Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
DORA vs NIS2DORA NIS2 VergleichLex Specialis DORANIS2 FinanzunternehmenDORA NIS2 Unterschied

DORA vs. NIS2 — Welche Regulierung gilt für Ihr Unternehmen?

DORA vs. NIS2 Vergleich: Lex Specialis, Meldepflichten, Bußgelder und Entscheidungshilfe, welche Regulierung für Ihr Unternehmen gilt.

Veröffentlicht: 10. März 2026Letzte Aktualisierung: 23. März 202613 Min. Lesezeit

DORA vs. NIS2 — Welche Regulierung gilt für Ihr Unternehmen?

Die DORA-Verordnung (EU 2022/2554) und die NIS2-Richtlinie (EU 2022/2555) regulieren beide Cybersecurity — doch für welche Unternehmen gilt welche Vorschrift? Die kurze Antwort für das Keyword DORA vs. NIS2 lautet: Finanzunternehmen prüfen immer zuerst DORA, alle anderen betroffenen Sektoren zuerst NIS2, und in Überschneidungsfällen gilt DORA als lex specialis nur dort vorrangig, wo sie denselben Sachverhalt spezieller regelt.

Letzte Aktualisierung: 23. März 2026

Wenn Sie als Bank, Versicherer, Zahlungsdienst, Fintech oder IKT-Dienstleister gerade klären müssen, welche Regulierung für Ihr Unternehmen gilt, sollten Sie nicht mit Schlagworten beginnen, sondern mit drei Fragen: Gehören Sie überhaupt zum Finanzsektor im Sinne von DORA, sind Sie zugleich eine wesentliche oder wichtige Einrichtung im Sinne von NIS2, und welcher Melde- oder Risikomanagementstandard ist im konkreten Fall spezieller? Genau diese Abgrenzung entscheidet über Meldefristen, Zuständigkeiten, Bußgelder und Schulungsbedarf.

Für die DORA-Grundlagen lohnt sich parallel unser Überblick zur DORA-Verordnung und der Praxisbeitrag zu DORA-Anforderungen. Wenn Sie Regulierungskollisionen außerhalb des Finanzsektors vergleichen wollen, helfen auch CRA vs. NIS2, CRA, NIS2 und AI Act sowie unsere Branchenseite für Versicherungen.

DORA und NIS2 — Zwei Seiten der Cybersecurity-Medaille

DORA und NIS2 verfolgen dasselbe Ziel, aber mit unterschiedlicher Logik. Beide Regelwerke sollen das Cybersicherheits- und Resilienzniveau in der EU anheben; NIS2 macht das horizontal über kritische und wichtige Sektoren, DORA vertikal und deutlich tiefer für den Finanzsektor.

NIS2 ist eine Richtlinie. Das bedeutet: Die Vorgaben der Richtlinie 2022/2555 müssen in nationales Recht umgesetzt werden und entfalten ihre volle operative Wirkung typischerweise über nationale Gesetze, Aufsichtsstrukturen und Meldewege. DORA ist dagegen eine Verordnung. Die Vorgaben der Verordnung 2022/2554 gelten seit dem 17. Januar 2025 unmittelbar und sind für Finanzunternehmen deshalb deutlich konkreter und unmittelbarer relevant.

Für die Praxis ist diese Unterscheidung zentral. NIS2 fragt zuerst: Gehören Sie als Einrichtung zu einem der erfassten Sektoren und überschreiten Sie die relevanten Schwellenwerte? DORA fragt zuerst: Sind Sie ein Finanzunternehmen oder ein kritischer IKT-Drittdienstleister im Sinne der Verordnung? Wer diese Einstiegslogik verwechselt, baut schnell eine falsche Compliance-Matrix.

Die zweite Kernunterscheidung betrifft die Tiefe der Anforderungen. NIS2 verlangt Cybersecurity-Risikomanagement, Governance, Vorfallmeldung und organisatorische Absicherung auf einer sektorübergreifenden Ebene. DORA geht im Finanzsektor deutlich weiter und verlangt zusätzlich ein fein austariertes IKT-Risikomanagement, ein ausgeprägtes Testregime zur digitalen operationellen Resilienz und ein viel strengeres Management von IKT-Drittdienstleistern.

