ConformScan
Kostenlos scannen
DORANIS2EU ComplianceVergleich

DORA vs NIS2: Welche EU-Richtlinie gilt für Sie? Der komplette Leitfaden 2026

DORA und NIS2 verglichen: Anwendungsbereich, Anforderungen, Strafen, Überschneidungen. So bauen Sie eine Compliance-Strategie, die beide EU-Verordnungen effizient abdeckt.

21. März 2026·11 min Lesezeit·
ConformScan

DORA und NIS2 sind die beiden bedeutendsten EU-Cybersicherheitsregulierungen des Jahrzehnts — und beide sind jetzt in Kraft. NIS2 wurde im Oktober 2024 durchsetzbar. DORA gilt seit Januar 2025. Wenn Ihre Organisation im Finanzsektor tätig ist oder kritische Infrastruktur in Europa verwaltet, unterliegen Sie möglicherweise einer oder beiden. Dieser Leitfaden schlüsselt die Unterschiede, die Überschneidungen und den Aufbau einer effizienten Compliance-Strategie auf, die beide abdeckt.

DORA in 60 Sekunden

Der Digital Operational Resilience Act (EU 2022/2554) ist eine sektorspezifische Verordnung für Finanzunternehmen. Er schreibt IKT-Risikomanagement, Meldung von Vorfällen, Tests der digitalen operationellen Resilienz und Drittparteien-Risikomanagement vor. DORA gilt für Banken, Versicherer, Wertpapierfirmen, Zahlungsinstitute, Kryptowert-Dienstleister und kritische IKT-Drittanbieter.

Kernmerkmal: DORA gilt nach Sektor, nicht nach Größe. Ein zweiköpfiges Fintech steht genauso im Anwendungsbereich wie eine Großbank.

NIS2 in 60 Sekunden

Die Netz- und Informationssicherheitsrichtlinie 2 (EU 2022/2555) ist eine sektorübergreifende Richtlinie, die wesentliche und wichtige Einrichtungen in 18 Sektoren abdeckt. Sie erfordert Risikomanagementmaßnahmen, Meldung von Vorfällen, Lieferkettensicherheit und Managementverantwortlichkeit. NIS2 gilt basierend auf Sektor UND Größe: typischerweise 50+ Mitarbeiter oder €10 Mio.+ Umsatz in einem abgedeckten Sektor.

Kernmerkmal: NIS2 ist eine Richtlinie — Mitgliedstaaten müssen sie in nationales Recht umsetzen. Die Umsetzung variiert je nach Land. DORA ist eine Verordnung — sie gilt direkt und einheitlich in allen EU-Mitgliedstaaten.

Anwendungsbereich: Wer ist betroffen?

DORA-Anwendungsbereich

  • Kreditinstitute (Banken)
  • Zahlungsinstitute und E-Geld-Institute
  • Wertpapierfirmen und Fondsmanager
  • Versicherungs- und Rückversicherungsunternehmen
  • Ratingagenturen
  • Kryptowert-Dienstleister (CASPs)
  • Zentralverwahrer
  • Transaktionsregister
  • Kritische IKT-Drittdienstleister (von den ESAs benannt)

Keine Größenschwelle. Sektorzugehörigkeit bestimmt die Anwendbarkeit.

NIS2-Anwendungsbereich

  • Wesentliche Einrichtungen (groß): Energie, Transport, Banken, Gesundheit, Wasser, digitale Infrastruktur, IKT-Dienstverwaltung, öffentliche Verwaltung, Weltraum
  • Wichtige Einrichtungen (mittel): Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung, digitale Anbieter, Forschung

Größenschwellen gelten: in der Regel 50+ Mitarbeiter oder €10 Mio.+ Umsatz für wichtige Einrichtungen; 250+ Mitarbeiter oder €50 Mio.+ Umsatz für wesentliche Einrichtungen.

Die Überschneidungszone

Finanzunternehmen (Banken, Versicherer, Zahlungsanbieter) fallen unter sowohl DORA als auch NIS2. Artikel 4 von NIS2 adressiert dies explizit: Wo sektorspezifisches EU-Recht (wie DORA) Cybersicherheitsanforderungen auferlegt, die mindestens gleichwertig mit NIS2 sind, hat DORA Vorrang. In der Praxis bedeutet das, dass Finanzunternehmen sich primär auf DORA-Compliance konzentrieren sollten.

Anforderungsvergleich

Risikomanagement

  • DORA (Art. 5–16): Umfassendes IKT-Risikomanagement-Framework. Erfordert Identifikation aller IKT-Assets, Datenklassifizierung, Schutzmaßnahmen, Erkennungsfähigkeiten, Reaktions- und Wiederherstellungspläne sowie Lernprozesse. Spezifische technische Anforderungen für jede Domäne.
  • NIS2 (Art. 21): Risikobasierter Cybersicherheitsansatz. 10 Mindestmaßnahmen einschließlich Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, Netzwerksicherheit, Schwachstellenmanagement, Kryptografie, Zugangskontrolle, MFA und Cyberhygiene. Weniger präskriptiv als DORA bei Implementierungsdetails.

