Unterschiede DORA vs. NIS2: Was Compliance-Teams wirklich wissen müssen
Beide Regelwerke sind 2025 in Kraft getreten. Beide verlangen operationelle Resilienz. Doch sie unterscheiden sich in Geltungsbereich, Durchsetzung und in dem, was sie von Ihrer Organisation verlangen. Hier ist die massgebliche Übersicht , kein juristisches Fachchinesisch, sondern umsetzbare Klarheit.
Die kostenlose Vergleichsmatrix DORA vs. NIS2 herunterladenKeine Anmeldehürde , nur Ihre E-Mail-Adresse. Inklusive druckbarer Vergleichsmatrix mit Umsetzungshinweisen.
Wo DORA und NIS2 auseinandergehen , und warum das für Ihr Programm wichtig ist
Die Tabelle verschafft Ihnen den Überblick. Bei diesen sechs Dimensionen tappen Compliance-Teams am häufigsten in die Falle , und wer sie richtig handhabt, spart sich Monate an Nacharbeit.
01 . Rechtsinstrument
Verordnung vs. Richtlinie: Das ändert alles
DORA ist eine EU-Verordnung , unmittelbar in allen 27 Mitgliedstaaten anwendbar, ohne dass eine Umsetzung in nationales Recht erforderlich ist. Die Regeln sind dieselben, ob Sie von Frankfurt oder Helsinki aus tätig sind. NIS2 ist eine Richtlinie, das heisst, jeder Mitgliedstaat muss sie in nationales Recht umsetzen. Das führt zu echten Abweichungen: Meldeschwellen, Durchsetzungsmechanismen und sogar die Frage, welche Einheiten überhaupt erfasst werden, können von Land zu Land variieren.
Für Konzerne mit mehreren Einheiten über verschiedene Rechtsordnungen hinweg bedeutet das: DORA-Compliance ist ein einziges Programm. NIS2-Compliance können hingegen mehrere sein , eines pro Land, in dem Ihre Einheiten registriert sind.
Ergebnis: Organisationen mit Tochtergesellschaften in 5+ EU-Ländern sehen sich mit bis zu 5 unterschiedlichen NIS2-Umsetzungen konfrontiert, während DORA einheitlich bleibt.
Quelle: DORA-Verordnung (EU) 2022/2554; NIS2-Richtlinie (EU) 2022/2555
02 . Geltungsbereich & Sektorabdeckung
Finanzdienstleistungen vs. 18 kritische Sektoren
DORA gilt ausschliesslich für den Finanzsektor: Banken, Versicherer, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen und , entscheidend , deren IKT-Drittdienstleister. Rund 22'000 Einheiten fallen in den Geltungsbereich. NIS2 spannt ein deutlich weiteres Netz über 18 Sektoren auf, darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur und öffentliche Verwaltung, und erfasst schätzungsweise 160'000 Einheiten in der gesamten EU.
Verwirrung entsteht an der Schnittstelle: Ein Anbieter von Finanzmarktinfrastruktur könnte für beide Regelwerke in den Geltungsbereich fallen. Zu verstehen, welches Regelwerk Vorrang hat (DORA, als lex specialis), verhindert doppelte Compliance-Arbeit.
Ergebnis: ~160'000 Einheiten im Geltungsbereich von NIS2 gegenüber ~22'000 unter DORA , doch die Überschneidungszone ist dort, wo die Compliance-Kosten in die Höhe schnellen.
Quelle: Folgenabschätzungen der Europäischen Kommission zu DORA und NIS2, 2022
03 . Fristen für die Meldung von Vorfällen
4 Stunden vs. 24 Stunden , das Zeitfenster, das Teams überrascht
DORA verlangt eine Erstmeldung an Ihre Finanzaufsichtsbehörde innerhalb von 4 Stunden nach der Einstufung eines schwerwiegenden IKT-bezogenen Vorfalls, gefolgt von einem Zwischenbericht innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. NIS2 gewährt ein weiteres anfängliches Zeitfenster , eine Frühwarnung innerhalb von 24 Stunden , folgt aber einem ähnlichen Ablauf: vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats.
Dieses 4-Stunden-Fenster von DORA bedeutet, dass Finanzunternehmen vorbereitete Kriterien zur Klassifizierung von Vorfällen und Meldevorlagen bereithalten müssen, bevor ein Vorfall eintritt , nicht erst währenddessen.
