NIS 2 versus DORA-Framework

NIS 2 und DORA sind Rechtsakte der Europäischen Union, die am 27. Dezember 2022 veröffentlicht wurden. Obwohl sie sich beide mit der digitalen Betriebssicherheit und Cybersicherheit beschäftigen, gibt es einige wichtige Unterschiede zwischen ihnen.

Die vollständige Bezeichnung von DORA lautet „Verordnung (EU) 2022/2554 über die digitale Betriebssicherheit im Finanzsektor“. Dabei handelt es sich um eine Verordnung, die direkt anwendbar ist und somit für Finanzinstitute in der gesamten Europäischen Union verbindlich ist. Im Gegensatz dazu ist NIS 2 eine Richtlinie, die von den Mitgliedstaaten in nationales Recht umgesetzt werden muss.

Ein weiterer wichtiger Unterschied besteht darin, für welche Organisationen die Verordnungen gelten. Während NIS 2 sich an alle Unternehmen richtet, die als wesentliche oder wichtige Einrichtungen eingestuft werden, betrifft DORA ausschließlich Finanzinstitute.

Der Schutz, den beide Rechtsakte bieten, unterscheidet sich ebenfalls. Während NIS 2 den Fokus auf Cybersicherheitsmaßnahmen legt, beinhaltet DORA zusätzlich Maßnahmen zur allgemeinen Widerstandsfähigkeit von Finanzinstituten. Dieser Aspekt ist besonders wichtig, um die Auswirkungen von Cyberangriffen auf den Finanzsektor zu minimieren.

Darüber hinaus treten NIS 2 und DORA zu verschiedenen Zeitpunkten in Kraft. NIS 2 ist ab dem 18. Oktober 2024 gültig, während DORA erst am 17. Januar 2025 in Kraft tritt.

Insgesamt sind NIS 2 und DORA wichtige Schritte der EU, um die digitale Betriebssicherheit und Cybersicherheit in der EU zu stärken und die Widerstandsfähigkeit gegenüber Cyberangriffen zu verbessern. Während NIS 2 vor allem auf den Schutz von sensiblen Daten durch Cybersicherheitsmaßnahmen abzielt, legt DORA zusätzlich Wert auf die allgemeine Widerstandsfähigkeit der Finanzinstitute. Durch die Kombination dieser beiden Regelwerke soll ein höheres Maß an Sicherheit und Schutz im Finanzsektor gewährleistet werden.