Close

NIS2 und DORA: Cybersicherheit und Resilienz in der EU

Die Europäische Union hat mit zwei wichtigen Regelwerken, der NIS2-Richtlinie und dem Digital Operational Resilience Act (DORA), neue Standards für die IT-Sicherheit und Resilienz geschaffen.
Lesezeit: 3 Minuten
Inhaltsindex

Standards für die IT-Sicherheit und Resilienz

Die digitale Sicherheit ist in der heutigen vernetzten Welt von entscheidender Bedeutung. Die Europäische Union hat mit zwei wichtigen Regelwerken, der NIS2-Richtlinie und dem Digital Operational Resilience Act (DORA), neue Standards für die IT-Sicherheit und Resilienz geschaffen. Während NIS2 auf eine breite Palette kritischer Infrastrukturen abzielt, richtet sich DORA speziell an Finanzinstitute. In diesem Artikel erklären wir die Unterschiede, Anforderungen und Auswirkungen beider Regelwerke für Unternehmen. 

Was ist die NIS2? 

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine überarbeitete Version der ursprünglichen NIS-Richtlinie von 2016. Sie hat das Ziel, die Cybersicherheitsstandards innerhalb der EU zu vereinheitlichen und zu verschärfen. Die neuen Regelungen setzen strengere Anforderungen an Unternehmen, um deren digitale Infrastruktur besser vor Cyberangriffen und IT-Ausfällen zu schützen. 

Zu den wichtigsten Neuerungen der NIS2 gehören: 

  • Erweiterung des Geltungsbereichs: Mehr Unternehmen und Organisationen aus zusätzlichen Branchen sind betroffen. 
  • Striktere Sicherheitsanforderungen: Unternehmen müssen ihre IT-Risiken systematisch managen. 
  • Höhere Sanktionen bei Verstößen: Ähnlich wie bei der DSGVO drohen empfindliche Geldstrafen. 
  • Verpflichtende Meldungen von Sicherheitsvorfällen: Unternehmen müssen Cyberangriffe oder IT-Ausfälle innerhalb von 24 bis 72 Stunden melden. 

Wann trat die NIS2 in Deutschland in Kraft? 

Die NIS2-Richtlinie wurde im Januar 2023 auf EU-Ebene verabschiedet. Die Mitgliedstaaten, darunter Deutschland, mussten die Vorgaben bis zum 17. Oktober 2024 in nationales Recht umsetzen. Bis zu diesem Zeitpunkt sind nationale Gesetzgeber verpflichtet, entsprechende Regelungen auszuarbeiten und verbindlich zu machen. Unternehmen sollten sich frühzeitig mit den neuen Anforderungen auseinandersetzen, um mögliche Risiken zu minimieren und Sanktionen zu vermeiden. 

Welche Sektoren fallen unter NIS2? 

Die NIS2-Richtlinie erweitert die Liste der betroffenen Unternehmen erheblich. Sie unterteilt betroffene Organisationen in zwei Gruppen: 

Wesentliche Sektoren 

Diese Organisationen unterliegen besonders strengen Anforderungen und Kontrollen: 

  • Energieversorgung (z. B. Strom-, Gas- und Wasserversorgung) 
  • Transportwesen (Flughäfen, Bahnbetreiber, Logistikunternehmen) 
  • Banken und Finanzmärkte 
  • Gesundheitswesen (Krankenhäuser, Pharmaunternehmen, Labore) 
  • Digitale Infrastruktur (Cloud-Anbieter, Internet-Backbone-Betreiber) 
  • Öffentliche Verwaltung 

Wichtige Sektoren 

Diese Organisationen unterliegen ebenfalls strengen Sicherheitsvorgaben, jedoch mit etwas geringeren Kontrollen: 

  • Post- und Kurierdienste 
  • Abfallwirtschaft 
  • Chemische Industrie 
  • Lebensmittelproduktion 
  • Hersteller von IT-Hardware und -Software 

Unternehmen aus diesen Bereichen müssen umfassende Maßnahmen zum Schutz ihrer IT-Systeme treffen und sich auf regelmäßige Überprüfungen durch Behörden einstellen. 

Was ist der Unterschied zwischen DSGVO und NIS2? 

