norppa.io
Leitfäden

NIS2-Leitfaden · 8 Min.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

NIS2 und DORA sind die beiden EU-Cybersicherheitsregime, die 2026 am ehesten auf demselben Schreibtisch landen — und sie werden regelmäßig verwechselt. Sie teilen ein Ziel (operative und Cyber-Resilienz) und viele gleiche Kontrollen, richten sich aber an unterschiedliche Organisationen, und für den Finanzsektor geht das eine dem anderen vor. Dieser Leitfaden erklärt den Unterschied, die Überschneidung und wie Sie erkennen, was für Sie gilt — mit einer klaren Antwort für Lieferketten- und Drittparteien-Teams, die Kunden unter beiden Regimen bedienen.

Was beide sind

Beide stammen aus demselben EU-Resilienzpaket von 2022, sind aber unterschiedliche Instrumente für unterschiedliche Adressaten.

NIS2 — breit, sektorübergreifend

Eine Richtlinie (in nationales Recht umgesetzt, Frist 17. Okt. 2024) für wesentliche und wichtige Einrichtungen in Energie, Verkehr, Gesundheit, Wasser, digitaler Infrastruktur, öffentlicher Verwaltung, Fertigung und mehr. Legt grundlegende Risikomanagementmaßnahmen (Art. 21) und Vorfallmeldungen (Art. 23) fest.

DORA — Finanzsektor, IKT-fokussiert

Eine Verordnung (unmittelbar anwendbar, gilt ab 17. Jan. 2025) für den EU-Finanzsektor — Banken, Versicherer, Wertpapierfirmen, Kryptowerte-Anbieter und mehr — plus Aufsicht über deren kritische IKT-Drittdienstleister. Legt detaillierte Regeln zu IKT-Risikomanagement, Resilienztests und Drittparteien fest.

Wo sie sich überschneiden

Wer das eine gut umgesetzt hat, dem wird vieles vom anderen vertraut vorkommen. Beide verlangen:

  • Verantwortlichkeit der Leitung — die Führung muss Cyber-/IKT-Risiko verantworten und beaufsichtigen und kann haftbar gemacht werden.
  • Risikomanagementmaßnahmen — dokumentierte, verhältnismäßige Kontrollen über den gesamten Sicherheitslebenszyklus.
  • Vorfallmeldung — strukturierte Benachrichtigung der Behörden zu definierten Fristen.
  • Drittparteien- und Lieferkettenrisiko — Sie sind für das Cyberrisiko Ihrer Anbieter verantwortlich.
  • Tests und kontinuierliche Verbesserung — Resilienz wird über die Zeit bewertet, nicht einmalig zertifiziert.

Die zentrale Regel: DORA ist Lex specialis für Finanzunternehmen

Die beiden Regime sind so angelegt, dass keine Doppelregulierung entsteht. Für Finanzunternehmen ist DORA Lex specialis — das speziellere Recht, das Vorrang hat. Wo DORA und NIS2 beim selben IKT-Risikomanagement oder bei der Vorfallmeldung eines Finanzunternehmens zusammentreffen würden, gelten die Anforderungen von DORA, und die entsprechenden NIS2-Bestimmungen kommen nicht zusätzlich obendrauf.

In der Praxis führt eine Bank keine zwei parallelen Cyberprogramme. Sie folgt DORA bei IKT-Risiko, Tests, Vorfallmeldung und Drittparteienaufsicht. NIS2 bleibt für das umgebende Ökosystem relevant — einschließlich vieler ihrer Lieferanten — aber das Finanzunternehmen selbst wird bei den überschneidenden Themen von DORA geregelt.

Lex specialis greift, wenn der sektorspezifische Rechtsakt mindestens gleichwertige Anforderungen wie NIS2 stellt. Die Grenze kann bei gemischten Gruppen nuanciert sein; bestätigen Sie Ihren Status bei Ihrer zuständigen Behörde.

