Was ist der Hauptunterschied zwischen DORA und NIS2?

DORA (Verordnung EU 2022/2554) ist sektorspezifische Gesetzgebung für EU-Finanzunternehmen, während NIS2 (Richtlinie EU 2022/2555) eine sektorübergreifende Richtlinie ist, die 18 kritische Branchen abdeckt. DORA ist eine Verordnung – in allen Mitgliedstaaten unmittelbar anwendbar – während NIS2 eine Richtlinie ist, die einer nationalen Umsetzung bedurfte. DORA sieht auch strengere Meldefristen vor: 4 Stunden für die erste Meldung gegenüber 24 Stunden unter NIS2.

Müssen Finanzunternehmen sowohl DORA als auch NIS2 einhalten?

Für die meisten Pflichten – insbesondere IKT-Risikomanagement und Vorfallsmeldung – verdrängt DORA als lex specialis die NIS2-Anforderungen. Finanzunternehmen richten sich daher primär nach DORA. NIS2 kann jedoch in Bereichen weiterhin gelten, die DORA nicht spezifisch regelt. Ein Kreditinstitut ist also nicht vollständig von NIS2 befreit, sondern nur von den Bestimmungen, die DORA ausdrücklich ersetzt.

Was sind die Meldefristen unter DORA und NIS2?

DORA sieht vier Stufen vor: Erstmeldung binnen 4 Stunden nach Einstufung als schwerwiegender Vorfall, Erstbericht binnen 24 Stunden nach Entdeckung, Zwischenbericht binnen 72 Stunden und Abschlussbericht spätestens 1 Monat nach Behebung. NIS2 verlangt drei Stufen: Frühwarnung binnen 24 Stunden nach Entdeckung, formelle Meldung binnen 72 Stunden und Abschlussbericht binnen 30 Tagen.

Was bedeutet das Lex-specialis-Prinzip für DORA und NIS2?

Das Lex-specialis-Prinzip besagt, dass das speziellere Gesetz dem allgemeinen vorgeht. DORA ist lex specialis gegenüber NIS2 für Finanzunternehmen im Bereich IKT-Risikomanagement und Meldepflichten. Es gibt daher keine Doppelregulierung in diesen Bereichen: Finanzunternehmen folgen DORA, dessen Anforderungen detaillierter und branchenspezifischer sind.

Welche Bußgelder drohen bei Verstößen gegen DORA und NIS2?

Nach NIS2: Wesentliche Einrichtungen haften mit bis zu 10.000.000 Euro oder 2 % des globalen Jahresumsatzes; wichtige Einrichtungen mit bis zu 7.000.000 Euro oder 1,4 % des Umsatzes. Bei DORA: Die BaFin kann je nach Verstoß Bußgelder bis zu 5 Millionen Euro verhängen; auf Tier-1-Verstöße können Sanktionen bis zu 2 % des weltweiten Jahresumsatzes folgen; laufende tägliche Sanktionen bis zu 1 % des durchschnittlichen Tagesumsatzes; persönliche Haftung leitender Manager bis zu 1 Million Euro.

DORA vs. NIS2: Die wichtigsten Unterschiede, Überschneidungen und Auswirkungen für Ihr Unternehmen

2026-03-20

By Orbiq Team

DORA vs. NIS2: Die wichtigsten Unterschiede, Überschneidungen und Auswirkungen für Ihr Unternehmen

DORA und NIS2 sind die zwei bedeutendsten EU-Cybersicherheitsgesetze. Dieser Leitfaden vergleicht Geltungsbereich, Rechtsform, Meldepflichten, Bußgelder und wie die lex-specialis-Regel Überschneidungen auflöst.

dora

nis2

eu-compliance

cybersicherheit

meldepflichten

DORA vs. NIS2: Die wichtigsten Unterschiede, Überschneidungen und Auswirkungen für Ihr Unternehmen

Zwei EU-Cybersicherheitsregelwerke gelten heute europaweit: die NIS2-Richtlinie (EU 2022/2555) und die DORA-Verordnung (EU 2022/2554). Beide verlangen Cybersicherheitsrisikomanagement, Vorfallsmeldungen und Kontrolle über Drittanbieter. Doch sie unterscheiden sich erheblich darin, wen sie betreffen, wie sie als Rechtsinstrumente funktionieren und was sie konkret fordern.