Die operative Kurzform lautet daher:

FrageDORANIS2
RegelungstypEU-VerordnungEU-Richtlinie
Grundlogiksektorspezifisch für Finanzunternehmenhorizontal für kritische und wichtige Sektoren
Anwendbarkeitunmittelbar seit 17. Januar 2025über nationales Umsetzungsrecht, in Deutschland mit BSIG-/NIS2-Umsetzung relevant
Schwerpunktdigitale operationelle Resilienz des Finanzsektorsallgemeines Cybersicherheitsniveau in kritischen Sektoren
Typischer ErsteinstiegFinanzsektor prüfenSektor und Größenklasse prüfen

Wenn Sie also eine erste Antwort brauchen, gilt folgende Faustformel: Ein Krankenhaus, ein Energieversorger oder ein Wasserwerk denkt zuerst in NIS2. Eine Bank, ein Versicherer oder eine Wertpapierfirma denkt zuerst in DORA. Ein Unternehmen mit Finanzbezug und kritischer Sektorrolle muss beides nebeneinander lesen.

Vergleichstabelle: DORA vs. NIS2

Die wichtigste Antwort steht in der Vergleichstabelle: DORA ist enger im Scope, aber tiefer in den Pflichten; NIS2 ist breiter im Scope, aber sektorneutraler formuliert. Für Finanzunternehmen ersetzt DORA NIS2 nicht pauschal, sondern nur punktuell und nur dort, wo DORA denselben Regelungsgegenstand spezieller adressiert.

KriteriumDORANIS2
RechtsformVerordnung (EU) 2022/2554Richtlinie (EU) 2022/2555
ScopeFinanzsektor und bestimmte kritische IKT-DrittdienstleisterWesentliche und wichtige Einrichtungen aus 18 Sektoren
Typische AdressatenBanken, Versicherer, Zahlungsinstitute, Wertpapierfirmen, Krypto-Dienstleister, FinanzmarktinfrastrukturenEnergie, Transport, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Banken, Teile der Finanzmarktinfrastruktur, viele weitere
KernpflichtenIKT-Risikomanagement, Resilienztests, Management von IKT-Drittparteien, Vorfallklassifizierung und -meldungRisikomanagement, Governance, Sicherheitsmaßnahmen, Lieferkettenbezug, Meldepflichten, Business Continuity
MeldepflichtenInitialmeldung spätestens 4 Stunden nach Klassifizierung eines schweren Vorfalls und innerhalb von 24 Stunden nach Kenntnis; Zwischenbericht nach 72 Stunden; Abschlussbericht nach 1 MonatFrühwarnung binnen 24 Stunden, Incident Notification binnen 72 Stunden, Abschlussbericht binnen 1 Monat
Fristenseit 17. Januar 2025 anwendbarUmsetzung über nationales Recht; operative Fristen hängen von nationalen Verfahren ab
Bußgelder/Sanktionenvor allem harte Aufsichtsinstrumente; für kritische IKT-Drittdienstleister Zwangsgelder bis 1 Prozent des durchschnittlichen täglichen weltweiten Umsatzes pro Tag für bis zu 6 Monatebis 10 Mio. EUR oder 2 Prozent Umsatz bei wesentlichen Einrichtungen; bis 7 Mio. EUR oder 1,4 Prozent bei wichtigen Einrichtungen
Aufsichtnationale Finanzaufsicht plus europäische Aufsichtsbehörden EBA, ESMA, EIOPA; bei kritischen IKT-Drittdienstleistern zusätzlich EU-Überwachungnationale zuständige Behörden und CSIRTs; in Deutschland vor allem BSI-zentriert

Diese Tabelle beantwortet bereits viele Praxisfragen. Wenn Ihr Unternehmen kein Finanzunternehmen ist, endet die Prüfung meist schon in der ersten Spalte: Dann ist DORA regelmäßig nicht einschlägig. Wenn Ihr Unternehmen Finanzunternehmen ist, müssen Sie dagegen unmittelbar die DORA-Pflichten aufgreifen und erst dann prüfen, welche NIS2-Aspekte daneben verbleiben.

Lex Specialis — Warum DORA für Finanzunternehmen Vorrang hat

Die juristisch präzise Antwort lautet: DORA hat für Finanzunternehmen nicht deshalb Vorrang, weil sie „wichtiger“ wäre, sondern weil sie spezieller ist. Genau das meint das Prinzip lex specialis.

Art. 4 NIS2 regelt das Verhältnis zu sektorspezifischen Unionsrechtsakten. Danach gilt NIS2 nicht oder nur insoweit, wie sektorspezifische EU-Vorgaben mindestens gleichwertige Anforderungen an Cybersicherheits-Risikomanagement oder Meldepflichten enthalten. DORA nimmt diese Logik in Art. 1 Abs. 2 ausdrücklich auf und positioniert sich für den Finanzsektor als sektorspezifischer Rechtsakt im Verhältnis zu NIS2.