Die Datenschutz-Grundverordnung (DSGVO) und NIS2 haben unterschiedliche Schwerpunkte, obwohl sie sich teilweise überschneiden: 

Aspekt  DSGVO  NIS2 
Ziel  Schutz personenbezogener Daten  Schutz kritischer Infrastrukturen und IT-Systeme 
Anwendungsbereich  Unternehmen, die personenbezogene Daten verarbeiten  Unternehmen aus wesentlichen und wichtigen Sektoren 
Sanktionen  Hohe Geldstrafen für Datenschutzverletzungen  Strafen für unzureichende IT-Sicherheit und Meldepflichtverletzungen 
Meldung von Vorfällen  Meldepflicht bei Datenschutzverletzungen  Meldepflicht bei Cyberangriffen oder IT-Ausfällen 

Während die DSGVO personenbezogene Daten schützt, sorgt NIS2 dafür, dass digitale Infrastrukturen und kritische Dienstleistungen vor Cyberbedrohungen abgesichert werden. 

Was ist DORA? 

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die speziell für Finanzinstitute entwickelt wurde. Sie soll sicherstellen, dass Banken, Versicherungen, Investmentfirmen und andere Finanzdienstleister widerstandsfähig gegenüber Cyberangriffen, technischen Ausfällen und anderen IT-Risiken sind. 

Die Verordnung stellt sicher, dass alle relevanten Akteure im Finanzsektor über ein robustes IT-Risikomanagement verfügen und dass IT-Vorfälle effektiv behandelt werden. DORA enthält Vorgaben für: 

  • IT-Risikomanagement: Finanzinstitute müssen umfassende Maßnahmen zur IT-Sicherheit implementieren. 
  • Meldepflichten: Unternehmen müssen IT-Sicherheitsvorfälle schnell an die zuständigen Behörden melden. 
  • Testverfahren: Regelmäßige Simulationen von Cyberangriffen und Resilienz-Tests sind vorgeschrieben. 
  • Regulierung von IT-Dienstleistern: Externe Anbieter, die Finanzunternehmen mit IT-Diensten versorgen, unterliegen ebenfalls den DORA-Vorgaben. 

Was bedeutet DORA für Banken? 

Für Banken und andere Finanzinstitute bedeutet DORA eine deutliche Verschärfung der IT-Sicherheitsanforderungen. Sie müssen unter anderem: 

  • Ein zentrales IT-Risikomanagement etablieren 
  • Klare Notfallpläne für IT-Ausfälle und Cyberangriffe definieren 
  • Regelmäßige Stresstests durchführen 
  • IT-Dienstleister (z. B. Cloud-Anbieter) strenger überwachen 

Durch diese Maßnahmen sollen Banken und Finanzdienstleister widerstandsfähiger gegenüber Angriffen und technischen Störungen werden, um das Vertrauen in die Finanzmärkte zu stärken. 

Was ist der Unterschied zwischen NIS2 und DORA? 

Beide Regelwerke zielen darauf ab, die digitale Sicherheit zu verbessern, haben jedoch unterschiedliche Anwendungsbereiche: 

Aspekt  NIS2  DORA 
Ziel  Cybersicherheit in kritischen Sektoren  Digitale Resilienz im Finanzsektor 
Geltungsbereich  Energie, Gesundheitswesen, Transport, öffentliche Verwaltung usw.  Banken, Versicherungen, Investmentfirmen 
Umsetzung  Muss in nationales Recht umgesetzt werden  Gilt direkt als EU-Verordnung 

Während NIS2 für eine Vielzahl von Unternehmen in kritischen Sektoren gilt, richtet sich DORA ausschließlich an Finanzinstitute und deren IT-Dienstleister. 

Fazit 

Sowohl NIS2 als auch DORA verdeutlichen, dass Cybersicherheit in der EU eine hohe Priorität hat. Unternehmen, die unter diese Regelwerke fallen, sollten sich frühzeitig auf die neuen Anforderungen vorbereiten, um rechtsgültig zu bleiben und ihre IT-Infrastruktur gegen Cyberbedrohungen zu schützen. Besonders für Vertrauensdiensteanbieter und digitale Infrastrukturen ist die Einhaltung dieser Vorschriften essenziell, um weiterhin sicher und zuverlässig agieren zu können. 

Stichworte

Neueste Artikel

Artikel teilen

LESEN SIE AUCH

FOLGEN SIE UNS​

Linkedin Youtube
Abonniere den Newsletter
HAUPTKATEGORIEN UND TAGS
NAMIRIAL GRUPPE
ERFORSCHEN SIE
INNOVATION
INFORMATIONEN
DOKUMENTATION

© Namirial S.p.A. – Steuernummer und Eintragung ins Handelsregister Ancona Nr. 02046570426 – REA N. AN157295 – Empfängercode T04ZHR3 – Aktienkapital € 8.256.361,60

© Namirial S.p.A. – Steuernummer und Eintragung ins Handelsregister Ancona Nr. 02046570426 – REA N. AN157295 – Empfängercode T04ZHR3 – Aktienkapital € 8.256.361,60