsaspekte der Infrastruktur), kann NIS2 weiterhin ergänzend wirken.

Hier zeigen sich die gravierendsten Unterschiede in der operativen Umsetzung.

Für KMU bedeutet die 4-Stunden-Frist von DORA, dass manuelle Prozesse nicht mehr ausreichen. Automatisierte Monitoring-Tools sind hier zwingend erforderlich.
 

Sowohl NIS2 als auch DORA machen Ernst beim Thema Verantwortung. Die Zeiten, in denen Cybersicherheit in die IT-Abteilung "abgeschoben" wurde, sind vorbei.

• Management-Haftung: Die Geschäftsführung muss Cyber-Sicherheitsmaßnahmen billigen und deren Umsetzung überwachen. Sie kann bei Versäumnissen persönlich haftbar gemacht werden.
• Bußgelder: Bei NIS2 bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes. DORA sieht ähnliche Dimensionen vor, ergänzt durch tägliche Zwangsgelder für kritische Drittanbieter.

Um nicht in der Komplexität zu versinken, sollten KMU folgenden Pfad wählen:

• Scope-Analyse: Bin ich "Wesentliche Einrichtung" (NIS2) oder ein "IKT-Drittanbieter" (DORA)?
• Gap-Analyse: Abgleich des Ist-Zustands mit den ISO 27001 oder NIST-Standards (gute Basis für beide).
• Incident Response Plan: Erstellung von Playbooks, die die extrem kurzen Fristen von DORA abbilden.
• Supply Chain Audit: Überprüfung der eigenen Unterauftragnehmer – denn deren Sicherheit ist nun deine Sicherheit.

NIS2 und DORA sind keine bloßen bürokratischen Hürden. Sie zwingen Unternehmen dazu, eine digitale Widerstandsfähigkeit aufzubauen, die im Zeitalter von KI-gesteuerten Cyberangriffen überlebensnotwendig ist. Wer die Anforderungen frühzeitig integriert, schützt nicht nur sein Unternehmen vor Bußgeldern, sondern sichert sich das Vertrauen seiner Kunden und Partner.

Gilt DORA auch für kleine Versicherungsvermittler?

Ja, DORA ist sehr breit gefasst, sieht aber Proportionalitätsregeln für Kleinstunternehmen vor.

Muss ich für NIS2 eine ISMS einführen?

De facto ja. Auch wenn das Gesetz kein spezifisches System vorschreibt, ist ein Information Security Management System (ISMS) nach ISO 27001 der sicherste Weg zur Compliance.

Können Behörden mein Geschäft bei DORA-Verstößen schließen?

DORA ermöglicht es Aufsichtsbehörden, weitreichende Sanktionen zu verhängen, bis hin zum Entzug von Lizenzen oder dem Verbot bestimmter Dienstleistungen.