Meldung von Vorfällen

  • DORA: Dreistufige Meldung für schwerwiegende IKT-Vorfälle: Erstmeldung innerhalb von 4 Stunden nach Klassifizierung (oder 24h nach Kenntnis), Zwischenbericht innerhalb von 72 Stunden, Abschlussbericht innerhalb von 1 Monat.
  • NIS2: Zweistufige Meldung: Frühwarnung innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls, vollständige Benachrichtigung innerhalb von 72 Stunden. Abschlussbericht innerhalb von 1 Monat.

Drittparteien-/Lieferkettenrisiko

  • DORA (Art. 28–44): Umfangreiche Anforderungen. Schriftliche Verträge mit allen IKT-Anbietern. Register der Drittparteienabhängigkeiten. Exit-Strategien. Jährliche Konzentrationsrisikobewertung. Kritische IKT-Anbieter unterliegen direktem EU-Aufsichtsrahmen.
  • NIS2 (Art. 21(2)(d)): Lieferkettensicherheit ist eine der 10 Mindestmaßnahmen, aber die Anforderungen sind weit weniger detailliert als bei DORA.

Tests

  • DORA (Art. 24–27): Schreibt jährliches IKT-Testprogramm vor. Bedeutende Finanzunternehmen müssen alle 3 Jahre Threat-Led Penetration Testing (TLPT) nach dem TIBER-EU-Framework durchführen.
  • NIS2: Verlangt Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen, schreibt aber keine spezifischen Testmethoden wie TLPT vor.

Strafenvergleich

  • DORA: Bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes pro Tag der Nichteinhaltung. Für kritische IKT-Anbieter: bis zu €5 Mio. oder 1 % des Umsatzes.
  • NIS2: Wesentliche Einrichtungen: bis zu €10 Mio. oder 2 % des weltweiten Umsatzes. Wichtige Einrichtungen: bis zu €7 Mio. oder 1,4 %. Persönliche Haftung der Geschäftsführung.

Infrastruktur-Controls-Überschneidung: ~40 %

Auf der technischen Infrastrukturebene teilen DORA und NIS2 ungefähr 40 % ihrer Controls. Beide erfordern:

  • Verschlüsselung im Ruhezustand und während der Übertragung
  • MFA und Least-Privilege-Zugangskontrolle
  • Umfassende Protokollierung und Überwachung
  • Backup- und Wiederherstellungsfähigkeiten
  • Netzwerksicherheit und Segmentierung
  • Schwachstellenmanagement und Patching
  • Incident-Erkennungs- und Reaktionsfähigkeiten

Das bedeutet, dass die Behebung dieser gemeinsamen Controls Anforderungen beider Regulierungen gleichzeitig erfüllt.

Compliance-Strategie für beide: praktischer Ansatz

  1. Mit Infrastruktur-Controls beginnen: Führen Sie einen Framework-übergreifenden Scan gegen Ihre AWS- oder Azure-Umgebung durch. Beheben Sie Verschlüsselungs-, IAM-, Protokollierungs- und Netzwerkprobleme — diese erfüllen sowohl DORA als auch NIS2.
  2. DORA-spezifische Anforderungen aufschichten: Wenn Sie im Finanzsektor sind, fügen Sie DORA-spezifische Elemente hinzu: IKT-Asset-Register, Vertragsüberprüfung Dritter, Incident-Klassifizierungsprozess (4h-Frist) und TLPT-Programm.
  3. NIS2-Governance adressieren: Stellen Sie sicher, dass Vorstandsschulungen, Lieferketten-Risikobewertungen und Meldeverfahren vorhanden sind.
  4. Nachweiserhebung automatisieren: Beide Regulierungen erfordern kontinuierliche Überwachung, keine punktuellen Audits. Geplantes Scanning liefert den Nachweis-Trail für beide.

Framework-übergreifendes Scanning mit ConformScan

ConformScan führt DORA-, NIS2-, BSI-C5-, DSGVO- und ISO-27001-Prüfungen in einem einzigen Scan durch. Für jeden Fund sehen Sie, welche Regulierungen betroffen sind — so können Sie Fixes priorisieren, die die meisten Anforderungen gleichzeitig erfüllen. Ein Scan, mehrere Frameworks, einheitliche Abhilfe.

Framework-übergreifenden Scan starten →

Bereit, Ihre Infrastruktur zu prüfen?

1 kostenloser Scan/Monat · Keine Kreditkarte · Ergebnisse in unter 2 Minuten · Gehostet in Deutschland

Kostenlos scannen →

Weitere Compliance-Leitfäden

WizDrata

ConformScan vs Wiz, Drata, Vanta: Der EU-Cloud-Compliance-Vergleich 2026

10 min Lesezeit

BSI C5Scanner

Top 5 BSI C5 Scanner 2026: Der ultimative Vergleichsguide

12 min Lesezeit

DORA vs NIS2: Welche EU-Richtlinie gilt für Sie? Der komplette Leitfaden 2026 | ConformScan Blog