Regulatorischer Leitfaden . Aktualisiert für 2025

Unterschiede DORA vs. NIS2: Was Compliance-Teams wirklich wissen müssen

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: DORA und NIS2 schreiben beide operationelle Resilienz in der EU vor, unterscheiden sich jedoch in der Rechtsform, im sektoralen Geltungsbereich, in den Meldefristen, in den Sanktionen und in der Aufsicht über Drittparteien.

Beide Regelwerke sind 2025 in Kraft getreten. Beide verlangen operationelle Resilienz. Doch sie unterscheiden sich in Geltungsbereich, Durchsetzung und in dem, was sie von Ihrer Organisation verlangen. Hier ist die massgebliche Übersicht , kein juristisches Fachchinesisch, sondern umsetzbare Klarheit.

Die kostenlose Vergleichsmatrix DORA vs. NIS2 herunterladen

Keine Anmeldehürde , nur Ihre E-Mail-Adresse. Inklusive druckbarer Vergleichsmatrix mit Umsetzungshinweisen.

Vertraut von Compliance-Teams, die programmübergreifend mehrere Einheiten in ganz Europa verwalten

Flugzeughersteller Zurzach Care Medtec AXA
Wesentliche Unterschiede erklärt

Wo DORA und NIS2 auseinandergehen , und warum das für Ihr Programm wichtig ist

Die Tabelle verschafft Ihnen den Überblick. Bei diesen sechs Dimensionen tappen Compliance-Teams am häufigsten in die Falle , und wer sie richtig handhabt, spart sich Monate an Nacharbeit.

01 . Rechtsinstrument

Verordnung vs. Richtlinie: Das ändert alles

DORA ist eine EU-Verordnung , unmittelbar in allen 27 Mitgliedstaaten anwendbar, ohne dass eine Umsetzung in nationales Recht erforderlich ist. Die Regeln sind dieselben, ob Sie von Frankfurt oder Helsinki aus tätig sind. NIS2 ist eine Richtlinie, das heisst, jeder Mitgliedstaat muss sie in nationales Recht umsetzen. Das führt zu echten Abweichungen: Meldeschwellen, Durchsetzungsmechanismen und sogar die Frage, welche Einheiten überhaupt erfasst werden, können von Land zu Land variieren.

Für Konzerne mit mehreren Einheiten über verschiedene Rechtsordnungen hinweg bedeutet das: DORA-Compliance ist ein einziges Programm. NIS2-Compliance können hingegen mehrere sein , eines pro Land, in dem Ihre Einheiten registriert sind.

Ergebnis: Organisationen mit Tochtergesellschaften in 5+ EU-Ländern sehen sich mit bis zu 5 unterschiedlichen NIS2-Umsetzungen konfrontiert, während DORA einheitlich bleibt.

Quelle: DORA-Verordnung (EU) 2022/2554; NIS2-Richtlinie (EU) 2022/2555

02 . Geltungsbereich & Sektorabdeckung

Finanzdienstleistungen vs. 18 kritische Sektoren

DORA gilt ausschliesslich für den Finanzsektor: Banken, Versicherer, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen und , entscheidend , deren IKT-Drittdienstleister. Rund 22'000 Einheiten fallen in den Geltungsbereich. NIS2 spannt ein deutlich weiteres Netz über 18 Sektoren auf, darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur und öffentliche Verwaltung, und erfasst schätzungsweise 160'000 Einheiten in der gesamten EU.

Verwirrung entsteht an der Schnittstelle: Ein Anbieter von Finanzmarktinfrastruktur könnte für beide Regelwerke in den Geltungsbereich fallen. Zu verstehen, welches Regelwerk Vorrang hat (DORA, als lex specialis), verhindert doppelte Compliance-Arbeit.

Ergebnis: ~160'000 Einheiten im Geltungsbereich von NIS2 gegenüber ~22'000 unter DORA , doch die Überschneidungszone ist dort, wo die Compliance-Kosten in die Höhe schnellen.

Quelle: Folgenabschätzungen der Europäischen Kommission zu DORA und NIS2, 2022

03 . Fristen für die Meldung von Vorfällen

4 Stunden vs. 24 Stunden , das Zeitfenster, das Teams überrascht

DORA verlangt eine Erstmeldung an Ihre Finanzaufsichtsbehörde innerhalb von 4 Stunden nach der Einstufung eines schwerwiegenden IKT-bezogenen Vorfalls, gefolgt von einem Zwischenbericht innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. NIS2 gewährt ein weiteres anfängliches Zeitfenster , eine Frühwarnung innerhalb von 24 Stunden , folgt aber einem ähnlichen Ablauf: vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats.