Ergebnis: Das 4-Stunden-Fenster für die Erstmeldung unter DORA ist 6-mal enger als die 24-Stunden-Frühwarnpflicht von NIS2.
Quelle: DORA Art. 19; NIS2 Art. 23
04 . Risiken durch Drittparteien & Lieferketten
DORA geht bei der Aufsicht über Lieferanten tiefer . Deutlich tiefer
Beide Regelwerke verlangen von Organisationen, die Cybersicherheitsrisiken der Lieferkette zu steuern, doch die Tiefe unterscheidet sich erheblich. NIS2 verlangt von den Einheiten, die Cybersicherheit ihrer Lieferanten zu beurteilen und angemessene Massnahmen zu ergreifen. DORA schreibt einen umfassenden Rahmen für das Management von IKT-Drittparteienrisiken vor, einschliesslich vertraglicher Anforderungen, Analysen des Konzentrationsrisikos und Ausstiegsstrategien für kritische Anbieter.
Am bedeutsamsten ist, dass DORA den Lead-Overseer-Rahmen einführt , der die Europäischen Aufsichtsbehörden (ESAs) befähigt, kritische IKT-Drittdienstleister direkt zu beaufsichtigen. Unter NIS2 existiert kein vergleichbarer Mechanismus.
Ergebnis: Der Lead-Overseer-Rahmen von DORA schafft eine direkte Aufsicht auf EU-Ebene über kritische IKT-Anbieter , ein Novum in der europäischen Finanzregulierung.
Quelle: DORA Kapitel V, Abschnitt II; NIS2 Art. 21(2)(d)
05 . Test- & Resilienzpflichten
Verpflichtende Penetrationstests vs. allgemeine Auditpflichten
DORA führt für bedeutende Finanzunternehmen verpflichtende bedrohungsgeleitete Penetrationstests (Threat-Led Penetration Testing, TLPT) alle drei Jahre ein , nach dem Vorbild des TIBER-EU-Rahmens. Dabei handelt es sich nicht um gewöhnliche Schwachstellen-Scans. Es sind Red-Team-Übungen, die echte Angreifertaktiken gegen kritische Produktivsysteme simulieren.
NIS2 verfolgt einen breiteren, aber weniger präskriptiven Ansatz und verlangt von den Einheiten, ihre Cybersicherheitsmassnahmen regelmässig zu testen und zu auditieren, ohne TLPT oder eine bestimmte Testmethodik vorzuschreiben. Die praktische Konsequenz: DORA-Compliance-Budgets müssen spezialisierte Red-Team-Einsätze einkalkulieren, die NIS2 nicht verlangt.
Ergebnis: Die von DORA vorgeschriebenen TLPT-Übungen kosten bedeutende Finanzunternehmen in der Regel zwischen 200'000 € und 500'000 € pro Zyklus.
Quelle: DORA Art. 26; Branchenschätzungen europäischer TLPT-Anbieter, 2024
06 . Sanktionen & Durchsetzung
Tägliche Bussen vs. umsatzbasierte Obergrenzen . Unterschiedliche Schmerzpunkte
NIS2 folgt dem Sanktionsmodell der DSGVO: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einheiten und bis zu 7 Mio. € oder 1,4 % für wichtige Einheiten. Dies sind auf Obergrenzen basierende, einmalige Bussen, die nach der Feststellung eines Verstosses verhängt werden.
DORA führt einen anderen Mechanismus ein: regelmässige Zwangsgelder von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes , pro Tag , bis die Compliance erreicht ist. Für ein Finanzunternehmen mit 1 Mrd. € Jahresumsatz entspricht das rund 27'000 € pro Tag des Verstosses. Der kumulierende Charakter der DORA-Sanktionen macht eine verzögerte Behebung exponentiell teuer.
Ergebnis: Das tägliche Sanktionsmodell von DORA bedeutet, dass eine Einheit mit 1 Mrd. € Umsatz mit ~27'000 €/Tag konfrontiert ist, bis die Compliance erreicht ist , eine grundlegend andere Risikorechnung als die auf Obergrenzen basierenden Bussen von NIS2.
