DORA vs. NIS2: Abgrenzung – Wo liegt die Grenze? Deine Orientierung im Regulierungsdschungel

Die Digitalisierung und Vernetzung im Finanzsektor schreiten rasant voran, Risiken nehmen zu – regulatorische Vorgaben aus Brüssel und Berlin folgen auf dem Fuß. Zwei der wichtigsten Regelwerke sind DORA (Digital Operational Resilience Act) und NIS2 (Network & Information Security Directive 2). Viele stellen sich die Frage: Wo überschneiden sich die Pflichten, wo gibt es klare Grenzen? Welche Vorgaben gelten für dich als Finanzunternehmen, IT-Dienstleister, Anbieter kritischer Infrastruktur oder Zulieferer?

Hier bekommst du eine aktuelle, praxisnahe Übersicht – mit rechtlichen Hintergründen, Mapping der Anforderungen, offiziellen Quellen von BaFin, EBA und ESMA sowie Empfehlungen.

DORA vs. NIS2 – Abgrenzung
Zurück zum DORA & NIS2 Hub

Die Basis – Was regeln DORA und NIS2?

DORA ist die EU-Verordnung für die digitale Resilienz der Finanzbranche: Banken, Versicherungen, Asset Manager, Krypto-Plattformen und eine ganze Reihe weiterer regulierter Finanzdienstleister müssen ab Januar 2025 DORA umsetzen. Ziel ist, IT-Ausfälle, Cyberangriffe und digitale Risiken besser im Griff zu haben. DORA ist direkt in jedem EU-Staat gültig, es gibt keinen Spielraum für nationale Abweichungen.

NIS2 ist die „Generalnorm“ für Cybersicherheit kritischer Infrastrukturen in Europa: Energie, Gesundheit, Transport, Wasser, digitale Dienste – und auch das Finanz- und Versicherungswesen. NIS2 wird durch nationale Gesetzgebung in jedem EU-Staat konkret umgesetzt. Die deutschen Regelungen treten voraussichtlich ab Herbst 2024/2025 in Kraft.

Wichtiger Punkt: Wenn du als Finanzunternehmen DORA-unterliegst, bist du weitgehend von NIS2 ausgenommen – das nennt die EU „lex specialis“. Aber Achtung: IT-Dienstleister, insbesondere wenn sie kritische Funktionen bereitstellen, können doppelt reguliert werden durch DORA und NIS2!

Mapping: Wo bist du von beiden Regelungen betroffen?

1. Finanzunternehmen: Eindeutige Grenze

  • Wenn du ein reguliertes Finanzunternehmen nach DORA bist (z. B. Bank, Versicherung, Wertpapierfirma, Krypto-Anbieter), ist DORA die vorrangige Regelung. NIS2-Pflichten entfallen – bis auf die Melde-/Registrierungspflichten beim BSI.

  • Die nationale Bankaufsicht (BaFin, Bundesbank), die EZB, EBA und ESMA sind deine zentralen Ansprechpartner für DORA, nicht für NIS2.

  • Die BaFin betreibt Beispielplattformen für die Meldung und Registrierung sowie die Kontrolle der Umsetzung von DORA (MVP-Fachverfahren).

Merke: DORA ist für alle Banken, Versicherer, Wertpapierfirmen, Kryptoanbieter, Zahlungsinstitute, E-Geld-Institute u.v.m. Pflicht und regelt alle Aspekte von IT-Risiko, IKT-Vorfällen, Resilienztests, Drittparteienmanagement und Meldewesen.

2. IT-Dienstleister: Überschneidungen und Doppelregulierung

  • Bist du ein IT-Dienstleister, der kritische Systeme und Services für Finanzunternehmen bereitstellt (Cloud, Rechenzentrum, Managed Services)? Dann bist du sowohl von DORA als auch von NIS2 betroffen – und zwar mit jeweils eigenen, teils deckungsgleichen, teils unterschiedlichen Pflichten.

  • DORA reguliert alle Drittanbieter, die kritische und wichtige Funktionen für Finanzunternehmen bereitstellen – als „IKT-Drittdienstleister“. Die ESMA und EBA führen für DORA eine EU-weite Überwachung dieser Anbieter ein.

  • NIS2 stuft alle IT-Unternehmen in den Sektoren „Digitale Infrastruktur“ und „IT-Dienstleister“ als kritische Einrichtungen ein und macht sie zum Ziel nationaler Aufsicht (in Deutschland: BSI, BNetzA).

