NIS2, CER-Direktive und DORA: Navigieren in überlappenden Frameworks

Wer sollte das lesen: Compliance-Beauftragte, Risikomanager, Unternehmensberater

Die Regulierungslandschaft der Europäischen Union für Cybersicherheit ist immer dichter geworden. Organisationen in der gesamten EU müssen sich heute mit mehreren, ineinandergreifenden Richtlinien auseinandersetzen, die regeln, wie sie Netzwerke sichern, die Reaktion auf Zwischenfälle verwalten und ihre Praktiken zertifizieren. Die NIS2-Richtlinie schafft zusammen mit dem Digital Operational Resilience Act (DORA) und dem vorgeschlagenen Cyber Resilience Act (CER) ein vielschichtiges Compliance-Umfeld, in dem sich Geltungsbereich, Verpflichtungen und Durchsetzungsmechanismen überschneiden — manchmal absichtlich, oft mit Nuancen.

Das Verständnis dieser Rahmenbedingungen ist nicht nur eine Compliance-Übung. Es wirkt sich auf die Ressourcenallokation, die Verwaltungsstrukturen, die Verfahren zur Reaktion auf Vorfälle und die Investitionsstrategien im Bereich Cybersicherheit aus. Dieser Beitrag befasst sich mit der Beziehung zwischen NIS2, DORA und CER, verdeutlicht ihre unterschiedlichen Anwendungsbereiche und bietet praktische Anleitungen, wie sich die Überschneidungen ohne doppelten Aufwand oder Compliance-Lücken bewältigen lassen.

Die regulatorische Interaktion ist auf eine bewusste Politikgestaltung zurückzuführen: DORA zielt auf die betriebliche Widerstandsfähigkeit des Finanzsektors ab, CER konzentriert sich auf die Produktsicherheit in der Lieferkette, und NIS2 legt eine Grundlage für kritische Unternehmen und wichtige Dienstleister in allen Sektoren fest. Ihre operativen Definitionen, Schwellenwerte und Umsetzungsfristen unterscheiden sich jedoch erheblich. Die Compliance-Beauftragten müssen verstehen, wo sie konvergieren und wo sektorspezifische Regeln Vorrang haben.

Die drei Frameworks: Umfang und Anwendbarkeit

Die NIS2-Richtlinie schafft einen breiten, sektorneutralen Rahmen, der für Anbieter wesentlicher Dienste (in kritischen Sektoren) und wichtige Anbieter digitaler Dienste gilt. Artikel 4 definiert diese Einrichtungen unter Bezugnahme auf ihre Rolle bei grundlegenden Dienstleistungen — Energie, Verkehr, Wasser, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung — oder auf ihre Bedeutung als Anbieter digitaler Dienste wie Cloud-Anbieter, Anbieter verwalteter Dienste und Rechenzentrumsbetreiber.

DORA bezieht sich dagegen ausdrücklich auf den Finanzdienstleistungssektor: Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute und bestimmte Krypto-Asset-Dienstleister sowie deren Drittanbieter. Im Gegensatz zum breit gefächerten Ansatz von NIS2 legt DORA eigene Anforderungen an die betriebliche Belastbarkeit fest, die auf die Stabilität des Finanzsystems zugeschnitten sind. Der Schwellenwert ist nicht die Kritikalität im allgemeinen Sinne, sondern die systemische Bedeutung für die Finanzmärkte.

Die CER-Richtlinie, die noch nicht vollständig umgesetzt ist, aber bereits die Beschaffung und das Produktdesign prägt, richtet sich an Hersteller und Importeure von Produkten mit digitalen Elementen, die mit Netzwerken verbunden sind. Ihr Schwerpunkt ist präventiv: Durch die Sicherung von Produkten, bevor sie in die Lieferkette gelangen, zielt die CER darauf ab, die Angriffsfläche zu verringern, die Unternehmen (einschließlich Unternehmen mit NIS2) beim Einsatz von Software und Hardware erben.

