Mit NIS-2 und DORA hat die Europäische Union innerhalb weniger Monate zwei wichtige Rechtsvorschriften zur Stärkung der Cybersicherheit veröffentlicht. Mit beiden sollen Unternehmen der Finanzbranche und andere Unternehmen, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind, gegen Cyberangriffe geschützt werden.
Auch wenn die Hintergründe für die Veröffentlichung von NIS-2 und DORA auf den ersten Blick ähnlich anmuten, verfolgen die beiden EU-Rechtsvorschriften unterschiedliche Ziele und unterscheiden sich auch in anderen entscheidenden Aspekten. Wo genau liegen diese Unterschiede und welche der beiden Rechtsvorschriften trifft auf Ihr Unternehmen zu? Unsere Expert*innen haben die wichtigsten Informationen zu DORA und NIS-2 in diesem Beitrag für Sie zusammengefasst.
Zur Auffrischung: Was sind DORA und NIS-2?
Die NIS-2-Richtlinie (Network and Information Security 2, NIS-2), ist die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Die wachsenden Bedrohungen der letzten Jahre haben deutlich gemacht, dass es von entscheidender Bedeutung ist, die allgemeine Cybersicherheit in der EU zu verbessern und insbesondere die Sicherheit und Widerstandsfähigkeit kritischer Sektoren sicherzustellen. Überarbeitete Vorschriften für mehr Cybersicherheit wurden notwendig. Somit schlug die EU-Kommission Ende 2020 vor, die bestehende NIS-Richtlinie zu überarbeiten. NIS-2 wurde im Dezember 2022 erstmalig veröffentlicht und wird die NIS-Richtlinie als bislang geltende Vorschriften zur Sicherheit von Netz- und Informationssystemen in den EU-Mitgliedsstaaten ablösen.
Der Digital Operational Resilience Act (DORA) ist eine Verordnung, die vom Europäischen Parlament und Rat eingeführt wurde, um bestehende regulatorische Lücken für den gesamten europäischen Finanzsektor zu schließen. Die DORA-Verordnung ergänzt Regeln für den Umgang mit IKT-bezogenen Vorfällen und trägt somit zur Verbesserung der Betriebsstabilität digitaler Systeme des Finanzsektors bei. Vor ihrer Einführung wurden zumindest Teile der Operational Resilience über die EBA Guidelines on ICT and security risk management adressiert, aber es bestand Bedarf an einem umfassenden Rahmen für das Management aller Komponenten der Betriebsstabilität. DORA geht deshalb tiefer auf die bestehenden Aspekte der Betriebsstabilität ein. So erweitert die Verordnung die Anforderungen zu Business Continuity Management (BCM), Threat-Led Penetration Testing (TLPT) und Third Party Risk Management (TPRM) und betrachtet das Thema Betriebsstabilität nicht nur aus der Perspektive der Finanzinstitute, sondern auch systemisch aus der Perspektive von Europa.
Die Unterschiede
Auch wenn die Hintergründe für die Veröffentlichung von NIS-2 und DORA zunächst ähnlich erscheinen, verfolgen die beiden EU-Rechtsvorschriften nicht dieselben Ziele und unterscheiden sich auch in anderen entscheidenden Kriterien.
Ziele
NIS-2
NIS-2 wurde veröffentlicht, um das allgemeine Niveau der Cybersecurity in der EU zu vereinheitlichen. Das Ziel der Richtlinie ist, sicherzustellen, dass Organisationen, die für das reibungslose Funktionieren unserer Gesellschaft wichtig sind, ein hohes Maß an digitaler Sicherheit erreichen.
DORA
DORA wiederum zielt auf die Stärkung der Betriebsstabilität digitaler Systeme im Finanzsektor ab. Die Umsetzung der Anforderungen in betroffenen Instituten soll sicherstellen, dass die Finanzinstitute in der Lage sind, einem Cyberangriff standzuhalten und weiter zu operieren. Daher setzt die Verordnung einen Fokus auf die Verfügbarkeit und Integrität von Finanzdienstleistungen.