Wichtig: Du musst beide Regelwerke parallel erfüllen – es gibt keine „Vorrangregelung“ für IT-Dienstleister, sondern echte Doppelregulierung mit Risiko von Mehrfachprüfungen und Berichtspflichten an BaFin, EU-Behörden UND nationale Cyberaufsicht.

Gemeinsamkeiten (Deckungsgleichheit)

Viele Anforderungen von DORA und NIS2 ähneln sich oder sind in sachlicher und methodischer Hinsicht deckungsgleich. Das betrifft zum Beispiel:

Risikomanagement und Governance

  • Du brauchst ein wirksames IKT-Risikomanagement, regelmäßig geprüft, dokumentiert und vom Management getragen. Regeln für Prüfverfahren, Prozesse und Audits, Pflicht zur laufenden Verbesserung und Wirksamkeit. DORA und NIS2 machen beides zur Pflicht.

  • Drei Verteidigungslinien (three lines of defence), regelmäßige Schulungen für die Geschäftsleitung und Mitarbeiter, Business Continuity Management (BCM) sind Pflicht.

Incident Management und Meldewesen

  • Cybervorfälle, IKT-Ausfälle und Angriffe müssen erkannt, dokumentiert und den zuständigen Behörden gemeldet werden – bei DORA z. B. an BaFin/EBA/ESMA, bei NIS2 an BSI/BNetzA.**

  • Fristen, Mindestinhalte und Rückmeldemechanismen sind vergleichbar aufgebaut.

Testen und Audits

  • Du musst regelmäßige Tests und Audits deiner IT, Systeme, Prozesse und Resilienzmaßnahmen durchführen (Stresstests, Schwachstellenanalyse, TLPT bei DORA, Penetrationstests bei NIS2).

  • Ergebnisberichte gehen an die zuständige Behörden – mit konkreten Nachweisen zur Wirksamkeit und Empfehlungen für Verbesserungen.

Lieferketten und Drittparteienmanagement

  • Sowohl DORA als auch NIS2 schreiben vor, alle kritischen und wichtigen IKT-Dienstleister zu identifizieren, Risiken zu bewerten und vertragliche Vereinbarungen zu prüfen und regelmäßig zu auditieren.

Pflichten zur Information und Sensibilisierung

  • Du musst alle Mitarbeiter schulen, Awareness-Programme konzipieren und sie regelmäßig aktualisieren.

Unterschiede und exakte Abgrenzungen (Wo liegt die Grenze?)

DORA: Klarer sektoraler Fokus und hohe Detailtiefe

  • Gilt nur für Finanzunternehmen nach Art. 2 DORA und deren kritische IKT-Dienstleister.

  • Vorgaben sind konkret und preskriptiv: IKT-Risikomanagement, Incident Reporting, Resilienztests (TLPT), Management und Audit Third Parties.

  • Einbindung der Europäischen Finanzaufsichtsbehörden (EBA, ESMA, EIOPA), Kooperation mit der EZB und nationale Behörden wie BaFin.

  • Für kritische Dienstleister gibt es eine jährliche EU-Liste, strenge Auditanforderungen und zentrale Überwachung durch die EU.

NIS2: Breiter Sektor und nationale Umsetzung

  • Gilt für sämtliche kritische Infrastrukturen der EU, inkl. IT-Dienstleister, cloud-basierte Anbieter, Digitaldienste – und auch das Finanz- und Versicherungswesen, sofern nicht von DORA reguliert.

  • Pflichten sind abstrakter und meist auf Grundschutzlevel ausgelegt (ISO 27001 mapping, KRITIS-Basismaßnahmen).

  • Nationale Aufsicht: In Deutschland BSI und BNetzA. Länder wie Frankreich, Niederlande, Österreich haben eigene NIS2-Behörden und Meldeplattformen.

Das Mapping – Tabellarischer Vergleich

Aspekt DORA (Finanzunternehmen) NIS2 (kritische Infrastruktur) Schnittmenge (IT-Dienstleister)
Geltungsbereich Finanzunternehmen & kritische IKT-Dienstleister Sämtliche kritische Infrastrukturen, inkl. IT IKT-Provider mit Finanzkunden – doppelt betroffen
Rechtsgrundlage EU-Verordnung, direkt gültig EU-Richtlinie, nationale Umsetzung Beide müssen erfüllt werden
Aufsicht BaFin, ESMA, EBA, EZB BSI, BNetzA, nationale Behörden BaFin/EBA/ESMA + BSI/BNetzA
Risikomanagement Sehr detailliert, Governance Regelmäßige Grundschutzprüfungen, BCM Doppelte und oft sehr ähnliche Vorgaben
Incident Reporting Streng, engmaschig, an Finanzaufsicht Fristgebunden, an nationale Cybersicherheitsbehörden Doppelte Pflicht, verschiedene Meldeadressen
Testen & Audits Preskriptive Vorgaben, TLPT, externe Audits Penetrationstests, Schwachstellenanalysen Regelmäßige Prüfungen beiderseits
Drittparteienmanagement Vertragspflichten, EU-Listen, Zentralregister Vertragsprüfung, Lieferkettenschutz Doppelte Prüfung/Audit
Sanktionen Finanzaufsichtsrechtlich, EU, oft streng Nationale Behörden, teils öffentlich, strenge Bußgelder Additive Risiken für IT-Provider
Melde-/Registrierungspflichten MVP BaFin etc., teils europaweit BSI, nationale Register, Meldeplattformen Zweimalige Registrierung/Meldung