Quelle: DORA Art. 35(8); NIS2 Art. 34
DORA vs. NIS2: Vergleichstabelle zum schnellen Nachschlagen
Eine druckbare Version ist in der kostenlosen Vergleichsmatrix weiter unten enthalten.
| Dimension | DORA | NIS2 |
|---|---|---|
| Rechtsinstrument | Verordnung , unmittelbar in allen EU-Mitgliedstaaten anwendbar | Richtlinie , erfordert nationale Umsetzung (variiert je nach Land) |
| Datum des Inkrafttretens | 17.01.2025 | 18.10.2024 (Umsetzungsfrist); Durchsetzung variiert je nach Mitgliedstaat |
| Sektoraler Geltungsbereich | Nur Finanzsektor (~22'000 Einheiten) | 18 kritische Sektoren (~160'000 Einheiten) |
| Einstufung der Einheiten | Nach Art des Finanzunternehmens (Banken, Versicherer, Wertpapierfirmen usw.) | Wesentliche Einheiten vs. wichtige Einheiten (auf Basis von Grösse und Sektor) |
| Erstmeldung eines Vorfalls | 4 Stunden nach Einstufung | 24 Stunden (Frühwarnung) |
| Zwischenbericht | 72 Stunden | 72 Stunden (vollständige Meldung) |
| Abschlussbericht | 1 Monat | 1 Monat |
| Aufsicht über Drittparteien | Lead-Overseer-Rahmen , direkte ESA-Aufsicht über kritische IKT-Anbieter | Allgemeine Pflichten zum Lieferketten-Risikomanagement |
| Testanforderungen | Verpflichtendes TLPT alle 3 Jahre für bedeutende Einheiten | Regelmässige Tests und Audits (Methodik nicht vorgeschrieben) |
| Sanktionen | Bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes , pro Tag | Bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes (wesentlich); 7 Mio. € oder 1,4 % (wichtig) |
| Aufsichtsbehörde | Nationale Finanzaufsichtsbehörden + ESAs | Nationale CSIRTs und zuständige Behörden |
| Überschneidungsregel | Lex specialis . DORA hat für Finanzunternehmen Vorrang | Tritt gegenüber sektorspezifischer Regulierung zurück, wo anwendbar |
Quellen: DORA-Verordnung (EU) 2022/2554; NIS2-Richtlinie (EU) 2022/2555; Folgenabschätzungen der Europäischen Kommission, 2022
200+
Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses
Medtec verlagerte im ersten Jahr mit Priverion über 200 Stunden von der manuellen Dokumentation des Verarbeitungsverzeichnisses auf die Vorbereitung der ISO-27001-Zertifizierung
60%
Weniger Zeit für Compliance-Verwaltung
Ein Flugzeughersteller reduzierte den Zeitaufwand für die Compliance-Verwaltung in den ersten 6 Monaten auf der Plattform um 60 %
3 Mt.
Dem Zeitplan bei ISO 27001 voraus
Medtec stellte mit der automatisierten Dokumentation von Priverion auditfertige Nachweispakete drei Monate vor dem Zeitplan der ISO-27001-Zertifizierung bereit
Die Vergleichsmatrix DORA vs. NIS2 herunterladen
Eine druckbare, weitergebbare Referenz zu allen sechs Dimensionen , Geltungsbereich, Fristen, Sanktionen, Tests, Aufsicht über Drittparteien und der Überschneidungsregel. Inklusive Umsetzungshinweisen für Organisationen mit mehreren Einheiten.
Ihre E-Mail-Adresse wird ausschliesslich zum Versand des PDFs verwendet. Kein Spam, keine Drip-Kampagnen. Jederzeit abbestellbar.
Im Lieferumfang enthalten
- Vergleichstabelle nebeneinander (druckfertiges A4-Format)
- Alle sechs Unterschiedsdimensionen mit Verweisen auf die regulatorischen Artikel
- Umsetzungshinweise für Organisationen mit mehreren Einheiten und mehreren Rechtsordnungen
- Überschneidungsanalyse: wann sowohl DORA als auch NIS2 für dieselbe Einheit gelten
- Referenz für den Sanktionsrechner: tägliche DORA-Bussen vs. NIS2-Obergrenzen
Warum Mid-Market-Unternehmen OneTrust hinter sich lassen
OneTrust bediente ein breites Käuferprofil, einschliesslich Fortune-500-Organisationen mit grösseren, dedizierten GRC-Teams. Sie benötigen Compliance auf Enterprise-Niveau , ohne die Enterprise-Komplexität, das Enterprise-Budget oder die sechsmonatige Einführung.