Wenn Sie als Compliance-Verantwortliche, CISO oder GRC-Fachkraft wissen möchten, welches Rahmenwerk für Ihr Unternehmen gilt – oder wie Sie mit beiden umgehen –, bietet dieser Leitfaden einen praxisorientierten Vergleich.

Auf einen Blick: DORA vs. NIS2

Dimension	DORA	NIS2
Rechtsform	Verordnung – unmittelbar anwendbar	Richtlinie – nationale Umsetzung erforderlich
Rechtsreferenz	Verordnung (EU) 2022/2554	Richtlinie (EU) 2022/2555
Inkrafttreten	16. Januar 2023	16. Januar 2023
Anwendbar ab / Umsetzungsfrist	17. Januar 2025	17. Oktober 2024
Geltungsbereich	Nur Finanzunternehmen (20 Kategorien)	Sektorübergreifend: 18 kritische Sektoren
Schwellenwert	Alle regulierten Finanzunternehmen (kein Mindestgröße)	≥ 50 Mitarbeiter ODER ≥ 10 Mio. € Jahresumsatz
Meldepflicht – Frühwarnung	4 Stunden (nach Einstufung als schwerwiegend)	24 Stunden (nach Entdeckung)
Meldepflicht – Vollständige Meldung	24 Stunden Erstbericht, 72 Stunden Zwischenbericht	72 Stunden
Meldepflicht – Abschlussbericht	1 Monat nach Behebung	30 Tage
Maximalbußgeld (Organisationen)	~2 % des weltweiten Jahresumsatzes (Tier 1)	Wesentlich: 10 Mio. € oder 2 % Umsatz; Wichtig: 7 Mio. € oder 1,4 %
Persönliche Haftung	Bis zu 1 Mio. € für leitende Manager	Leitungsorganhaftung (abhängig von nationalem Recht)
Penetrationstests	TLPT für bedeutende Einrichtungen Pflicht	Nicht explizit vorgeschrieben
Drittanbieter-Aufsicht	Formelle CTPP-Benennung und Aufsicht	Lieferketten-Risikomanagement erforderlich

Was ist NIS2?

Die NIS2-Richtlinie – offiziell Richtlinie (EU) 2022/2555 – ist die primäre sektorübergreifende Cybersicherheitsgesetzgebung der EU. Sie löste die ursprüngliche NIS-Richtlinie (2016/1148) ab und erweiterte die erfassten Sektoren von 7 auf 18: Energie, Verkehr, Gesundheitswesen, Finanzmarktinfrastruktur, digitale Infrastruktur, Abfallwirtschaft und Lebensmittelproduktion.

NIS2 gilt für alle Organisationen in einem erfassten Sektor mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Diese werden als wesentliche Einrichtungen oder wichtige Einrichtungen eingestuft, für die unterschiedliche Aufsichtsintensität und Bußgeldrahmen gelten.

Als Richtlinie musste NIS2 von jedem EU-Mitgliedstaat bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Die Umsetzung verlief unterschiedlich:

Deutschland: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft. Wesentliche und wichtige Einrichtungen müssen sich bis zum 6. März 2026 beim BSI (Bundesamt für Sicherheit in der Informationstechnik) registrieren (drei Monate nach Inkrafttreten des Gesetzes). Das Gesetz enthält keine Übergangsfrist.
Niederlande: Die Cyberbeveiligingswet, die NIS2 in nationales Recht umsetzt und auf dem bestehenden Wbni-Rahmen aufbaut, wird voraussichtlich im 2. Quartal 2026 in Kraft treten.
Belgien: Aktive Durchsetzung seit Ende 2024, mit abgelaufenen Registrierungsfristen und laufenden Audits.

Für den vollständigen Geltungsbereich, die Anforderungen und die Maßnahmen nach Artikel 21 lesen Sie unseren NIS2-Compliance-Leitfaden und die NIS2-Anforderungen.

Was ist DORA?

Die DORA-Verordnung – Verordnung (EU) 2022/2554 – ist das EU-Rahmenwerk für IKT-Risikomanagement im Finanzsektor. Im Gegensatz zur NIS2-Richtlinie ist DORA eine Verordnung und gilt unmittelbar in allen EU-Mitgliedstaaten, ohne dass eine nationale Umsetzungsgesetzgebung erforderlich ist.