Dieses 4-Stunden-Fenster von DORA bedeutet, dass Finanzunternehmen vorbereitete Kriterien zur Klassifizierung von Vorfällen und Meldevorlagen bereithalten müssen, bevor ein Vorfall eintritt , nicht erst währenddessen.

Ergebnis: Das 4-Stunden-Fenster für die Erstmeldung unter DORA ist 6-mal enger als die 24-Stunden-Frühwarnpflicht von NIS2.

Quelle: DORA Art. 19; NIS2 Art. 23

04 . Risiken durch Drittparteien & Lieferketten

DORA geht bei der Aufsicht über Lieferanten tiefer . Deutlich tiefer

Beide Regelwerke verlangen von Organisationen, die Cybersicherheitsrisiken der Lieferkette zu steuern, doch die Tiefe unterscheidet sich erheblich. NIS2 verlangt von den Einheiten, die Cybersicherheit ihrer Lieferanten zu beurteilen und angemessene Massnahmen zu ergreifen. DORA schreibt einen umfassenden Rahmen für das Management von IKT-Drittparteienrisiken vor, einschliesslich vertraglicher Anforderungen, Analysen des Konzentrationsrisikos und Ausstiegsstrategien für kritische Anbieter.

Am bedeutsamsten ist, dass DORA den Lead-Overseer-Rahmen einführt , der die Europäischen Aufsichtsbehörden (ESAs) befähigt, kritische IKT-Drittdienstleister direkt zu beaufsichtigen. Unter NIS2 existiert kein vergleichbarer Mechanismus.

Ergebnis: Der Lead-Overseer-Rahmen von DORA schafft eine direkte Aufsicht auf EU-Ebene über kritische IKT-Anbieter , ein Novum in der europäischen Finanzregulierung.

Quelle: DORA Kapitel V, Abschnitt II; NIS2 Art. 21(2)(d)

05 . Test- & Resilienzpflichten

Verpflichtende Penetrationstests vs. allgemeine Auditpflichten

DORA führt für bedeutende Finanzunternehmen verpflichtende bedrohungsgeleitete Penetrationstests (Threat-Led Penetration Testing, TLPT) alle drei Jahre ein , nach dem Vorbild des TIBER-EU-Rahmens. Dabei handelt es sich nicht um gewöhnliche Schwachstellen-Scans. Es sind Red-Team-Übungen, die echte Angreifertaktiken gegen kritische Produktivsysteme simulieren.

NIS2 verfolgt einen breiteren, aber weniger präskriptiven Ansatz und verlangt von den Einheiten, ihre Cybersicherheitsmassnahmen regelmässig zu testen und zu auditieren, ohne TLPT oder eine bestimmte Testmethodik vorzuschreiben. Die praktische Konsequenz: DORA-Compliance-Budgets müssen spezialisierte Red-Team-Einsätze einkalkulieren, die NIS2 nicht verlangt.

Ergebnis: Die von DORA vorgeschriebenen TLPT-Übungen kosten bedeutende Finanzunternehmen in der Regel zwischen 200'000 € und 500'000 € pro Zyklus.

Quelle: DORA Art. 26; Branchenschätzungen europäischer TLPT-Anbieter, 2024

06 . Sanktionen & Durchsetzung

Tägliche Bussen vs. umsatzbasierte Obergrenzen . Unterschiedliche Schmerzpunkte

NIS2 folgt dem Sanktionsmodell der DSGVO: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einheiten und bis zu 7 Mio. € oder 1,4 % für wichtige Einheiten. Dies sind auf Obergrenzen basierende, einmalige Bussen, die nach der Feststellung eines Verstosses verhängt werden.

DORA führt einen anderen Mechanismus ein: regelmässige Zwangsgelder von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes , pro Tag , bis die Compliance erreicht ist. Für ein Finanzunternehmen mit 1 Mrd. € Jahresumsatz entspricht das rund 27'000 € pro Tag des Verstosses. Der kumulierende Charakter der DORA-Sanktionen macht eine verzögerte Behebung exponentiell teuer.