Was gilt für Sie?

Eine schnelle Entscheidungshilfe. Die ehrliche Antwort lautet für viele Organisationen 'das eine direkt, das andere über Ihre Kunden'.

Ein Finanzunternehmen (Bank, Versicherer, Wertpapierfirma, Kryptowerte-Anbieter…)

DORA gilt als Lex specialis für Ihr IKT-Risiko; die entsprechenden NIS2-Bestimmungen kommen nicht obendrauf.

Eine kritische Einrichtung außerhalb des Finanzwesens (Energie, Gesundheit, Verkehr, Wasser, digitale Infrastruktur, öffentliche Verwaltung…)

NIS2 gilt. Prüfen Sie die Sektoren aus Anhang I/II und die Größenschwellen, um Ihre Stufe zu bestätigen.

Ein IKT-Anbieter für Finanzunternehmen

Sie unterliegen dem Drittparteienregime von DORA über die Verträge Ihrer Kunden; die größten Anbieter können als kritisch benannt und direkt von den ESAs beaufsichtigt werden. Sind Sie zugleich ein IKT-/Managed-Service-Anbieter nach Anhang I, können Sie auch unter NIS2 fallen.

Ein Lieferant einer NIS2-Einrichtung

Die Lieferkettenpflicht von NIS2 (Art. 21 Abs. 2 Buchst. d) erreicht Sie über die Due Diligence Ihrer Kunden — Fragebögen, Nachweisanfragen und kontinuierliches Monitoring — auch ohne direkte Benennung.

Das Fazit für Lieferketten-Teams

Ob Ihr Kunde DORA oder NIS2 unterliegt, die Anforderung an Sie konvergiert: Beide Regime machen Organisationen für das Cyberrisiko ihrer Anbieter verantwortlich, und beide behandeln Resilienz als etwas, das laufend bewertet und nicht einmal jährlich attestiert wird. Für einen Lieferanten lautet die Frage daher selten 'NIS2 oder DORA?' — sondern 'kann ich auf Anfrage nachweisen, dass meine Sicherheit standhält?'

Deshalb wird die Drittparteien-Absicherung auf beiden Seiten der Linie kontinuierlich. Das DORA-Drittparteienregister einer Bank und das NIS2-Lieferantenprogramm eines Herstellers verlangen von Lieferanten dasselbe: aktuellen, nachweisgestützten Beleg des Sicherheitsniveaus, keine veraltete Tabelle.

Quellen: Verordnung (EU) 2022/2554 (DORA) sowie Richtlinie (EU) 2022/2555 (NIS2). Bestätigen Sie die Abgrenzung mit Ihrer zuständigen nationalen Behörde und den einschlägigen ESA-Leitlinien.

Wie norppa.io hilft

norppa.io liefert kontinuierliche, nachweisgestützte Absicherung Ihrer Lieferanten und IKT-Anbieter — genau das, was NIS2 und DORA inzwischen erwarten. Jede überwachte Domain wird täglich an 100+ Kontrollpunkten geprüft, kritische Ereignisse alle sechs Stunden, und die Befunde lassen sich in Ihr DORA-Informationsregister oder Ihre NIS2-Lieferantenakte exportieren.

Selbstauskunftsfragebögen (SAQ) erfassen Prozess- und Vertragskontrollen, und jede Antwort wird mit dem aktuellen technischen Profil abgeglichen — egal also, ob der Prüfer Ihres Kunden DORA oder NIS2 zitiert, Sie können aktuelle, bestätigte Nachweise statt Behauptungen vorlegen.

Eine Quelle für kontinuierliche Drittparteien-Nachweise

Sehen Sie einen Beispiel-Lieferantenbericht — Befunde, Artikelzuordnung und Nachweise — in zwei Minuten.

Beispielbericht ansehen

Verwandte Leitfäden

NIS2 und die Lieferkettenpflicht — was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

NIS2 Art. 21(2) — Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.