DORA gilt seit dem 17. Januar 2025 und erfasst 20 Kategorien von Finanzunternehmen: Banken, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsinstitute, Krypto-Dienstleister, Handelsplätze, zentrale Gegenparteien und weitere. Die Europäischen Aufsichtsbehörden (ESAs) – EBA, ESMA und EIOPA – erklärten ausdrücklich im Dezember 2024, dass „DORA keine Übergangszeit vorsieht."

Die fünf Säulen von DORA sind:

IKT-Risikomanagement – Governance-Rahmen und Risikoappetit
IKT-Vorfallsmeldung – Standardisierte Meldung schwerwiegender Vorfälle an zuständige Behörden
Tests der digitalen operationalen Resilienz – Einschließlich obligatorischer TLPT-Tests für bedeutende Einrichtungen
IKT-Drittparteienrisikomanagement – Aufsicht über kritische IKT-Drittdienstleister (CTPPs)
Informationsaustausch – Freiwilliger Austausch von Cyber-Bedrohungsinformationen

Im Jahr 2026 hat sich die DORA-Durchsetzung von der Beratungsphase zur aktiven Aufsicht gewandelt. Die BaFin führt Aufsichtsprüfungen und Audits durch; das Register of Information (Informationsregister) war für BaFin-beaufsichtigte Institute zwischen dem 9. und 30. März 2026 einzureichen.

Vorfallsmeldung: Ein kritischer Unterschied

Für Organisationen, die beiden Rahmenwerken unterliegen, ist die Vorfallsmeldung der Bereich mit dem größten operativen Unterschied.

NIS2-Vorfallsmeldung

Nach Artikel 23 der NIS2-Richtlinie müssen Organisationen bei einem erheblichen Vorfall einen dreistufigen Prozess einhalten:

Frühwarnung – binnen 24 Stunden nach Kenntnis eines erheblichen Vorfalls
Vorfallsmeldung – binnen 72 Stunden, mit vorläufiger Schweregradbewertung und Kompromittierungsindikatoren
Abschlussbericht – binnen 30 Tagen nach der Meldung, mit Ursachenanalyse und Abhilfemaßnahmen

DORA-Vorfallsmeldung

Die DORA-Anforderungen – festgelegt in den Technischen Regulierungsstandards (JC 2024-33) – sind für schwerwiegende IKT-Vorfälle strenger und detaillierter:

Erstmeldung – binnen 4 Stunden nach Einstufung des Vorfalls als schwerwiegend
Erstbericht – binnen 24 Stunden nach Entdeckung
Zwischenbericht – binnen 72 Stunden
Abschlussbericht – binnen 1 Monat nach Behebung

Die 4-Stunden-Erstmeldung nach DORA ist die anspruchsvollste Anforderung beider Rahmenwerke. Finanzunternehmen benötigen Echtzeit-Vorfallsklassifizierungssysteme und vorab erstellte Meldevorlagen, um diese Frist einzuhalten.

Für einen detaillierten Überblick über DORA-Vorfallsmeldeanforderungen lesen Sie unseren Spezialleitfaden.

Bußgelder: Vergleich der Sanktionsrahmen

Bußgelder unter NIS2

NIS2 schafft eine zweistufige Bußgeldstruktur basierend auf der Einstufung der Einrichtung:

Einrichtungstyp	Höchststrafe
Wesentliche Einrichtungen	10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
Wichtige Einrichtungen	7.000.000 Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Über finanzielle Sanktionen hinaus können nationale Behörden bei grober Fahrlässigkeit nach einem schwerwiegenden Vorfall vorübergehende Berufsverbote für leitende Manager verhängen.

