NIS2, DORA sowie der Cyber Resiliance Act sind Regelungen, die alle das Ziel haben, die Cybersicherheit bzw. die Betriebsstabilität zu stärken. Das ist gewissermaßen der gemeinsame Nenner. Bei näherer Betrachtung zeigen sich jedoch relevante Unterschiede.

DORA und der Cyber Resilance Act sind Verordnungen, während NIS2 eine europäische Richtlinie ist. Vergleichbar mit der Einführung der DSGVO im Jahr 2018 gelten DORA und CRA nach ihrem Inkrafttreten für alle Mitgliedstaaten verbindlich. NIS2 hingegen gilt nicht unmittelbar in den Mitgliedstaaten, sondern muss zunächst von den einzelnen Mitgliedstaaten in nationales Recht umgesetzt werden.

NIS2 zielt auf die Vereinheitlichung der Cybersicherheit innerhalb der EU ab, verbunden mit der Anforderung, die Cybersicherheit entlang der gesamten Lieferkette zu prüfen. DORA hingegen strebt auf die Stärkung der Betriebsstabilität der IT – unter DORA nun IKT – im Finanzsektor an. Ein besonderer Fokus liegt dabei dem Management der Risiken von sogenannten IKT-Drittanbietern, für die DORA unter Berücksichtigung bestimmter größenbezogener Erleichterungen ebenfalls gelten soll. Mit dem CRA sollen verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen geschaffen werden.

Seit Ende letzten Jahres, genauer gesagt seit dem 17. Dezember 2023, hat sich das Hinweisgeberschutzgesetz etwas verschärft. So sind nun Unternehmen mit 50 bis 249 Beschäftigten dazu verpflichtet, interne Meldestellen einzurichten, über die Hinweise vertraulich und gegebenenfalls auch anonym, abgegeben werden können.

NIS2 enthält bereits definierte finanzielle Sanktionen bei Nichteinhaltung. Dagegen überlässt DORA die Festlegung der Sanktionen den Mitgliedsstaaten und ihren zuständigen Aufsichtsbehörden (z. B. der BaFin). Auch der Entwurf der CRA beinhaltet ein Sanktionsregime, das bei Verstößen Geldbußen von bis zu 15 Millionen Euro oder bis zu 2,5 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres vorsieht.

Alle Regulierungsvorhaben sind für die Regelungsadressaten mit erheblichem Umsetzungsaufwand verbunden. Bei DORA hat der Finanzsektor den vermeintlichen Vorteil, dass mit den Anforderungen aus VAIT bzw. BAIT bereits ein in vielen Punkten ähnliches Regelwerk existiert. NIS2 hingegen dürfte gerade für „kleinere“ Unternehmen einen hohen prozessualen Aufwand bedeuten. Der CRA betrifft dagegen alle Unternehmen, die Produkte mit digitalen Elementen herstellen und erfordert somit die verbindliche Beachtung des Grundsatzes von „Security by Design“.