Drei operative Problemfelder, die Unternehmen jetzt im Blick haben müssen

HUG GmbH

Zwei Regelwerke, eine wachsende Unsicherheit - NIS2 und DORA

Die NIS2-Richtlinie gilt auf EU-Ebene seit Januar 2023. In Deutschland liegt der Entwurf für das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz seit dem 23. Juni 2025 vor. Die Verabschiedung verzögert sich – Sommerpause, offene politische Prioritäten.

 

DORA gilt für Finanzunternehmen bereits unmittelbar und hat in den dort geregelten Bereichen Vorrang vor NIS2.

kontakt
DORA & NIS2

1. Meldepflichten – DORA, NIS2 und BSIG im Spannungsfeld

Ab dem 17. Januar 2025 gilt für Finanzunternehmen, die unter DORA fallen:

  • Keine Meldung von Sicherheitsvorfällen mehr an das BSI gemäß § 8b Abs. 4 BSIG
  • Stattdessen ausschließliche Meldung an die BaFin nach Art. 19 DORA und den zugehörigen technischen Standards (z. B. RTS Incident Reporting – EU 2024/1717)
  • Die BaFin leitet die relevanten Daten an das BSI weiter, das diese für „KRITIS in Zahlen“ statistisch auswertet.

 

Praxisproblem: DORA und NIS2 haben unterschiedliche Fristen, Berichtsformate und Empfänger. Bei Vorfällen, die unter beide Regime fallen, kann es zu parallelen Meldeketten kommen, mit erhöhtem Aufwand und Risiko für Fristversäumnisse.

2. Verantwortlichkeiten bei IKT-Drittleistungen

Beide Regelwerke verlangen, dass Unternehmen ihre IKT-Dienstleister vertraglich auf Sicherheits- und Meldepflichten verpflichten. Herausforderung:

  • Anbieter außerhalb der EU unterliegen nicht automatisch EU-Meldepflichten
  • Fehlende vertragliche Klarstellungen führen zu Verzögerungen oder unvollständigen Meldungen
  • Unternehmen tragen die Verantwortung und Haftung, auch wenn der Vorfall beim Dienstleister liegt

 

Beispiel: Ein Cloud-Anbieter liefert wichtige Incident-Daten zu spät oder nicht im geforderten Format. Das Unternehmen muss selbst aktiv werden, um seine Meldepflichten fristgerecht zu erfüllen.

3. Einstufung und Anwendungsbereich

  • DORA: definiert „kritische Dienstleister“ im Finanzsektor, die unter besondere Aufsicht fallen.
  • NIS2: stuft Einrichtungen nach Sektor und Größe als „besondere“ oder „wichtige“ Einrichtungen ein.

 

Problem: Die Frage, ob eine Einrichtung in den Anwendungsbereich fällt, hängt nicht nur von ihrer eigenen Tätigkeit, sondern auch von den genutzten oder erbrachten Diensten ab. Fehlinterpretationen führen zu falschen Prioritäten und verspäteter Umsetzung.

DORA & NIS2

Warum Unternehmen jetzt handeln sollten

  • Unterschiedliche Anforderungen erhöhen die Komplexität und Fehleranfälligkeit
  • Unklare Verantwortlichkeiten führen zu Doppelarbeit oder Lücken in der Incident-Bearbeitung
  • Falsche Einstufungen können dazu führen, dass Pflichten gar nicht oder zu spät umgesetzt werden

Was die HUG GmbH für Ihre Organisation leistet

  • Betroffenheitsanalyse: Zuordnung zu DORA, NIS2 und BSIG-Anforderungen
  • Meldeprozess-Architektur: Harmonisierung und Priorisierung von Meldewegen und -inhalten
  • Vertrags- und Lieferantenmanagement: Sicherstellen, dass IKT-Drittanbieter regulatorische Pflichten einhalten
  • Governance und Schulung: Rollen, Verantwortlichkeiten und Meldeketten fest im Unternehmen verankern
DORA & NIS2

Ausblick

In unseren kommenden Fachbeiträgen zeigen wir:

 

  • Wie sich DORA- und NIS2-Meldepflichten verzahnen lassen
  • Worauf bei der Einbindung von IKT-Drittanbietern zu achten ist
  • Wie Unternehmen trotz unterschiedlicher Fristen und Formate rechts- und aufsichtssicher agieren können
Kontakt
Nach oben scrollen