Bußgelder unter DORA

DORA legt keinen einheitlichen EU-weiten Bußgeldrahmen für alle Finanzunternehmen fest – die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende nationale Sanktionen einführen. In der Praxis:

Tier-1-Verstöße: Bußgelder bis zu 2 % des weltweiten Jahresumsatzes
Laufende tägliche Sanktionen: Bis zu 1 % des durchschnittlichen Tagesumsatzes zur Erzwingung laufender Compliance
Persönliche Haftung: Leitende Manager können individuell mit bis zu 1 Million Euro sanktioniert werden
Nationale Unterschiede: Die BaFin hat für bestimmte Verstöße Obergrenzen von bis zu 5 Millionen Euro festgelegt; in Italien können Bußgelder bis zu 20 Millionen Euro verhängt werden

Für kritische IKT-Drittdienstleister (CTPPs), die der direkten ESA-Aufsicht unterliegen, können periodische Zwangsgelder und Anordnungen direkt von den ESAs erlassen werden.

Wer muss beiden Regelwerken entsprechen?

Die Frage, die Compliance-Teams am häufigsten stellt: Welches Rahmenwerk gilt für uns?

Finanzunternehmen: Primär DORA

Wenn Sie ein reguliertes Finanzunternehmen sind (Bank, Versicherer, Wertpapierfirma, Zahlungsinstitut usw.), ist DORA Ihr primäres Rahmenwerk für IKT-Risikomanagement und Vorfallsmeldung. NIS2 mag Finanzunternehmen ebenfalls als erfasste Sektoren aufführen, doch DORA verdrängt NIS2 als lex specialis.

IKT-Anbieter: Möglicherweise beide

IKT-Dienstleister sehen sich dem komplexesten Fall doppelter Verpflichtungen gegenüber:

Kritische IKT-Drittdienstleister (CTPPs), die unter DORA förmlich benannt wurden, unterliegen direkter ESA-Aufsicht. Stand November 2025 sind 19 Anbieter benannt, darunter AWS, Microsoft Azure, Google Cloud, IBM und Bloomberg.
IKT-Anbieter, die nicht als CTPPs benannt wurden, aber in von NIS2 erfassten Sektoren tätig sind, müssen NIS2 einhalten.
IKT-Anbieter, die mehrere Sektoren bedienen (Finanzwesen + andere), können für verschiedene Teile ihres Geschäfts beiden Rahmenwerken unterliegen.

Nicht-Finanzsektoren

Für Gesundheitswesen, Energie, Verkehr, digitale Infrastruktur und andere NIS2-erfasste, aber nicht DORA-pflichtige Sektoren gilt ausschließlich NIS2.

Lex Specialis: Wie die Überschneidung in der Praxis aufgelöst wird

Das Lex-specialis-Prinzip – das spezifischere Gesetz hat Vorrang vor dem allgemeinen – ist in Artikel 4 der NIS2-Richtlinie kodifiziert. Für Finanzunternehmen verdrängen DORAs detailliertere IKT-Risikomanagement- und Meldepflichtanforderungen die entsprechenden NIS2-Verpflichtungen.

Was das in der Praxis bedeutet:

Nur durch DORA geregelt (NIS2 gilt für Finanzunternehmen nicht):

IKT-Risikomanagementsystem (DORA Artikel 5–16)
Meldung schwerwiegender IKT-Vorfälle (DORA Artikel 19)
Tests der digitalen operationalen Resilienz (DORA Artikel 24–27)
IKT-Drittparteienrisikomanagement und CTPP-Aufsicht (DORA Artikel 28–44)

Bereiche, in denen NIS2 für Finanzunternehmen weiterhin gelten kann:

Physische Sicherheit von Infrastrukturen, die DORA nicht erfasst
Lieferkettensicherheitsverpflichtungen in Nicht-IKT-Bereichen
Sektorspezifische Bestimmungen außerhalb des DORA-Geltungsbereichs

Wie die PayTechLaw-Analyse des deutschen NIS2UmsuCG betont: Die Lex-specialis-Klausel bezieht sich ausschließlich auf IKT-Risikomanagement und IKT-Vorfallsmeldungen – nicht auf sämtliche NIS2-Verpflichtungen. Ein Kreditinstitut ist daher nicht vollständig von NIS2 befreit, sondern nur von den spezifischen Verpflichtungen, die DORA ersetzt.