Spezialfälle: Wann gilt was?

Ausschlüsse (DORA):

  • Kleinstversicherer und Pensionskassen mit wenigen Versicherten.

  • Kleinst- oder kleine Versicherungsvermittler.

  • Finanzunternehmen, die nicht unter DORA fallen, werden durch NIS2 reguliert.

Kritische IT-Dienstleister (Cloud-Provider etc.):

  • DORA: Wenn du mehrere Finanzunternehmen in Europa mit kritischen Diensten belieferst, kann dich die EU als „kritisch“ einstufen – dann musst du DORA und NIS2 parallel erfüllen, inklusive Audits, Tests, Meldewesen und Regularien für das internationale Cybersicherheitsniveau.

  • NIS2: Als IT-Dienstleister in Deutschland bist du automatisch KRITIS und musst alle NIS2-Pflichten erfüllen – teils deckungsgleich mit DORA, oft gibt es aber zusätzliche nationale Abfragen, Berichtspflichten und Prüfschritte, die sich überschneiden.

Fazit, Empfehlungen und Ausblick

Für dich als Finanzunternehmen: DORA ist dein umfassender, detaillierter Rahmen für digitale Resilienz, Cybersicherheit, Meldewesen und Third Party Management. Du bist von NIS2 ausgenommen, musst aber internationale Standards einhalten (ISO 27001, KRITIS etc.), sofern sie von DORA referenziert werden.

Für IT-Dienstleister, die für Finanzunternehmen arbeiten: Bereite dich auf Doppelregulierung vor. Du benötigst ein Mapping beider Regelwerke, implementierst Melde- und Auditprozesse für beides und gehst von zweimaligen Prüfungen aus. Digitale Plattformen für das Reporting, Compliance und Audit sind Pflicht.

Externe Ressourcen zu DORA

Damit du DORA in der Praxis noch besser umsetzen kannst, findest du hier zentrale Anlaufstellen von BaFin und BSI mit Hintergrundinformationen, FAQs und praktischen Hilfestellungen:

  • 👉 DORA-Infoportal der BaFin
    Hier erhältst du eine Übersicht über die Inhalte und Ziele des Digital Operational Resilience Act (DORA) sowie Informationen zu seiner Umsetzung in Deutschland.

  • 👉 Mapping der Sektoren, Pflichten, FAQs – BSI, NIS2DORA-Portal
    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet ein detailliertes Mapping zwischen NIS-2 und DORA, inklusive Pflichtenübersicht für regulierte Unternehmen. Ideal für die Einordnung, welche Anforderungen für deinen Sektor relevant sind.

  • 👉 BaFin DORA – FAQ und Meldewesen
    In den FAQs sowie im Bereich Meldewesen findest du praxisnahe Hinweise zu Meldungen von IKT-Vorfällen, den zugehörigen Prozessen und Aufsichtserwartungen.

FAQ: DORA vs. NIS2 – Wo liegt die Grenze?

  • Worin unterscheiden sich DORA und NIS2 grundsätzlich?

    DORA gilt nur für die Finanzbranche und deren kritische IKT-Dienstleister, während NIS2 alle kritischen Infrastrukturen abdeckt (u. a. Energie, Transport, Gesundheit, IT). DORA ist eine EU-Verordnung, NIS2 eine EU-Richtlinie mit nationaler Umsetzung.

  • Wann gilt für Finanzunternehmen DORA, wann NIS2?

    Bist du ein reguliertes Finanzunternehmen (z. B. Bank, Versicherung, Wertpapierfirma, Krypto-Anbieter), dann gilt DORA exklusiv – NIS2 ist für dich weitgehend ausgeschlossen („lex specialis“). Ausnahme: Melde-/Registrierungspflichten beim BSI.

