Mit dem Digital Operational Resilience Act (DORA) und der Network and Information Security Directive (NIS2) haben Unternehmen in Europa zwei bedeutende Regularien vor sich, die das Ziel haben, Cybersicherheit und Resilienz zu stärken. Doch wo liegen die Unterschiede, und wann kommt welche Richtlinie zur Anwendung?
Was ist DORA?
DORA ist eine Verordnung der EU, die speziell auf die Finanzbranche abzielt. Sie wurde entwickelt, um die digitale Resilienz von Finanzinstituten wie Banken, Versicherungen und Wertpapierfirmen zu erhöhen. DORA legt dabei besonderen Wert auf die Sicherstellung der Betriebsfähigkeit unter Cyberangriffen, wobei der Schwerpunkt auf der Widerstandsfähigkeit gegenüber IT- und Cyberrisiken liegt. Finanzunternehmen müssen ihre IT-Systeme nicht nur absichern, sondern auch strenge Tests zur Widerstandsfähigkeit durchführen, um sicherzustellen, dass sie auch im Ernstfall funktionsfähig bleiben.
Was ist NIS2?
Die NIS2-Richtlinie ist eine überarbeitete Version der ursprünglichen NIS-Richtlinie und erweitert den Anwendungsbereich erheblich. Sie betrifft nicht nur klassische kritische Infrastrukturen wie Energie, Transport und Gesundheit, sondern auch wichtige und wesentliche Dienstleister, die eine zentrale Rolle für die Wirtschaft und Gesellschaft spielen. Dazu gehören beispielsweise:
- Cloud-Dienste
- Rechenzentren
- Internetdienstanbieter
NIS2 fordert von Unternehmen in diesen Sektoren, umfassende Sicherheitsmaßnahmen zu implementieren, Cybervorfälle zu melden und Risikoanalysen durchzuführen. Wichtig ist jedoch, dass nicht alle Unternehmen, die digitale Dienstleistungen erbringen, automatisch unter NIS2 fallen. Betroffene Organisationen müssen in ihrer Bedeutung und Größe bestimmte Schwellenwerte überschreiten. Unternehmen mit mehr als 50 Mitarbeitern oder 10 Millionen Euro Umsatz gelten als "wichtige" Unternehmen, während größere Unternehmen (über 250 Mitarbeiter oder 50 Millionen Euro Umsatz) als "wesentlich" eingestuft werden.
Wann kommt DORA, wann NIS2 zur Anwendung?
Der Anwendungsbereich der beiden Regularien ist klar voneinander abgegrenzt:
- DORA ist auf die Finanzbranche begrenzt. Unternehmen, die Dienstleistungen im Finanzsektor erbringen oder mit der Finanzinfrastruktur in Verbindung stehen, müssen sich an DORA halten. Dazu gehören Banken, Versicherungen, Zahlungsdienstleister und ähnliche Institutionen.
- NIS2 richtet sich an eine viel breitere Palette von Organisationen, die als wesentlich oder wichtig für das Funktionieren der Gesellschaft und der Wirtschaft angesehen werden. Dies betrifft nicht nur Unternehmen in kritischen Infrastrukturen wie Energie und Gesundheit, sondern auch digitale Dienstleister, sofern diese eine bedeutende Rolle spielen und die festgelegten Schwellenwerte erfüllen.
Fazit
Ob DORA oder NIS2 zur Anwendung kommt, hängt stark vom jeweiligen Sektor und der Bedeutung der angebotenen Dienstleistungen ab. Während DORA die Widerstandsfähigkeit im Finanzsektor regelt, zielt NIS2 auf den Schutz einer breiten Palette von Unternehmen ab, die kritische oder wichtige Dienste für die Gesellschaft erbringen. Gemeinsam haben beide Regularien das Ziel, die digitale Sicherheit in Europa zu stärken und sicherzustellen, dass Systeme und Netzwerke auch in Krisenzeiten zuverlässig funktionieren.
Bei Fragen zu DORA und NIS2 sowie zur Beratung arbeiten wir eng mit unserem Tochterunternehmen, der datiq GmbH, zusammen. Durch die spezialisierte Expertise der datiq GmbH im Bereich Informationssicherheit können wir Sie gemeinsam umfassend unterstützen und sicherstellen, dass Ihr Unternehmen die Anforderungen versteht und umsetzt.
Erfahren Sie mehr über den Support für NIS2 auf der Website der datiq GmbH:
https://www.datiq.de/informationssicherheit/leistungen/support-fuer-nis2-nis2-umsetzungsgesetz
Kontaktieren Sie uns unter 06103 9707-500 oder schreiben Sie uns eine E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.