Compliance-Strategie für Unternehmen mit doppelter Verpflichtung

Wenn Ihre Organisation branchenübergreifend tätig ist oder Ihre IKT-Anbieter sowohl Finanz- als auch Nicht-Finanzunternehmen bedienen, empfiehlt sich eine integrierte Compliance-Strategie:

1. Ihren Unternehmenstyp präzise bestimmen. Klären Sie, ob Sie: (a) ein reguliertes Finanzunternehmen sind, das primär DORA unterliegt, (b) ein Nicht-Finanzunternehmen, das NIS2 unterliegt, oder (c) ein IKT-Dienstleister, der möglicherweise beiden Rahmenwerken unterliegt.

2. Ein einheitliches IKT-Risikomanagement-Rahmenwerk aufbauen. DORAs IKT-Risikomanagementanforderungen (Artikel 5–16) sind detaillierter als NIS2 Artikel 21. Ein System nach DORA-Standard erfüllt typischerweise auch die entsprechenden NIS2-Anforderungen – einmalige Investition auf dem höheren Standard.

3. Incident Response auf die 4-Stunden-Frist von DORA ausrichten. Wenn DORA gilt, muss Ihr Incident-Response-Prozess eine 4-Stunden-Erstmeldung ermöglichen. Dies erfordert automatisierte Alarmierung, vorbereitete Meldevorlagen und definierte Eskalationspfade zu Aufsichtsbehörden. Organisationen, die DORAs Fristen einhalten, erfüllen automatisch NIS2s 24-Stunden-Frist.

4. Drittanbieterrisiken mit Nachweisen verwalten. Beide Rahmenwerke erfordern Lieferketten- und Drittanbieter-Risikomanagement. DORAs Informationsregister (ROI) für 2026 ist bei der BaFin zwischen dem 9. und 30. März 2026 einzureichen; die AFM (Niederlande) setzt die Frist für Unternehmen auf den 22. März 2026; die konsolidierte ESA-Frist für nationale Behörden gegenüber den ESAs ist der 31. März 2026.

5. Kontinuierliches Compliance-Monitoring einsetzen. Sowohl DORA als auch NIS2 verlangen nachweisbare, laufende Compliance. Orbiq bietet Echtzeit-Evidenzerhebung, automatisierte Vorfallsklassifizierungsunterstützung und Lieferketten-Risiko-Dashboards, die auf beide Rahmenwerke ausgerichtet sind.

Wie Orbiq hilft

Orbiq ist für EU-regulierte Organisationen konzipiert, die DORA, NIS2 und deren Schnittstellen bewältigen müssen. Die Plattform bietet:

Kontinuierliches Monitoring Ihrer Sicherheitslage, zugeordnet zu DORA- und NIS2-Kontrollrahmenwerken
Vendor Assurance für DORAs Informationsregister und NIS2-Lieferkettensicherheitsanforderungen
Incident Management mit konfigurierbaren Fristen entsprechend der 4-Stunden-DORA- und 24-Stunden-NIS2-Schwellenwerte
Trust Center zur Demonstration der Compliance-Lage gegenüber Behörden, Kunden und Auditoren

Quellen & Referenzen

Verordnung (EU) 2022/2554 (DORA) — Offizieller Text des Digital Operational Resilience Act
Richtlinie (EU) 2022/2555 (NIS2) — Offizieller Text der NIS2-Richtlinie
ESA-Erklärung zur DORA-Anwendung (Dezember 2024) — Bestätigt keine Übergangszeit für DORA
JC 2024-33 Abschlussbericht zu Vorfallsmeldungs-RTS/ITS — DORA-Meldefristen (4h/24h/72h/1 Monat)
NIS2 trifft DORA — PayTechLaw — Analyse der Lex-specialis-Klausel im deutschen NIS2UmsuCG
Morrison Foerster: Deutsches NIS2-Umsetzungsgesetz (Dezember 2025) — NIS2UmsuCG-Inkrafttreten und BSI-Registrierungsfrist
DORA 2026 Durchsetzung — aqmetrics — Wechsel von der Beratungsphase zur aktiven BaFin-Durchsetzung
DORA Register of Information 2026 — Thomas Murray — BaFin- und ESA-Fristen für ROI-Einreichungen 2026
NIS2-Bußgeldstruktur — Hornetsecurity — Bußgeldrahmen für wesentliche und wichtige Einrichtungen
DORA vs. NIS2 — activeMind.legal — Rechtliche Analyse der doppelten Compliance und häufige Missverständnisse