NIS2 vs. DORA - Unterschiede der EU Cyber Security Regularien
Noch immer gibt es einen großen Unterschied, was den Kenntnisstand in Unternehmen über die Änderungen von Cyber-Sicherheitsregularien anbelangt. Eine der wichtigsten Änderungen sind dabei die Network-and-Information-Security-Richtlinie 2.0 (NIS-2) und der Digital Operational Resilience Act (DORA). Ziel dieses Blogbeitrags ist es, Sie mit den wichtigsten Unterschieden, Gemeinsamkeiten und Synergien beider Normen vertraut zu machen und Ihnen dabei zu helfen, sich rechtzeitig auf das Inkrafttreten dieser vorzubereiten.
Was ist überhaupt NIS-2?
Die Network-and-Information-Security-Richtlinie 2.0 (NIS-2) ist, wie der Name bereits vermuten lässt, die Aktualisierung der NIS-Richtlinie. NIS-2 ist am 16. Januar 2023 in Kraft getreten ist. Ziel ist dabei insbesondere die Harmonisierung von wichtigen und wesentlichen Unternehmen der Cybersicherheit innerhalb der Europäischen Union (18 Sektoren gemäß NIS-2 Annex I und Annex II). Neben Vorgaben für ein funktionierendes Risikomanagement, werden in der Norm etwa auch Reporting-Pflichten für Unternehmen definiert.
Was ist DORA?
Der Digital Operational Resilience Act (DORA) beschränkt sich hingegen auf den Finanzsektor. Ziel ist es die Widerstandsfähigkeit gegenüber Cyber-Angriffen, etwa bei Denial-of-Service-Attacken, zu gewährleisten. Die Norm fasst dabei die Leitlinien der Europäischen Bankenaufsicht (EBA) in einem kompakten Framework zusammen.
Was sind die Gemeinsamkeiten von NIS-2 und DORA?
Auch wenn beide Rechtsvorschriften auf den ersten Blick sehr unterschiedlich zu sein scheinen, so haben sie doch einiges gemeinsam.
Beide Vorschriften behandeln die Cybersicherheit in Unternehmen, insbesondere die Risiken, die durch den Einsatz von Informations- und Kommunikationstechnik (IKT) entstehen, im Rahmen eines Risikomanagements. Sowohl NIS-2 in Teilen und DORA insgesamt beschreiben Anforderungen an Finanzdienstleister. Beide Richtlinien beziehen dabei auch die Lieferketten mit ein, sodass sich Unternehmen, die eigentlich nicht direkt von den Normen betroffen sind gezwungen sehen, Maßnahmen wie etwa für Risikobewertungen umzusetzen.
Weiterhin definieren beide Vorschriften auch Strafen, die Unternehmen, aber auch Personen selbst (etwa dem Top Management und der Geschäftsführung) bei Nichteinhaltung drohen. Analog zur Datenschutzgrundverordnung richtet sich die Strafe entweder nach dem Jahresumsatz oder einer festgelegten Summe (je nachdem welcher Wert höher ausfällt).
Wo liegen die Unterschiede der beiden Normen?
Auch wenn Gemeinsamkeiten zwischen NIS-2 und DORA existieren, unterscheiden sich beide im Kern doch grundlegend voneinander.
NIS-2 fokussiert sich darauf die Cybersicherheit EU-weit zu harmonisieren und insbesondere auch Informationen nach erfolgreichen Angriffen mit den Mitgliedsstaaten zu teilen. Es werden dabei grobe Anforderungen an die Informationssicherheit (vor allem das Risikomanagement) gestellt und Anforderungen an das Reporting gestellt.
Anders als bei NIS-2, zielt DORA hauptsächlich auf die Betriebsstabilität ab. So sollen trotz erfolgreicher Angriffe die Funktionsfähigkeit gewährleisten werden. Dabei stellt die Norm auf konkretere Anforderungen, etwa die Durchführung von Penetration-Tests und Sicherheitsaudits ab.
Welche Norm ist anzuwenden, wenn Sie sowohl von NIS-2 als auch DORA betroffen sind?
DORA definiert viele der Anforderungen weiter aus, die in NIS-2 aufgeführt werden. Da DORA allerdings einen speziellen Sektor reglementiert, bedeutet dies, dass DORA vorrangig zu betrachten ist (lex specialis). In den Fällen dagegen, in denen dagegen NIS-2 Bereiche reguliert, die nicht in DORA betrachtet werden, ist NIS-2 dennoch zu betrachten.
Sollten Sie DORA betrachten, wenn Sie nur NIS-2 unterliegen?
Wie bereits erwähnt sind Anforderungen auf Basis von DORA deutlich spezifischer ausgestaltet als bei NIS-2. Es kann also sinnvoll sein diese heranzuziehen, um einen ersten Überblick darüber zu erhalten, wie das eigene Unternehmen im Vergleich aufgestellt ist. So können etwa Bereiche identifiziert werden, in denen keine oder noch kaum Maßnahmen getroffen wurden, um sich auf NIS-2 vorzubereiten.
Bis wann haben Sie Zeit die Vorgaben umzusetzen und wie kann COMPLION dabei unterstützen?
NIS-2 ist bereits seit Januar 2023 in Kraft getreten. Die Mitgliedstaaten haben bis zum Oktober Zeit die Richtlinie in nationales Recht zu überführen.
DORA dagegen ist eine Verordnung und tritt 2025 in Kraft. Die Überführung in nationales Recht ist hierbei nicht notwendig.
COMPLION ist Ihr vertrauenswürdiger Partner in Sachen Compliance. Mit langjähriger Erfahrung im KRITIS-Bereich und insbesondere im Finanzsektor sind wir Ihr Ansprechpartner, wenn es darum geht Sie vorzubereiten.
Verfasser: Robin Enste