  • Bin ich als IT-Dienstleister doppelt reguliert?

    Ja, wenn du kritische Systeme für Finanzunternehmen bereitstellst (z. B. Cloud, Rechenzentrum, Managed Services). Dann musst du DORA und NIS2 parallel erfüllen – mit Audit-, Melde- und Reportingpflichten gegenüber Finanzaufsicht (BaFin/EBA/ESMA) und Cybersicherheitsaufsicht (BSI/BNetzA).

  • Welche Pflichten sind in beiden Regelwerken gleich?

    Risikomanagement & Governance, Incident Reporting, Tests & Audits, Drittparteienmanagement und Awareness-Schulungen. Beide Regelwerke verlangen Nachweise, kontinuierliche Verbesserung und Management-Verankerung.

  • Was sind die Unterschiede bei Aufsicht und Umsetzung?

    DORA: zentrale EU-Aufsicht (EBA, ESMA, EIOPA, EZB) + BaFin für Deutschland. Preskriptiv, detailliert und europaweit einheitlich.
    NIS2: nationale Umsetzung, in Deutschland durch BSI und BNetzA. Anforderungen sind abstrakter, orientiert an ISO 27001/KRITIS-Grundschutz.

  • Muss ich zwei Register führen?

    Ja, wenn dein Unternehmen sowohl unter DORA als IKT-Drittanbieter für Finanzunternehmen als auch unter NIS2 als kritische Einrichtung (z. B. digitale Infrastruktur, Cloud, Managed Service Provider) fällt, musst du zwei Register führen: das DORA-Register für deine IKT-Dienste im Finanzsektor und das NIS2-Register für deine Tätigkeit als kritische Einrichtung. Beide Register können technisch gemeinsam dokumentiert werden, aber die inhaltliche Abgrenzung und Nachweisführung muss klar und prüfungssicher sein.

  • Welche Sanktionen drohen bei Verstößen?

    DORA: EU-weite Sanktionen, sehr strenge Bußgelder und aufsichtsrechtliche Maßnahmen.
    NIS2: nationale Bußgelder, teils öffentlich kommuniziert, mit erheblichen Reputationsrisiken. Für IT-Provider können sich Sanktionen addieren.

  • Wie bereite ich mich am besten vor?

    Erstelle ein Mapping von DORA und NIS2, führe zwei Register, implementiere gemeinsame Prozesse für Risikomanagement, Audits und Reporting, nutze digitale Tools und schule Management & Mitarbeiter gezielt.

DORA & NIS-2 Hub: Umsetzung & Resilienz 2026
Zur DORA & NIS-2 Hub-Übersicht

DORA & NIS-2: Umsetzung, Governance & Resilienz 2026

Dieser Hub bündelt alle relevanten Inhalte zu DORA, NIS-2 und MaRisk. Du erhältst konkrete Umsetzungshilfen für ICT Risk, Third Party Risk und digitale Resilienz im Unternehmen.

DORA & NIS-2 verstehen und umsetzen

DORA & NIS-2 Hub ➜

Zentrale Übersicht zu DORA, NIS-2 und MaRisk: Anforderungen, Umsetzung und Best Practices kompakt gebündelt.

Zum Hub

DORA vs. NIS-2 ➜

Unterschiede und regulatorische Auswirkungen im Überblick.

Artikel lesen

Third Party Risk ➜

DORA-Anforderungen an Auslagerung und Dienstleistersteuerung.

Artikel lesen

DORA Dokumentation ➜

So setzt du regulatorische Anforderungen prüfungssicher um.

Mehr erfahren

DORA Grundlagen ➜

E-Learning für Awareness und regulatorisches Verständnis.

Zum E-Learning

Systemische Risiken ➜

Einfluss von DORA auf Finanzstabilität und Marktstrukturen.

Artikel lesen

Stresstest 2026 ➜

Teste die Resilienz deiner Organisation im aktuellen Umfeld.

Jetzt prüfen

Seminare zur Umsetzung

DORA Compliance Seminar ➜

Update zu ICT Risk, Governance und regulatorische Anforderungen.

DORA Update buchen

BCM & Notfallmanagement ➜

Aufbau eines effektiven Business Continuity Management Systems.

Zum Seminar

Lehrgang für Resilienz

Resilience Officer (S+P Certified) ➜

Der zentrale Lehrgang für DORA, BCM und digitale Resilienz.

Zum Lehrgang

Lehrgänge & Seminare

Dein Karriere-Booster

S+P Erfahrung

ISO9001
ecovadis

Newsletter

S&P Unternehmerforum GmbH 803 Bewertungen auf ProvenExpert.com