Für die Praxis bedeutet das keine Totalverdrängung. Das ist der häufigste Denkfehler in Projekten zu DORA vs. NIS2. Finanzunternehmen können weiterhin in den persönlichen oder sachlichen Anwendungsbereich von NIS2 fallen. DORA geht aber in denjenigen Punkten vor, in denen sie denselben Gegenstand detaillierter und mindestens gleichwertig regelt.

Typische Bereiche mit DORA-Vorrang sind:

  1. IKT-Risikomanagement: DORA regelt den finanziellen Betriebs- und Steuerungsrahmen deutlich granularer als NIS2.
  2. Vorfallklassifizierung und Meldeabläufe: DORA ist mit 4-Stunden-, 72-Stunden- und 1-Monats-Stufen klarer und enger.
  3. Testen der digitalen operationellen Resilienz: DORA kennt ein eigenes, verbindliches Resilienz- und Testregime.
  4. IKT-Drittdienstleister: DORA regelt Due Diligence, Vertragsinhalte, Überwachung und Exit-Strategien wesentlich konkreter.

NIS2 verschwindet dadurch aber nicht. Relevanz behält NIS2 vor allem dort, wo DORA nicht denselben Sachverhalt abschließend abdeckt oder wo die nationale NIS2-Umsetzung organisatorische Einbindungen, Zuständigkeitsfragen oder sektorübergreifende Basispflichten enthält. Deshalb sollten Finanzunternehmen keine „Entweder-oder“-Analyse machen, sondern eine Matrix mit drei Spalten:

PrüffrageErgebnis
Regelt DORA den Sachverhalt speziell und mindestens gleichwertig?Dann DORA vorrangig anwenden
Regelt NIS2 denselben Punkt breiter, aber nicht spezieller?DORA bleibt maßgeblich
Regelt DORA den Punkt gar nicht oder nicht abschließend?NIS2 bzw. nationales Umsetzungsrecht zusätzlich prüfen

Die richtige Übersetzung von lex specialis lautet also nicht „NIS2 gilt für Banken nicht“, sondern „NIS2 tritt in speziell geregelten Bereichen hinter DORA zurück“. Genau diese Nuance sollten Sie intern dokumentieren, damit Audit, Revision, Informationssicherheit und Fachbereich dieselbe Rechtslogik verwenden.

Meldepflichten im Detail — 4h vs. 24h vs. 72h

Die wichtigste operative Differenz zwischen DORA und NIS2 liegt in den Meldepflichten. Wer nur mit der groben Formel „DORA 4 Stunden, NIS2 24 Stunden“ arbeitet, unterschätzt die tatsächliche Komplexität beider Regime.

Bei NIS2 ist der Ablauf dreistufig. Art. 23 NIS2 verlangt erstens eine Frühwarnung innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls. Zweitens folgt eine Incident Notification innerhalb von 72 Stunden nach Kenntnis, einschließlich erster Bewertung von Schwere und Auswirkungen. Drittens ist spätestens nach einem Monat ein Abschlussbericht fällig; läuft der Vorfall noch, muss ein Fortschrittsbericht und später ein finaler Abschlussbericht nachgereicht werden.

Bei DORA ist die Logik noch schärfer. Finanzunternehmen müssen schwere IKT-bezogene Vorfälle zunächst klassifizieren. Danach ist die Initialmeldung spätestens 4 Stunden nach dieser Klassifizierung abzugeben und zugleich innerhalb von 24 Stunden ab dem Zeitpunkt der Kenntnisnahme. Hinzu kommen ein Zwischenbericht innerhalb von 72 Stunden nach der Initialmeldung und ein Abschlussbericht innerhalb eines Monats.

Die relevante Vergleichslogik sieht so aus:

MeldepunktDORANIS2
Erste Meldeschwellenach Klassifizierung als schwerer Vorfallnach Kenntnis eines erheblichen Vorfalls
Erste Frist4 Stunden nach Klassifizierung, zusätzlich innerhalb von 24 Stunden nach Kenntnis24 Stunden Frühwarnung
Zweite Frist72 Stunden Zwischenbericht72 Stunden Incident Notification
Dritte Frist1 Monat Abschlussbericht1 Monat Abschlussbericht
Vorlagestärker standardisiert im Finanzaufsichtsrahmenstärker national geprägt

Warum ist diese Differenz so wichtig? Weil DORA ein deutlich reiferes Eskalations- und Klassifizierungsmodell voraussetzt. Ein Finanzunternehmen braucht technische und organisatorische Prozesse, mit denen ein Vorfall nicht nur erkannt, sondern in sehr kurzer Zeit als „major incident“ eingeordnet und an die richtige Aufsicht eskaliert werden kann.