Die Erfahrung mit OneTrust
Preise pro Nutzer und pro Modul
Die Kosten explodieren, sobald Sie Tochtergesellschaften, Module und Teammitglieder hinzufügen. Budgetüberraschungen sind die Regel, nicht die Ausnahme.
In den USA gehostete Infrastruktur
Nach Schrems II führt die Übermittlung von Personendaten an in den USA gehostete Plattformen zu rechtlichen Risiken, die die meisten Rechtsabteilungen europäischer Organisationen nicht mittragen wollen.
Komplexitätssteuer
Über 200 Funktionen, die Sie nie nutzen werden. Monatelange Einführung. Dedizierte Berater allein für die Konfiguration der Grundlagen erforderlich.
Breit, aber oberflächlich
Deckt ESG, Ethik, Cookie-Einwilligung und alles andere ab , doch das Datenschutzmanagement über mehrere Einheiten hinweg, also genau das, was Sie wirklich brauchen, geht in der Weitläufigkeit unter.
Langsame Wertschöpfung
Enterprise-Einführungen, die sich über 6 bis 12 Monate hinziehen, bevor Ihr Team einen spürbaren ROI sieht.
Die Erfahrung mit Priverion
Vorhersehbare, transparente Preise
Basierend auf der Anzahl der Einheiten und der Organisationsgrösse , nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder hinzu, ohne dass Ihre Rechnung steigt. Keine Expansionsfallen.
In der Schweiz gehostet, europäische Datenresidenz
Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur. In einer Welt nach Schrems II ist das kein Marketing-Häkchen . es ist die rechtliche Sicherheit, die Ihre Heads of Legal tatsächlich brauchen, um zuzustimmen.
Aufgeräumte UX, für Praktiker gebaut
Entworfen von einem Datenschutzberater, der den Schmerz selbst erlebt hat. Datenschutzbeauftragte und Compliance-Verantwortliche finden sich ohne Schulungshandbücher zurecht. Verantwortliche in den Geschäftsbereichen schliessen Rezertifizierungen ab, ohne der IT hinterherzulaufen.
Tief, wo es zählt
Verarbeitungsverzeichnis, DSFA, Lieferantenrisiken, Betroffenenanfragen, Vorfallmanagement, einheitenübergreifende Datenkartierung und KI-gestützte Compliance , alles auf einer Plattform. Wir decken weder ESG noch Cookie-Einwilligung ab, weil wir uns auf das konzentrieren, was Gruppen-Datenschutzbeauftragte wirklich brauchen.
In Wochen einsatzbereit
Ein Flugzeughersteller senkte den Zeitaufwand für die Compliance-Verwaltung in den ersten sechs Monaten um 60 %. AXA erreichte eine zu 100 % automatisierte Rezertifizierung des Verarbeitungsverzeichnisses. Sie erzielen einen Mehrwert, bevor eine herkömmliche Einführung überhaupt die Anforderungsanalyse abgeschlossen hat.
Flugzeughersteller: erste 6 Monate nach der Einführung. AXA: gemessen am vollständigen Rezertifizierungszyklus des Verarbeitungsverzeichnisses.
Schluss mit dem Datenschutzmanagement in Tabellenkalkulationen
Sehen Sie, wie gruppenweites Datenschutzmanagement aussieht, wenn es tatsächlich funktioniert
In 30 Minuten zeigen wir Ihnen, wie Organisationen wie ein Flugzeughersteller und Zurzach Care die Compliance über jede Tochtergesellschaft hinweg automatisiert haben , und wie sich derselbe Ansatz auf Ihre Gruppenstruktur übertragen lässt. Keine Folien. Kein Verkaufsgespräch. Nur die Plattform, Ihre Fragen und ehrliche Antworten.
60%
Weniger Zeit für Compliance-Verwaltung , Flugzeughersteller, erste 6 Monate
200+
Eingesparte Stunden bei der Auditvorbereitung , Medtec, ISO 27001
Wochen
Bis zum Live-Betrieb , nicht Monate
In der Schweiz entwickelt. In der Schweiz gehostet. Vorhersehbare Preise ohne Fallen pro Nutzer.


