DORA vs NIS2 vs CRA
Verhältnis der Rechtsakte
DORA ist gemäß Art. 1 Abs. 2 ein sektorspezifischer Rechtsakt (lex specialis) im Sinne von Art. 4 der NIS2-Richtlinie. Das bedeutet:
- DORA hat Anwendungsvorrang gegenüber NIS2 in den Bereichen IKT-Risikomanagement und Meldewesen
- Finanzunternehmen bleiben Teil des NIS2-Ökosystems, wenden aber DORA-Anforderungen an
- IKT-Dienstleister, die sowohl Finanz- als auch andere Sektoren bedienen, können beiden Regelwerken unterliegen
Vergleichsmatrix
| Aspekt | DORA | NIS2 | CRA | AI Act |
|---|---|---|---|---|
| Rechtsakt-Typ | Verordnung | Richtlinie | Verordnung | Verordnung |
| Anwendbar seit | 17.01.2025 | 18.10.2024 (Umsetzungsfrist) | Stufenweise ab 2026 | Stufenweise ab 2024 |
| Zielsektor | Finanzsektor | Kritische Infrastrukturen (18 Sektoren) | Produkte mit digitalen Elementen | KI-Systeme |
| Betroffene | ~22.000 Finanzunternehmen + IKT-Dienstleister | ~160.000 Unternehmen EU-weit | Hersteller, Importeure, Händler | Anbieter, Betreiber, Importeure |
| Risikomanagement | IKT-Risikomanagementrahmen (Art. 5–16) | Cybersicherheits-Risikomanagement (Art. 21) | Sicherheitsanforderungen im Produktlebenszyklus | Risikomanagementsystem für Hochrisiko-KI |
| Meldepflichten | 4h/72h/1M (3 Stufen) | 24h/72h/1M (3 Stufen) | Schwachstellen: 24h an ENISA | Je nach Risikoklasse |
| Tests | Basistests + TLPT | Nicht explizit vorgeschrieben | Konformitätsbewertung | Konformitätsbewertung (Hochrisiko) |
| Drittparteien | Umfassend (Informationsregister, CTPPs) | Lieferkettensicherheit (Art. 21 Abs. 2d) | Lieferkette Komponentensicherheit | Wertschöpfungskette |
| Sanktionen | Bis 2% Jahresumsatz + 2,5 Mio. Zwangsgeld | Bis 10 Mio./2% bzw. 7 Mio./1,4% | Bis 15 Mio./2,5% Jahresumsatz | Bis 35 Mio./7% Jahresumsatz |
| Aufsicht | ESAs + nationale Aufseher (BaFin) | Nationale Cybersicherheitsbehörden (BSI) | Marktüberwachungsbehörden | KI-Behörden |
Überschneidungen für BAUER GROUP
Als IT-Dienstleister, der sowohl Finanz- als auch andere Sektoren bedient:
| Anforderung | DORA-Pflicht | NIS2-Pflicht | Synergien |
|---|---|---|---|
| Risikomanagement | Art. 5–16 | Art. 21 | DORA-Compliance deckt NIS2 weitgehend ab |
| Incident Reporting | 4h/72h/1M an BaFin | 24h/72h/1M an BSI | Parallele Meldewege, aber unterschiedliche Behörden |
| Supply Chain | Informationsregister, Vertragsanforderungen | Lieferkettensicherheit | DORA geht deutlich weiter |
| Testing | Obligatorisches Testprogramm | Implizit über „angemessene Maßnahmen" | DORA-Tests erfüllen NIS2-Anforderungen |
| Governance | Persönliche GF-Haftung | GF-Schulungspflicht, Haftung | Ähnliche Governance-Anforderungen |
Synergieeffekte
Wer DORA vollständig umsetzt, hat folgende Anforderungen anderer Regelwerke automatisch mit abgedeckt:
- NIS2: ~80% der Anforderungen (Lücke: Sektorspezifische NIS2-Anforderungen)
- CRA: Teilweise (Produktsicherheit ist eigenständig)
- AI Act: Geringe Überschneidung (nur wenn KI in Finanzdienstleistungen eingesetzt wird)