Mit der NIS-2-Richtlinie und dem Digital Operational Resilience Act (DORA) treten innerhalb von kurzer Zeit gleich zwei EU-Rechtvorschriften in Kraft, deren Ziel es ist, die Cyber-Sicherheit von Unternehmen aus bestimmten Branchen zu stärken. Aber worin bestehen die Unterschiede zwischen NIS 2 und DORA? Wir geben die Antwort, indem wir die jeweiligen Bestimmungen kurz erläutern und einander gegenüberstellen.
NIS 2 ist eine EU-Richtlinie für Cyber-Sicherheit und verfolgt das Ziel, Unternehmen der kritischen Infrastrukturen (KRITIS) besser vor Cyber Bedrohungen zu schützen. Unter dem Begriff „Kritische Infrastrukturen“ werden Organisationen zusammengefasst, die für das reibungslose Funktionieren von Wirtschaft und Gesellschaft unerlässlich sind. Dazu gehören beispielsweise die Energie- und Wasserversorgung, das Verkehrswesen sowie medizinische Einrichtungen.
Insgesamt betrifft die NIS-2-Richtlinie 18 Sektoren, die in wesentliche („essential“) und wichtige („important“) Sektoren unterteilt werden. Damit geht NIS 2 deutlich über den Geltungsbereich des IT-Sicherheitsgesetzes 2.0 hinaus, das bisher für kritische Infrastrukturen maßgeblich war. Experten sprechen von etwa 40.000 zusätzlichen betroffenen Unternehmen in Deutschland. Eine besondere Herausforderung ist die Selbstidentifizierung: Ob ein Unternehmen unter NIS 2 fällt, muss es eigenständig ermitteln. Eine erste unverbindliche Orientierung liefert die NIS-2-Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Inhaltlich aktualisiert NIS 2 die 2016 eingeführten Vorschriften der NIS-Richtlinie und definiert Mindeststandards für die Cyber-Sicherheit von kritischen Infrastrukturen, unter anderem die Erarbeitung von Konzepten für das Risikomanagement, die Einführung von Notfallplänen, die unverzügliche Meldung von Sicherheitsvorfällen und die Etablierung von Schutzkonzepten für die Absicherung der Lieferketten.
Laut ursprünglichem Zeitplan hatten die EU-Mitgliedsstaaten bis zum 18. Oktober 2024 Zeit, um die europäischen NIS-2-Bestimmungen in nationales Recht zu überführen. Deutschland kann diesen Termin jedoch nicht halten. Zwar liegt einen Gesetzesentwurf der Bundesregierung vor (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), der Gesetzgebungsprozess ist jedoch in Verzug. Daher ist nach aktuellem Stand nicht vor März 2025 mit einem Inkrafttreten von NIS 2 in Deutschland zu rechnen. Dabei ist jedoch zu beachten, dass keine Übergangsfristen vorgesehen sind. Deshalb sollten Unternehmen unverzüglich mit der Prüfung der Anwendbarkeit der NIS-2-Richtlinie auf ihr eigenes Geschäft und – sofern erforderlich – mit der Umsetzung der Anforderungen gemäß dem neuen Gesetz beginnen.
Mit DORA schließt die Europäische Union (EU) bestehende regulatorische Lücken für den europäischen Finanzsektor. Das Ziel ist es, Finanzunternehmen in die Lage zu versetzen, einem Cyber-Angriff standzuhalten und den operativen Betrieb auch im Falle einer solchen Attacke fortzuführen. Für die Verfügbarkeit und Integrität von Finanzdienstleistungen spielt die Informations- und Kommunikationstechnologie (IKT) eine entscheidende Rolle. Daher führt DORA bestehende Anforderungen an Finanzunternehmen unter einem Dach zusammen und konsolidiert geltende Bestimmungen aus verschiedenen Regelwerken.
Die DORA-Verordnung regelt den Umgang mit IKT-bezogenen Vorfällen und soll die Betriebsstabilität digitaler Systeme im Finanzsektor verbessern. Dazu gehört beispielsweise die Definition von Anforderungen für das Business Continuity Management, das Threat-Led Penetration Testing und das Third Party Risk Management. Am 17. Januar 2025 tritt DORA für alle EU-Mitgliedsstaaten verbindlich in Kraft.
Eine EU-Richtlinie wie NIS 2 ist nicht unmittelbar nach ihrer Verabschiedung gültig, sondern gibt bestimmte Regelungen vor, welche die EU-Mitgliedsstaaten in nationales Recht überführen müssen. Dafür bekommen sie üblicherweise einen Zeitraum von zwei Jahren gewährt. Im Gegensatz dazu besitzt eine EU-Verordnung wie DORA ab einem festgelegten Zeitpunkt für sämtliche Mitgliedsstaaten Gültigkeit. Das bedeutet, dass die Bestimmungen von DORA ab ihrem Inkrafttreten verbindlich sind und in ihrer Gesamtheit durchgesetzt werden müssen.
Was aber passiert, wenn ein Unternehmen aus dem Finanzsektor gleichermaßen in den Geltungsbereich von NIS 2 und DORA fällt? In diesem Fall hat DORA Vorrang, da es sich um ein sogenanntes „lex specialis“ (spezielles Gesetz) für den Finanzbereich handelt, während NIS 2 als allgemeines Gesetz betrachtet wird.
Angesichts der enormen Gefahr, die sich für Unternehmen in Zeiten der fortschreitenden Digitalisierung aus der permanent wachsenden Zahl von Cyber-Angriffen ergibt, hat die EU die gesetzlichen Bestimmungen in diesem Bereich deutlich verschärft. Sowohl NIS 2 als auch DORA haben das Ziel, das Sicherheitsniveau für bestimmte Branchen in gesamteuropäischer Perspektive zu verbessern. NIS 2 nimmt die kritischen Infrastrukturen in den Blick, erweitert den Geltungsbereich auf viele Unternehmen, die vorher nicht betroffen waren, und soll KRITIS-Unternehmen befähigen, sich wirksamer als bisher vor Cyber-Angriffen zu schützen sowie eine permanente Verfügbarkeit zu gewährleisten.
Der Fokus von DORA liegt hingegen ausschließlich auf der Finanzbranche und schafft eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz. Mit dem Inkrafttreten am 17. Januar 2025 wird DORA wesentlich dazu beitragen, den europäischen Finanzmarkt gegenüber Cyber-Risiken und IKT-Sicherheitsvorfällen nachhaltig zu stärken – sofern die betroffenen Unternehmen die geforderten Maßnahmen rechtzeitig umsetzen.