Für Unternehmen außerhalb des Finanzsektors ist NIS2 zwar weniger eng, aber keineswegs mild. Die 24-Stunden-Frühwarnung setzt ebenfalls voraus, dass Erkennungs-, Eskalations- und Kommunikationswege im Unternehmen definiert sind. Die 72-Stunden-Meldung verlangt dann bereits eine erste qualifizierte Bewertung, nicht nur einen Platzhalter.

Praktisch sollten Sie Ihre Vorfallprozesse daher an vier Zeitmarken ausrichten:

  1. 0 bis 4 Stunden: interne Alarmierung, erste Klassifizierung, DORA-Prüfung.
  2. bis 24 Stunden: DORA-Initialmeldung oder NIS2-Frühwarnung.
  3. bis 72 Stunden: vertiefte Meldung mit erster Impact-Bewertung.
  4. bis 1 Monat: vollständiger Bericht mit Ursache, Maßnahmen und Lessons Learned.

Wenn Ihr Unternehmen sowohl unter DORA als auch unter NIS2 fallen kann, sollten Sie den strengeren DORA-Prozess regelmäßig als Primärprozess aufbauen. Das reduziert das Risiko, eine engere Frist zu verpassen, und vereinfacht die interne Steuerung.

Überschneidungen bei IT-Dienstleistern

Besonders komplex wird DORA vs. NIS2 bei IT-Dienstleistern. Die kurze Antwort lautet: Reine Finanzunternehmen prüfen DORA primär, reine sektorübergreifende IT-Dienstleister eher NIS2, und Anbieter mit zentraler Rolle für Finanzhäuser können in beide Regime geraten.

Unter NIS2 können Managed Service Provider, Managed Security Service Provider, digitale Infrastrukturbetreiber oder andere relevante IT-Dienstleister als wichtige oder wesentliche Einrichtungen erfasst sein. Unter DORA geraten IT-Dienstleister in den Blick, wenn sie IKT-Leistungen für Finanzunternehmen erbringen und als kritische IKT-Drittdienstleister eingestuft werden oder vertraglich in DORA-Pflichten eingebunden sind.

Das führt zu drei typischen Konstellationen:

Typ des DienstleistersRelevanz NIS2Relevanz DORA
MSP/MSSP mit allgemeinem Industriekundenstammhochmeist nur mittelbar
Cloud-, SaaS- oder Security-Anbieter mit Schwerpunkt Finanzsektormöglichhoch, vor allem vertraglich und bei kritischer Einstufung
Konzerninterner IKT-Dienstleister für Finanzgruppeje nach Konzernstrukturregelmäßig hoch

Für Dienstleister ist die große Gefahr die falsche Perspektive. Viele Anbieter fragen nur: „Bin ich selbst DORA-Adressat?“ Genauso wichtig ist aber: „Welche DORA-Vertragspflichten reichen meine Finanzkunden an mich durch?“ Selbst wenn Sie nicht selbst beaufsichtigt werden, können DORA-Anforderungen zu Audit-Rechten, Incident-SLAs, Exit-Klauseln, Nachweispflichten und Resilienztests in Ihren Verträgen führen.

NIS2 wiederum verlangt von vielen IT-Dienstleistern eine belastbare Sicherheitsorganisation unabhängig davon, ob der Kunde aus dem Finanzsektor kommt oder nicht. Ein Dienstleister kann also parallel eine NIS2-pflichtige Einrichtung sein und zugleich von Finanzkunden DORA-kompatible Vertrags- und Reportingstandards erfüllen müssen.

Die sinnvolle Umsetzung ist deshalb kein Wahlrecht, sondern eine Schichtung:

  1. Eigenes Regime klären: Sind Sie selbst NIS2-pflichtig, DORA-kritisch oder beides?
  2. Kundensegmente trennen: Welche Kunden verlangen DORA-spezifische Kontrollen?
  3. Vertragsbibliothek anpassen: Incident-Meldung, Audit, Subunternehmer, Exit und Testrechte standardisieren.
  4. Interne Prozesse harmonisieren: Ein gemeinsamer Incident- und Nachweisprozess spart Reibung.