Die unterschiedlichen Ziele spiegeln sich in unterschiedlichen Ausprägungen ähnlicher Anforderungen wider. Hier einige Beispiele zur Verdeutlichung:
- NIS-2 setzt den Schwerpunkt auf die Sicherheit der Lieferkette, während DORA den Fokus auf das Risikomanagement von IKT-Drittanbietern legt.
- NIS-2 sieht hohe und bereits definierte finanzielle Sanktionen für die Nichteinhaltung vor. DORA überlässt die Bewertung von Sanktionen den Mitgliedsstaaten und ihren zuständigen Behörden (in Deutschland der Bundesanstalt für Finanzdienstleistungsaufsicht).
- Durch NIS-2 regulierte Unternehmen in Deutschland müssen die Erfüllung der Anforderungen alle zwei Jahre durch ein Sicherheitsaudit nachweisen. DORA setzt noch striktere Anforderungen für das Thema Sicherheitsüberprüfungen fest: Es ist mindestens alle 3 Jahre ein bedrohungsorientierter Pentest und mindestens einmal im Jahr ein Resilienztestprogramm durchzuführen.
Rechtsform
Ein weiterer deutlicher Unterschied der beiden EU-Rechtsvorschriften ist ihre Rechtsform: NIS-2 ist eine Richtlinie, DORA eine Verordnung.
NIS-2
Eine EU-Richtlinie legt bestimmte Vorgaben fest, die erreicht werden müssen. Allerdings ist sie nicht unmittelbar gültig, sondern jeder europäische Mitgliedsstaat kann selbst festlegen, in welcher Form es die Inhalte der Richtlinie in nationales Recht überführt. In der Regel haben die Mitgliedsstaaten hierfür zwei Jahre Zeit. Die Vorschriften der NIS-2 werden sich in Deutschland voraussichtlich im NIS2UmsuCG, dem NIS2-Umsetzungsgesetz, wiederfinden.
DORA
Eine Verordnung wie DORA tritt im Gegensatz zu einer Richtlinie zu einem bestimmten Zeitpunkt zeitgleich für alle Mitgliedsstaaten in Kraft. Sie ist verbindlich und muss unverändert in ihrer Gesamtheit durchgesetzt werden.
Betroffene Unternehmen
NIS-2
Der Geltungsbereich der NIS-2 umfasst 18 Sektoren, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind. Einige dieser Sektoren sind in Deutschland durch die bestehende Gesetzgebung bereits vollständig (*) oder teilweise (+) reguliert:
- Energie *
- Transport *
- Bankwesen *
- Finanzmärkte *
- Gesundheitswesen *
- Trinkwasser *
- Abwasser *
- Digitale Infrastruktur *
- IKT Service Management
- Öffentliche Verwaltung
- Weltraum +
- Post- und Kurierdienste +
- Abfall *
- Chemikalien +
- Lebensmittel *
- Industrie (Herstellung) +
- Digitale Dienste +
- Forschung
Darüber hinaus verfügen die Mitgliedstaaten über einen Entscheidungsrahmen in Bezug auf kleinere Einrichtungen mit einem hohen Sicherheitsprofil, die in den Anwendungsbereich der Richtlinie aufgenommen werden sollten.
DORA
Der Geltungsbereich des DORA ist in Artikel 2 der Verordnung genau definiert:
- Kreditinstitute
- Zahlungsinstitute, einschließlich Zahlungsinstitute, die gemäß der Richtlinie (EU) 2015/2366 ausgenommen sind
- Anbieter von Kontoinformationsdiensten
- E-Geld-Institute, einschließlich E-Geld-Institute, die gemäß der Richtlinie 2009/110/EG ausgenommen sind
- Wertpapierfirmen
- Krypto-Vermögenswert-Dienstleister und Emittenten von vermögenswertbezogenen Token
- zentrale Wertpapierverwahrer
- zentrale Gegenparteien
- Handelsplätze
- Transaktionsregister
- Verwalter von alternativen Investmentfonds
- Verwaltungsgesellschaften
- Anbieter von Datenübermittlungsdiensten
- Versicherungs- und Rückversicherungsunternehmen
- Versicherungsvermittler, Rückversicherungsvermittler und Vermittler von Versicherungsnebenleistungen
- Einrichtungen der betrieblichen Altersversorgung
- Kredit-Rating-Agenturen
- Verwalter von kritischen Benchmarks
- Anbieter von Crowdfunding-Dienstleistungen
- Verwahrstellen für Verbriefungen
- IKT-Drittdienstleister
Nun stellt sich aber die interessante Frage: Wenn Ihr Unternehmen Teil des Finanzsektors ist und somit in beide Geltungsbereiche fällt, welches EU-Recht ist vorrangig, DORA oder NIS-2?
Die Antwort ist eindeutig: DORA. Denn DORA ist ein “lex specialis“ für den Finanzsektor und hat somit als spezielles Gesetz Vorrang vor NIS-2 als allgemeinem Gesetz. Innerhalb des DORA ist dieser Vorrang folgendermaßen niedergeschrieben:
“This Regulation constitutes lex specialis with regard to Directive (EU) 2022/2555*. At the same time, it is crucial to maintain a strong relationship between the financial sector and the Union horizontal cybersecurity framework as currently laid out in Directive (EU) 2022/2555”
*Directive (EU) 2022/2555 ist der offizielle Name für NIS-2.
Prüfende Instanzen und Nachweise
NIS-2
Da es sich bei NIS-2 um eine EU-Richtlinie handelt, die von den einzelnen Mitgliedsstaaten in nationales Recht überführt werden muss, sind die Mitgliedsstaaten für die konkrete Ausgestaltung der gesetzlichen Vorgaben und die Überprüfung ihrer Einhaltung zuständig. In Deutschland fällt die Prüfkompetenz für einen Großteil der von NIS-2 regulierten Sektoren voraussichtlich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu. Für die Ausgestaltung und Prüfung der Vorgaben des Energiesektors hingegen ist die Bundesnetzagentur (BNetzA ), für Kreditinstitute die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zuständig.
DORA
Artikel 46 der DORA-Verordnung enthält eine ganze Liste von Behörden, die dafür zuständig sind, die Einhaltung der Verordnung bei den verschiedenen von DORA betroffenen Instituten und Unternehmen sicherzustellen. Im Falle von als „bedeutend“ eingestuften Kreditinstituten ist das grundsätzlich die EZB, für andere Kreditinstitute in Deutschland beispielsweise die BaFin.
Inkrafttreten
NIS-2
Die NIS-2-Richtlinie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union (EU Official Journal) veröffentlicht. Seitdem arbeiten die Mitgliedsstaaten an der Umsetzung der Vorgaben in das nationale Recht, welche bis Oktober 2024 abgeschlossen sein muss. Diese Deadline betrifft allerdings nur die Überführung in nationales Recht, sie markiert nicht den Zeitpunkt, ab wann die Anforderungen für betroffene Unternehmen gültig sind. Unsere Expert*innen gehen hier von einer angemessenen Umsetzungsfrist für betroffene Unternehmen aus, um der nationalen Richtlinie nachzukommen.
DORA
Wie bereits beschrieben tritt DORA als EU-Verordnung zu einem festen Datum in Kraft: Am 17. Januar 2025, 24 Monate nach seiner Veröffentlichung im EU Official Journal. Dieses Datum ist unwiderruflich, da es in Artikel 64 des DORA niedergeschrieben wurde. Somit wird den Finanzinstituten eine Vorbereitungszeit von zwei Jahren eingeräumt, um ihre Unternehmensführung und -praktiken mit den Säulen der Resilienz der Verordnung in Einklang zu bringen und einen Fahrplan für die Umsetzung zu entwickeln. DORA verpflichtet unter anderem die European Supervisory Authorities (ESAs), die European Union Agency for Cybersecurity (ENISA), die Europäische Zentralbank (EZB) und weitere Organe, Entwürfe technischer Standards zur Konkretisierung zu entwickeln. Die ESAs veröffentlichten erste Entwürfe zur Konsultation im Juni dieses Jahres.
Wir beobachten für Sie die Umsetzung in das Nis2umsuCG , sowie Updates von ESA und ENISA und halten Sie zu relevanten Neuigkeiten auf dem Laufenden.
Haben Sie in der Zwischenzeit Fragen oder benötigen Unterstützung? Kontaktieren Sie uns, unsere Expert*innen sind gerne für Sie da.