Ergebnis: Das tägliche Sanktionsmodell von DORA bedeutet, dass eine Einheit mit 1 Mrd. € Umsatz mit ~27'000 €/Tag konfrontiert ist, bis die Compliance erreicht ist , eine grundlegend andere Risikorechnung als die auf Obergrenzen basierenden Bussen von NIS2.

Quelle: DORA Art. 35(8); NIS2 Art. 34

Nebeneinander

DORA vs. NIS2: Vergleichstabelle zum schnellen Nachschlagen

Eine druckbare Version ist in der kostenlosen Vergleichsmatrix weiter unten enthalten.

Dimension DORA NIS2
Rechtsinstrument Verordnung , unmittelbar in allen EU-Mitgliedstaaten anwendbar Richtlinie , erfordert nationale Umsetzung (variiert je nach Land)
Datum des Inkrafttretens 17.01.2025 18.10.2024 (Umsetzungsfrist); Durchsetzung variiert je nach Mitgliedstaat
Sektoraler Geltungsbereich Nur Finanzsektor (~22'000 Einheiten) 18 kritische Sektoren (~160'000 Einheiten)
Einstufung der Einheiten Nach Art des Finanzunternehmens (Banken, Versicherer, Wertpapierfirmen usw.) Wesentliche Einheiten vs. wichtige Einheiten (auf Basis von Grösse und Sektor)
Erstmeldung eines Vorfalls 4 Stunden nach Einstufung 24 Stunden (Frühwarnung)
Zwischenbericht 72 Stunden 72 Stunden (vollständige Meldung)
Abschlussbericht 1 Monat 1 Monat
Aufsicht über Drittparteien Lead-Overseer-Rahmen , direkte ESA-Aufsicht über kritische IKT-Anbieter Allgemeine Pflichten zum Lieferketten-Risikomanagement
Testanforderungen Verpflichtendes TLPT alle 3 Jahre für bedeutende Einheiten Regelmässige Tests und Audits (Methodik nicht vorgeschrieben)
Sanktionen Bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes , pro Tag Bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes (wesentlich); 7 Mio. € oder 1,4 % (wichtig)
Aufsichtsbehörde Nationale Finanzaufsichtsbehörden + ESAs Nationale CSIRTs und zuständige Behörden
Überschneidungsregel Lex specialis . DORA hat für Finanzunternehmen Vorrang Tritt gegenüber sektorspezifischer Regulierung zurück, wo anwendbar

Quellen: DORA-Verordnung (EU) 2022/2554; NIS2-Richtlinie (EU) 2022/2555; Folgenabschätzungen der Europäischen Kommission, 2022

200+

Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Medtec verlagerte im ersten Jahr mit Priverion über 200 Stunden von der manuellen Dokumentation des Verarbeitungsverzeichnisses auf die Vorbereitung der ISO-27001-Zertifizierung

60%

Weniger Zeit für Compliance-Verwaltung

Ein Flugzeughersteller reduzierte den Zeitaufwand für die Compliance-Verwaltung in den ersten 6 Monaten auf der Plattform um 60 %

3 Mt.

Dem Zeitplan bei ISO 27001 voraus

Medtec stellte mit der automatisierten Dokumentation von Priverion auditfertige Nachweispakete drei Monate vor dem Zeitplan der ISO-27001-Zertifizierung bereit

Kostenlose Ressource

Die Vergleichsmatrix DORA vs. NIS2 herunterladen

Eine druckbare, weitergebbare Referenz zu allen sechs Dimensionen , Geltungsbereich, Fristen, Sanktionen, Tests, Aufsicht über Drittparteien und der Überschneidungsregel. Inklusive Umsetzungshinweisen für Organisationen mit mehreren Einheiten.

Ihre E-Mail-Adresse wird ausschliesslich zum Versand des PDFs verwendet. Kein Spam, keine Drip-Kampagnen. Jederzeit abbestellbar.

Im Lieferumfang enthalten

  • Vergleichstabelle nebeneinander (druckfertiges A4-Format)
  • Alle sechs Unterschiedsdimensionen mit Verweisen auf die regulatorischen Artikel
  • Umsetzungshinweise für Organisationen mit mehreren Einheiten und mehreren Rechtsordnungen
  • Überschneidungsanalyse: wann sowohl DORA als auch NIS2 für dieselbe Einheit gelten
  • Referenz für den Sanktionsrechner: tägliche DORA-Bussen vs. NIS2-Obergrenzen
Vergleich

Warum Mid-Market-Unternehmen OneTrust hinter sich lassen

OneTrust bediente ein breites Käuferprofil, einschliesslich Fortune-500-Organisationen mit grösseren, dedizierten GRC-Teams. Sie benötigen Compliance auf Enterprise-Niveau , ohne die Enterprise-Komplexität, das Enterprise-Budget oder die sechsmonatige Einführung.