Gerade IT-Dienstleister sollten außerdem nicht nur Rechtsabteilungen einbeziehen. Einkauf, Vertrieb, Security, Operations und Customer Success müssen dieselbe Regulierungslogik verstehen, sonst scheitern DORA- oder NIS2-Vorgaben schon an der Vertragspraxis.

NIS2-Umsetzungsgesetz in Deutschland — Aktueller Stand

Der aktuelle Stand in Deutschland ist für viele Unternehmen der unübersichtlichste Teil. Stand 23. März 2026 gilt: Die Bundesregierung hat laut Deutschem Bundestag am 10. September 2025 erneut einen Gesetzentwurf zur NIS2-Umsetzung vorgelegt; zugleich ist für Unternehmen längst klar, dass sie ihre Pflichten nicht mehr auf die lange Bank schieben können, weil die unionsrechtlichen Anforderungen inhaltlich feststehen und das deutsche Aufsichtsmodell auf BSI-gestützte Melde- und Sicherheitsprozesse hinausläuft.

Für die Praxis sind drei Punkte wichtiger als politische Zwischenschritte:

  1. Die Richtlinie ist nicht neu: NIS2 stammt aus dem Jahr 2022. Betroffene Unternehmen kennen Sektoren, Schwellenwerte und Kernpflichten seit langem.
  2. Das BSI bleibt zentral: In Deutschland läuft die Umsetzung operativ auf Registrierung, Aufsicht, Meldeprozesse und Nachweispflichten mit starkem BSI-Bezug hinaus.
  3. Vorbereitung schlägt Warten: Wer erst auf die letzte nationale Detailklarstellung wartet, verliert Zeit bei Inventarisierung, Verantwortlichkeiten, Incident Handling und Lieferkettenprüfung.

Für deutsche Finanzunternehmen ist die Lage sogar noch klarer. DORA gilt bereits unmittelbar seit dem 17. Januar 2025. Wer als Bank, Versicherer oder sonstige Finanzmarktakteure auf „die deutsche NIS2-Umsetzung“ wartet, übersieht daher, dass DORA heute schon belastbare Mindestprozesse verlangt.

Die sinnvolle Management-Botschaft lautet deshalb: Nutzen Sie den nationalen Umsetzungsstand nicht als Ausrede, sondern als Priorisierungshilfe. Wenn Ihr Unternehmen voraussichtlich in den NIS2-Anwendungsbereich fällt, sollten Sie Ihr Zielbild jetzt an der Richtlinie und den bekannten deutschen Aufsichtsstrukturen ausrichten. Wenn Sie im Finanzsektor sind, müssen DORA-Prozesse ohnehin bereits stehen.

Entscheidungsbaum — Welche Regulierung gilt für Sie?

Die schnellste Entscheidungshilfe ist ein einfacher Baum. Er ersetzt keine Rechtsprüfung im Einzelfall, vermeidet aber die häufigsten Fehlstarts.

  1. Sind Sie ein Finanzunternehmen im Sinne von DORA? Dann prüfen Sie zuerst DORA. Dazu gehören insbesondere Banken, Versicherer, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Krypto-Dienstleister und bestimmte Finanzmarktinfrastrukturen.
  2. Sind Sie zugleich eine wesentliche oder wichtige Einrichtung nach NIS2? Dann prüfen Sie zusätzlich NIS2 beziehungsweise das nationale Umsetzungsrecht.
  3. Regeln beide denselben Sachverhalt? Dann prüfen Sie, ob DORA die speziellere und mindestens gleichwertige Regel enthält. In diesem Fall geht DORA vor.
  4. Sind Sie IT-Dienstleister für Finanzunternehmen? Dann prüfen Sie DORA nicht nur auf unmittelbare Geltung, sondern auch auf mittelbare Vertragspflichten.
  5. Sind Sie kein Finanzunternehmen, aber in einem NIS2-Sektor tätig? Dann ist NIS2 Ihr Primärregime.

Als kompakte Textentscheidungshilfe funktioniert auch diese Matrix:

Wenn das auf Sie zutrifftDann ist Ihr Primärregime
Bank, Versicherer, Zahlungsdienst, WertpapierfirmaDORA
Energie, Wasser, Gesundheit, Verkehr, digitale InfrastrukturNIS2
Bank oder Versicherer mit zusätzlicher NIS2-EinordnungDORA plus ergänzende NIS2-Prüfung
MSP/MSSP oder SaaS-Anbieter mit vielen FinanzkundenNIS2 plus DORA-Vertragspflichten
Krypto-Dienstleister ohne klassische NIS2-Sektorrollemeist DORA

Wenn Sie intern einen belastbaren Entscheidungsbaum dokumentieren wollen, reicht oft schon eine Seite mit fünf Ja-/Nein-Fragen, Verantwortlichen und einem Verweis auf die zuständige Rechts- oder Compliance-Funktion. Wichtig ist nicht die grafische Perfektion, sondern dass alle Bereiche dieselbe Erstlogik anwenden.