Die Beziehung ist architektonisch. CER legt Mindeststandards für die Produktsicherheit fest; Organisationen, die der NIS2-Norm unterliegen, setzen diese Produkte dann innerhalb ihrer eigenen Risikomanagement-Frameworks ein; und wenn sie im Finanzsektor tätig sind, setzen sie gleichzeitig die Anforderungen von DORA an die betriebliche Belastbarkeit um. Ein Unternehmen könnte allen drei Anforderungen unterliegen: ein Fintech-Unternehmen, das Zahlungsdienste (DORA) unter Verwendung einer Cloud-Infrastruktur anbietet (NIS2 Essential Service Provider) und verschlüsselte Kommunikationstools kauft (CER-konforme Produkte).

Zuständigkeitsbereich und Unternehmensklassifizierung

Artikel 4 von NIS2 stellt klar, dass zu den Anbietern wesentlicher Dienste auch solche gehören, die in einem EU-Mitgliedstaat ansässig sind oder Dienstleistungen für Kunden in einem Mitgliedstaat anbieten. Die Richtlinie gilt nicht extraterritorial in dem Sinne, dass sie Einrichtungen außerhalb der EU reguliert, es sei denn, sie sind innerhalb des Zuständigkeitsbereichs der EU tätig. Die Reichweite von DORA ist ähnlich auf die EU ausgerichtet, jedoch enger gefasst: Sie gilt für regulierte Finanzunternehmen und deren Dienstleister.

CER erstreckt sich über die Grenzen der EU hinaus: Hersteller und Importeure auf der ganzen Welt müssen sich an die Einhaltung der Vorschriften halten, wenn ihre Produkte an Kunden in der EU oder andere Unternehmen in der EU verkauft werden. Dadurch wird eine globale Sicherheitsbasis für die Lieferkette geschaffen, die sich auf die Beschaffung in allen Sektoren auswirkt.

Für ein multinationales Unternehmen, das branchen- und länderübergreifend tätig ist, wird die Compliance-Matrix komplex. Stellen Sie sich einen Telekommunikationskonzern mit Tochtergesellschaften in den Geschäftsbereichen Energie (NIS2 Essential Service Provider), Finanzdienstleistungen (DORA-reguliert) und Softwareprodukte (CER-Verpflichtungen) vor. Jede Tochtergesellschaft ist mit unterschiedlichen regulatorischen Regelungen konfrontiert. Die Unternehmensführung der Mutterorganisation muss diesen Unterschieden Rechnung tragen und gleichzeitig gemeinsame Cybersicherheitspraktiken nutzen.

Wichtigste Verpflichtungen und Überschneidungen

Alle drei Rahmenbedingungen schreiben die Meldung von Vorfällen vor, allerdings mit unterschiedlichen Schwellenwerten und Verfahren. NIS2 schreibt vor, dass Vorfälle, die den Schwellenwert für „signifikant“ erreichen, die zuständigen Behörden und CSIRTs gemeldet werden (Artikel 23). DORA legt Standards für die betriebliche Belastbarkeit fest, wobei unterschiedliche Kategorien von kritischen und schwerwiegenden Vorfällen unterschieden werden, für die jeweils spezifische Melde- und Abhilfemaßnahmen gelten. CER verlangt eine verantwortungsvolle Offenlegung gegenüber den Herstellern.

In ähnlicher Weise legen alle drei Schwerpunkte auf Unternehmensführung und Risikomanagement. Laut NIS2 müssen Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen (Artikel 21-22). DORA schreibt umfassende betriebliche Belastbarkeitstests und ein Risikomanagement durch Dritte vor. CER stellt sicher, dass Sicherheit in das Produktdesign eingebettet ist (Sicherheit durch Design und Standardeinstellung).