Die Erfahrung mit OneTrust

Preise pro Nutzer und pro Modul

Die Kosten explodieren, sobald Sie Tochtergesellschaften, Module und Teammitglieder hinzufügen. Budgetüberraschungen sind die Regel, nicht die Ausnahme.

In den USA gehostete Infrastruktur

Nach Schrems II führt die Übermittlung von Personendaten an in den USA gehostete Plattformen zu rechtlichen Risiken, die die meisten Rechtsabteilungen europäischer Organisationen nicht mittragen wollen.

Komplexitätssteuer

Über 200 Funktionen, die Sie nie nutzen werden. Monatelange Einführung. Dedizierte Berater allein für die Konfiguration der Grundlagen erforderlich.

Breit, aber oberflächlich

Deckt ESG, Ethik, Cookie-Einwilligung und alles andere ab , doch das Datenschutzmanagement über mehrere Einheiten hinweg, also genau das, was Sie wirklich brauchen, geht in der Weitläufigkeit unter.

Langsame Wertschöpfung

Enterprise-Einführungen, die sich über 6 bis 12 Monate hinziehen, bevor Ihr Team einen spürbaren ROI sieht.

Die Erfahrung mit Priverion

Vorhersehbare, transparente Preise

Basierend auf der Anzahl der Einheiten und der Organisationsgrösse , nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder hinzu, ohne dass Ihre Rechnung steigt. Keine Expansionsfallen.

In der Schweiz gehostet, europäische Datenresidenz

Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur. In einer Welt nach Schrems II ist das kein Marketing-Häkchen . es ist die rechtliche Sicherheit, die Ihre Heads of Legal tatsächlich brauchen, um zuzustimmen.

Aufgeräumte UX, für Praktiker gebaut

Entworfen von einem Datenschutzberater, der den Schmerz selbst erlebt hat. Datenschutzbeauftragte und Compliance-Verantwortliche finden sich ohne Schulungshandbücher zurecht. Verantwortliche in den Geschäftsbereichen schliessen Rezertifizierungen ab, ohne der IT hinterherzulaufen.

Tief, wo es zählt

Verarbeitungsverzeichnis, DSFA, Lieferantenrisiken, Betroffenenanfragen, Vorfallmanagement, einheitenübergreifende Datenkartierung und KI-gestützte Compliance , alles auf einer Plattform. Wir decken weder ESG noch Cookie-Einwilligung ab, weil wir uns auf das konzentrieren, was Gruppen-Datenschutzbeauftragte wirklich brauchen.

In Wochen einsatzbereit

Ein Flugzeughersteller senkte den Zeitaufwand für die Compliance-Verwaltung in den ersten sechs Monaten um 60 %. AXA erreichte eine zu 100 % automatisierte Rezertifizierung des Verarbeitungsverzeichnisses. Sie erzielen einen Mehrwert, bevor eine herkömmliche Einführung überhaupt die Anforderungsanalyse abgeschlossen hat.

Flugzeughersteller: erste 6 Monate nach der Einführung. AXA: gemessen am vollständigen Rezertifizierungszyklus des Verarbeitungsverzeichnisses.

Schluss mit dem Datenschutzmanagement in Tabellenkalkulationen

Sehen Sie, wie gruppenweites Datenschutzmanagement aussieht, wenn es tatsächlich funktioniert

In 30 Minuten zeigen wir Ihnen, wie Organisationen wie ein Flugzeughersteller und Zurzach Care die Compliance über jede Tochtergesellschaft hinweg automatisiert haben , und wie sich derselbe Ansatz auf Ihre Gruppenstruktur übertragen lässt. Keine Folien. Kein Verkaufsgespräch. Nur die Plattform, Ihre Fragen und ehrliche Antworten.

60%

Weniger Zeit für Compliance-Verwaltung , Flugzeughersteller, erste 6 Monate

200+

Eingesparte Stunden bei der Auditvorbereitung , Medtec, ISO 27001

Wochen

Bis zum Live-Betrieb , nicht Monate

Eine 30-minütige Präsentation buchen

In der Schweiz entwickelt. In der Schweiz gehostet. Vorhersehbare Preise ohne Fallen pro Nutzer.