Häufig gestellte Fragen (FAQ)

Kann ein Unternehmen unter beide fallen?

Ja, ein Unternehmen kann gleichzeitig unter DORA und NIS2 fallen. Das betrifft insbesondere Banken, Versicherer, Finanzmarktinfrastrukturen und bestimmte IKT-Dienstleister mit kritischer Rolle. Entscheidend ist dann nicht die Frage „welches Regelwerk gilt überhaupt“, sondern „welches Regelwerk gilt für welchen Regelungsgegenstand vorrangig“.

Was passiert, wenn NIS2 und DORA kollidieren?

Wenn NIS2 und DORA denselben Sachverhalt regeln, hat DORA als speziellere sektorspezifische Regelung Vorrang, soweit sie mindestens gleichwertige Anforderungen enthält. Genau dafür steht die lex-specialis-Logik aus Art. 4 NIS2 in Verbindung mit Art. 1 Abs. 2 DORA. Eine Kollision führt also nicht automatisch zur Unanwendbarkeit von NIS2 insgesamt.

Welche Bußgelder sind höher?

Die Antwort hängt von der Adressatengruppe ab. NIS2 nennt für wesentliche Einrichtungen klare Höchstgrenzen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes und für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. DORA ist bei kritischen IKT-Drittdienstleistern besonders scharf, weil Zwangsgelder pro Tag für bis zu sechs Monate möglich sind. Für klassische Finanzunternehmen ist daher keine pauschale „höher oder niedriger“-Antwort seriös; die Sanktionslogik ist unterschiedlich.

Gibt es eine einheitliche Aufsichtsbehörde?

Nein, eine einheitliche Aufsichtsbehörde gibt es nicht. NIS2 ist grundsätzlich national organisiert, während DORA zusätzlich in die Struktur der Finanzaufsicht eingebettet ist. Unternehmen brauchen deshalb oft ein Aufsichtsbild mit mehreren Melde- und Kommunikationsachsen statt nur eines zentralen Kanals.

Gilt DORA auch für mein Unternehmen, wenn ich nur IT an Banken liefere?

Nicht automatisch als unmittelbarer Primäradressat, aber sehr häufig mittelbar über Verträge und Kontrollanforderungen. Sobald Finanzkunden DORA-konforme Resilienz-, Audit-, Incident- und Exit-Pflichten an Sie weiterreichen, wird DORA für Ihre Leistungserbringung praktisch relevant, auch wenn Ihr eigenes Primärregime eher NIS2 ist.

Fazit: Zuerst richtig qualifizieren, dann harmonisieren

Die entscheidende Antwort auf die Frage „DORA vs. NIS2: Welche Regulierung gilt?“ lautet: Sie brauchen zuerst eine saubere Qualifizierung Ihres Unternehmens und erst danach eine Harmonisierung Ihrer Pflichten. Finanzunternehmen beginnen mit DORA. Nichtfinanzielle kritische und wichtige Einrichtungen beginnen mit NIS2. Überschneidungsfälle verlangen keine Entweder-oder-Entscheidung, sondern eine dokumentierte lex-specialis-Matrix.

Wenn Sie diesen Schritt sauber machen, lösen sich viele Folgefragen schneller: Welche Meldefrist läuft zuerst, welche Aufsicht ist zuständig, welches Drittparteienmodell ist erforderlich und welche Teams brauchen welche Schulung? Genau dort scheitern viele Projekte, weil sie zu früh mit Maßnahmen beginnen und zu spät mit der Rechtsabgrenzung.

Wenn Sie DORA- und NIS2-Pflichten für Management, Compliance, Informationssicherheit und Fachbereiche gemeinsam verständlich machen wollen, ist eine strukturierte Weiterbildung der schnellste Weg. Nutzen Sie dafür unseren Kurskontext und vertiefen Sie die Grundlagen zuerst über DORA-Verordnung, DORA-Anforderungen, CRA vs. NIS2, CRA, NIS2 und AI Act sowie die Branchenseite Versicherungen.

Primärquellen und offizielle Hinweise

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →