Zeitenwende in der IT-Sicherheit: ein Vergleich von NIS2 und DORA

Zeitenwende in der IT-Sicherheit: ein Vergleich von NIS2 und DORA 1

Mit der fortschreitenden Digitalisierung sehen sich Unternehmen und Organisationen zunehmend mit komplexen Herausforderungen im Bereich der IT-Sicherheit und digitaler operationaler Resilienz konfrontiert. Innerhalb weniger Monate hat die Europäische Union zwei wichtige Rechtsakte zur Stärkung der IT- und Cybersicherheit verabschiedet, die nun zeitnah in Kraft treten: die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union  („Directive on measures for a high common level of cybersecurity across the Union – NIS2)“ und die Verordnung über die digitale operationale Resilienz im Finanzsektor („Digital Operational Resilience Act“ – DORA).

Beide Rechtsakte sollen für Wirtschaft und Gesellschaft wichtige Unternehmen in der EU gegen Cyberangriffe stärken. Derzeit erhalten NIS2 und DORA viel Aufmerksamkeit, weil die sich die entsprechenden Umsetzungsfristen nähern, die Umsetzung der neuen Anforderungen an die IT-Sicherheit für die betroffenen Unternehmen mitunter jedoch sehr herausfordernd ist. Die Vorgaben aus NIS2 und DORA an die IT-Sicherheit sind vielfältig, komplex und führen oftmals zur Notwendigkeit einer vollständigen Erneuerung der IT-Prozesse in den Unternehmen.

Auch wenn die Intention der EU für NIS2 und DORA auf den ersten Blick ähnlich erscheinen mag, unterscheiden sich die beiden Regularien in wesentlicher Hinsicht. Welche Unterschiede es gibt, welches Verhältnis zwischen den Rechtsakten gilt und welcher der beiden Rechtsakte für Sie relevant ist, klären wir in diesem Artikel.

Zielsetzungen von NIS2 und DORA

  • NIS2 wurde als Reaktion auf die erhöhte Bedrohung von kritischen Infrastrukturen durch digitale Angriffe eingeführt, die sich insbesondere in der Corona-Krise gezeigt haben. NIS2 ist Nachfolgerin der ursprünglichen „Network and Information Directive“ (NIS) aus dem Jahr 2016 und zielt darauf ab, die Cybersicherheitsstandards in der Europäischen Union zu harmonisieren und zu stärken, um insbesondere die Sicherheit und Widerstandsfähigkeit kritischer Sektoren zu gewährleisten. Ihr primäres Ziel ist es, durch konkrete Vorgaben an die IT-Sicherheit und das IT-Risikomanagement die Widerstandsfähigkeit von Netzwerken und Informationssystemen zu erhöhen.
  • DORA konzentriert sich auf den Finanzsektor und ist Teil der breiteren Bestrebungen der EU zur Digitalisierung des Finanzsektors. DORA soll sicherstellen, dass der Finanzsektor in der Lage ist, seine operative Tätigkeit auch bei erheblichen IT-Störungen aufrechtzuerhalten. Die DORA-Vorgaben sollen die Anfälligkeit der Informations- und Kommunikationstechnologie (IKT) der Finanzunternehmen für Cyberbedrohungen und Störungen verbessern. Zudem hat der EU-Gesetzgeber erkannt, dass der Finanzsektor im Bereich IT unter einer großen Abhängigkeit von externen Serviceprovidern steht, weil zunehmend IT-Prozesse und -Infrastrukturen auslagert werden müssen. Hierzu trifft DORA ebenfalls neue und weitreichende Regelungen und ermöglicht in Zukunft die direkte Aufsicht von sog. kritischen IKT-Dienstleistern, die besonders häufig IT-Dienste für den Finanzsektor erbringen und bei denen umfassende Betriebsstörungen potenziell systemische Auswirkungen auf den gesamten Finanzmarkt haben können.

Die unterschiedlichen Ziele spiegeln sich in unterschiedlichen Ausprägungen ähnlicher Anforderungen wider. Dies zeigt sich z.B. darin, dass sich die NIS2-Vorgaben auf die Sicherheit der Lieferkette konzentrieren, während DORA das Management des Risikos im Zusammenhang mit Drittdienstleistern durch umfassende Vorgaben verlangt. Organisationen, die in Deutschland unter NIS2 fallen, müssen alle zwei Jahre durch ein Sicherheitsaudit nachweisen, dass sie die Vorschriften einhalten. DORA stellt strengere Anforderungen an Sicherheitsaudits und fordert mindestens einmal jährlich einen Test der operationalen Resilienz sämtlicher kritischen/wichtigen Funktionen von Finanzunternehmen. NIS2 sieht außerdem hohe und bereits definierte finanzielle Sanktionen für die Nichteinhaltung der Vorgaben vor, während DORA die Beurteilung von Sanktionen den Mitgliedsstaaten und ihren zuständigen Behörden (in Deutschland der BaFin) überlässt.

2. Anwendungsbereich/betroffene Unternehmen

Ein zentraler Unterschied zwischen beiden Regelwerken liegt im Anwendungsbereich.

  • NIS2 richtet sich an eine breite Palette von Sektoren, darunter Bankwesen, Energie, Transport, Gesundheit, Trinkwasser, Lebensmittelherstellung und digitale Infrastrukturen sowie Cloud-Dienste. Sie betrifft sowohl wesentliche Einrichtungen, die als kritisch für die Aufrechterhaltung zentraler gesellschaftlicher Funktionen gelten, als auch wichtige Einrichtungen, die in wirtschaftlich bedeutenden Bereichen tätig sind. NIS2 zielt somit auf eine allgemeine Verbesserung der Cybersicherheit ab und betrifft eine Vielzahl von Branchen. Schätzungen gehen davon aus, dass etwa 25.000 bis 40.000 Unternehmen in Deutschland von NIS2 betroffen sind. Unternehmen müssen sich im Rahmen von NIS2 registrieren und erhalten keinen offiziellen Hinweis darauf, dass sie von NIS2 betroffen sind. Die Betroffenen müssen also selbst erkennen, ob sie in den Geltungsbereich von NIS2 fallen.
  • DORA ist spezifisch auf den Finanzsektor zugeschnitten. Sie regelt die digitale operationale Resilienz von Finanzunternehmen und deren Dienstleistern. DORA legt den Fokus auf Finanzdienstleister und ihre Fähigkeit, IT-Risiken zu managen und auf Cyberbedrohungen zu reagieren, um die Stabilität des Finanzsystems zu gewährleisten. Drittanbieter von IT-Dienstleistungen wie Cloud-Anbieter oder Hosting-Provider, die für den Finanzsektor arbeiten, fallen ebenfalls in den Anwendungsbereich der Verordnung. EU-weit werden etwa 22.000 Finanzunternehmen von DORA betroffen sein – wie hoch die Anzahl der betroffenen Dienstleister für den Finanzsektor und die Anzahl der eingestuften kritischen IKT-Dienstleister ist, wird sich zeigen.

3. Rechtsnatur

NIS2 und DORA sind zwei verschiedene Rechtsinstrumente der Europäischen Union und in ihrer Rechtsnatur unterschiedlich ausgestaltet:

  • NIS2 ist eine europäische Richtlinie, also ein Rechtsakt, in dem ein von den EU-Ländern zu erreichendes Ziel festgelegt wird. Es ist Aufgabe der einzelnen Länder, eigene Rechtsvorschriften zur Verwirklichung dieses Zieles zu erlassen. Jeder Mitgliedstaat hat die notwendigen Maßnahmen zur Erreichung der Ziele der Richtlinie in sein nationales Recht einzubetten. NIS2 ist also nicht direkt auf die betroffenen Unternehmen anwendbar, sondern muss in nationales Recht übertragen werden. In Deutschland erfolgt diese Umsetzung durch das sog. „NIS2-Umsetzungsgesetz“ (aktueller Entwurf der Bundesregierung mit Stand 02.10.2024 NIS2UmsuCG). Der Regierungsentwurf des NIS2UmsuCG wurde am 24.07.2024 verabschiedet. Die Verkündung des Gesetzes wird zum 31.12.2024 erwartet.
  • DORA ist im Gegensatz zu NIS2 als EU-Verordnung ausgestaltet und damit unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Für DORA bedarf es keiner nationalen Umsetzung, denn EU-Verordnungen entfalten sofortige rechtliche Wirkung und gelten ab dem Zeitpunkt ihres Inkrafttretens direkt in allen Mitgliedstaaten. EU-Verordnungen gelten gegenüber nationalem Recht darüber hinaus vorrangig. Die unmittelbare Geltung von DORA führt dazu, dass die von DORA betroffenen Finanzunternehmen mit ihren IKT-Drittdienstleistern keine Übergangsfristen aufgrund nationaler Gesetzgebungsverfahren abwarten können, sondern mit dem Zeitpunkt des Inkrafttretens von DORA am 17.01.2025 vollständig die DORA-Anforderungen umgesetzt haben müssen.

4. Anforderungen an die IT-Sicherheit

NIS2 legt eher grob die Anforderungen an das Risikomanagement und an die IT-Sicherheit der betroffenen Unternehmen fest, während DORA konkretere Maßnahmen wie Penetrationstests und Sicherheitsaudits vorschreibt, um die Funktionsfähigkeit von IT-Systemen des Finanzsektors fortdauernd sicherzustellen.   

  • NIS2 setzt auf die Schaffung eines allgemeinen Rahmens zur Verbesserung der Cybersicherheit. Dazu gehören Anforderungen an das Risikomanagement, die Meldung von Sicherheitsvorfällen und die Durchsetzung von IT-Sicherheitsstandards. Unternehmen, die unter NIS2 fallen, müssen eine Reihe von organisatorischen und technischen Maßnahmen zur Risikominimierung ergreifen, um sicherzustellen, dass ihre Netzwerke und Informationssysteme den neuesten Bedrohungen standhalten können. Dazu gehören unter anderem:
    • Das Vorhalten eines IT-Risikomanagementsystems,
    • regelmäßige Sicherheitsüberprüfungen und
    • Meldepflichten bei Sicherheitsvorfällen
  • DORA wiederum legt einen spezifischeren Fokus auf die operative Resilienz von Finanzinstituten. Die Anforderungen umfassen unter anderem:
    • Management von IT-Risiken
    • IT-Geschäftsfortführungsstrategien und -pläne
    • regelmäßige Tests und ständige Überprüfungen der gesamten IT-Infrastruktur
    • Anforderungen an die Resilienz von Drittanbietern

Besonders hervorzuheben ist, dass DORA eine klare Verpflichtung für Finanzinstitute vorsieht, IT-Risiken aktiv zu managen und regelmäßig Tests durchzuführen, um die Widerstandsfähigkeit gegen Cyberangriffe und andere digitale Bedrohungen sicherzustellen.

5. Regulatorische Durchsetzung und Sanktionen

Beide Regelwerke beinhalten strenge Durchsetzungsmechanismen und Sanktionen für Unternehmen, die ihren Pflichten nicht nachkommen.

  • NIS2: Die NIS2-Richtlinie sieht vor, dass Mitgliedstaaten Aufsichtsbehörden einrichten, die die Einhaltung der Richtlinie überwachen. In Deutschland sind hierfür das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA) zuständig. Für Kreditinstitute und andere Finanzdienstleister übernimmt die BaFin die Aufsicht gemäß NIS2. Es gibt keine direkte Aufsicht durch EU-Behörden für die betroffenen Einrichtungen unter NIS2. Die Aufsicht liegt somit ausschließlich auf nationaler Ebene.Unternehmen, die gegen die Anforderungen der NIS2 verstoßen, drohen empfindliche Sanktionen wie Prüfungen und Kontrollen der Aufsichtsbehörden oder Bußgelder. In der NIS2-Richtlinie sind etwaige Bußgelder konkret definiert:
    • Unternehmen aus wesentlichen Sektoren, wie z.B. aus den Bereichen Bankwesen, Finanzmarktinfrastrukturen und IKT-Dienstleistungen, können mit bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes (je nachdem welcher Betrag höher ist) bestraft werden.
    • Für Unternehmen aus wichtigen Sektoren, wie z.B. Anbieter digitaler Dienste, beträgt das maximale Bußgeld 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres.
  • DORA: Auch DORA enthält klare Regelungen zur Überwachung und Durchsetzung. Nationale Aufsichtsbehörden werden die Einhaltung überwachen und können im Falle von Verstößen Sanktionen verhängen. Finanzunternehmen werden unter DORA zwar primär auch von nationalen Aufsichtsbehörden wie der BaFin und der Bundesbank zusammen mit der Europäischen Zentralbank überwacht, diese arbeiten jedoch eng mit den EU-Behörden zusammen. So spielen beispielsweise die European Securities and Markets Authority (ESMA), die European Banking Authority (EBA) und die European Insurance and Occupational Pensions Authority (EIOPA) eine zentrale Rolle bei der Überwachung und Durchsetzung der DORA-Verordnung auf europäischer Ebene. Diese Behörden koordinieren die Aufsichtsaktivitäten und unterstützen die nationalen Behörden bei der Sicherstellung der digitalen Resilienz im Finanzsektor. IKT-Anbieter, die von der Europäischen Kommission als „kritische IKT-Dienstleister“ eingestuft werden, stehen außerdem direkt unter der Aufsicht von führenden Aufsichtsstellen der ESAs (European Supervisory Authorities). Durch diese direkte EU-Aufsicht integriert DORA eine zusätzliche Überwachungsebene, während NIS2 als Richtlinie die Aufsicht ausschließlich den nationalen Behörden überlässt.DORA enthält keine festen Bußgeldbeträge für die Nichteinhaltung der Anforderungen. Es  bleibt daher bei den Sanktions- und Bußgeldmöglichkeiten, die die Aufsichtsbehörden bereits jetzt haben (z.B. aus den Vorschriften im KWG oder ZAG). Allerdings gibt es spezifische Regelungen für die eingestuften „kritischen IKT-Dienstleister“. DORA erlaubt es führenden Aufsichtsstellen, Bußgelder gegen diese IKT-Anbieter in Höhe von 1 % des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr zu erheben und sie können täglich für bis zu sechs Monate mit einer Geldstrafe belegt werden, bis sie die Vorschriften einhalten

Ein gemeinsamer Aspekt der Sanktionsmechanismen beider Vorschriften ist jedoch die persönliche Haftung des Managements. Sowohl NIS2 als auch DORA sehen vor, dass Mitglieder des Managements für grobe Fahrlässigkeit oder vorsätzliche Verstöße gegen die NIS2- oder DORA-Vorgaben mit ihrem privaten Vermögen haftbar gemacht werden können. Dies bedeutet, dass Führungskräfte nicht nur für die Umsetzung der Cybersicherheitsanforderungen verantwortlich sind, sondern auch persönliche Konsequenzen bei Nichteinhaltung tragen können. Auch der Entwurf des deutschen NIS2UmsuCG sieht eine Privathaftung von Geschäftsführern und leitenden Organen vor. Ein Verzicht des Unternehmens auf Ersatzansprüche gegen die Geschäftsleitung oder ein Vergleich über diese Ansprüche ist unwirksam.

6. Bedeutung für Unternehmen

DORA definiert viele der NIS2-Anforderungen für den speziellen Finanzsektor weiter aus und genießt als lex specialis Vorrang vor den NIS2-Regelungen. Für Unternehmen, die sowohl unter die NIS2 als auch DORA fallen, bedeutet dies, dass sie die DORA-Vorgaben vollständig erfüllen müssen, um den regulatorischen Anforderungen gerecht zu werden. Der Finanzsektor wird dabei durch DORA einer besonders strengen Aufsicht unterzogen, während NIS2 eine breitere Palette von Branchen betrifft. Unternehmen, die nicht zum Finanzsektor gehören, müssen dagegen nur die Vorgaben aus NIS2 beachten. Dennoch kann es auch für diese Unternehmen sinnvoll sein, die konkreteren DORA-Anforderungen heranzuziehen, denn die DORA-Anforderungen können als Referenz dienen, um einen umfassenderen Überblick darüber zu erhalten, wie das Unternehmen im Vergleich zu den strengeren Anforderungen von DORA aufgestellt ist. So gelingt es auch Unternehmen aus dem Nicht-Finanzsektor potenzielle Lücken oder Bereiche zu identifizieren und zeitnah eine entsprechende NIS2-Compliance zu erreichen.

Fazit

Aus rechtlicher Sicht sind sowohl NIS2 als auch DORA wichtige Instrumente, um die Cybersicherheit und digitale Resilienz in Europa zu stärken. Während NIS2 eine breitere Anwendung auf verschiedene kritische Infrastrukturen findet, fokussiert sich DORA speziell auf den Finanzsektor und legt hier besonders hohe Anforderungen an die digitale Resilienz fest. Betroffene Unternehmen müssen sich in beiden Fällen auf strenge regulatorische Anforderungen einstellen, und es wird entscheidend sein, die Anforderungen beider Regelwerke zu integrieren, um rechtliche und operative Risiken zu minimieren.

Das Nebeneinander von NIS2 und DORA wirft einige Herausforderungen auf. Es ist absehbar, dass das gleichzeitige Bestehen zu einem erhöhten bürokratischen Aufwand führt und sich Unternehmen mit unterschiedlichen Anforderungen und Prüfverfahren konfrontiert sehen, was zu einem Audit-Chaos führen könnte. Wünschenswert wäre daher, dass die Regulierungsbehörden darauf achten, Redundanzen zu vermeiden, die Zusammenarbeit der beteiligten Verantwortlichen zu verbessern und klare Leitlinien für die Umsetzung der Regularien bereitstellen.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like