Die Überschneidung ist gewollt, bedarf aber einer Klarstellung. Ein Unternehmen, das sowohl NIS2 als auch DORA unterliegt, muss ein Cybersicherheitsprogramm entwickeln, das die Anforderungen beider Richtlinien erfüllt. Dies bedeutet nicht, Kontrollen zu duplizieren, sondern sicherzustellen, dass die Kontrollen den unterschiedlichen Risikoprioritäten der einzelnen Richtlinien entsprechen. Der Fokus von DORA auf die Betriebskontinuität und das Risiko der Konzentration Dritter kann zu spezifischen Kontrollen führen (wie z. B. eine detaillierte Abbildung der Subprozessoren und Tests im Fehlermodus), die zwar von NIS2 nicht ausdrücklich vorgeschrieben sind, die aber im Rahmen von NIS2 empfohlen werden.

Verwaltungsarchitektur und Umsetzung durch die Mitgliedstaaten

Ein entscheidender Unterschied besteht darin, wie jedes Framework die Regierungsführung strukturiert. Das NIS2 verleiht den Mitgliedstaaten wichtige Befugnisse: Jeder Staat benennt die zuständigen Behörden, richtet CSIRTs ein und kann spezifische Umsetzungsfristen und sektorspezifische Risikoschwellen festlegen. In Erwägungsgrund 28 wird darauf hingewiesen, dass die CER-Richtlinie NIS2 ergänzt, indem sie sich mit der Sicherheit auf Produktebene befasst und so den Befolgungsaufwand für Organisationen, die NIS2 anwenden, verringert. Dies deutet darauf hin, dass eine gut umgesetzte CER den Bedarf an Abwehrmaßnahmen gegen bekannte Produktschwachstellen auf Unternehmensebene reduziert.

DORA, das von der Europäischen Bankaufsichtsbehörde und anderen Finanzaufsichtsbehörden verwaltet wird, schafft einen stärker harmonisierten Rahmen. Die Finanzaufsichtsbehörden in den einzelnen Mitgliedstaaten setzen DORA mit weniger Ermessensspielraum um, wodurch die Einheitlichkeit aller EU-Finanzdienstleistungen gewährleistet wird. Dies spiegelt den systemkritischen Charakter der Finanzmärkte und die Notwendigkeit koordinierter regulatorischer Maßnahmen wider.

Mitgliedstaaten, die NIS2 umsetzen, können die CER-Konformität als anerkannte Kontrolle oder Ausnahme einbeziehen. So würde beispielsweise ein Gesundheitsdienstleister (grundlegende Dienstleistung im Rahmen von NIS2), der CER-konforme Medizinprodukte einsetzt, den Produktsicherheitselementen seiner NIS2-Verpflichtungen nachkommen. Umgekehrt kann sich ein Finanzinstitut (von DORA reguliert) nicht ausschließlich auf die Einhaltung der CER-Vorschriften verlassen; die Anforderungen von DORA an die betriebliche Belastbarkeit sind unterschiedlich und branchenspezifisch.

Praktische Ausrichtungsstrategie

Für Compliance-Beauftragte besteht der Schlüssel darin, Überschneidungen abzubilden, ohne jedes Framework als isoliert zu betrachten. Eine einzige Cybersicherheits-Governance-Struktur kann NIS2, DORA und CER berücksichtigen, wenn sie so konzipiert ist, dass sie ihren unterschiedlichen Risikoprioritäten gerecht wird:

Richten Sie einen gemeinsamen Rahmen für die Reaktion auf Vorfälle ein, der in sektorspezifische Berichtsmechanismen einfließen kann. Sowohl für NIS2 als auch für DORA ist eine Meldung von Vorfällen erforderlich. Ein einziger, gut durchdachter Prozess kann beide Anforderungen erfüllen, da es eine Verzweigungslogik zur Weiterleitung von Vorfällen an die zuständigen Behörden gibt.

Dokumentieren Sie die Basiswerte für die Risikobewertung und -kontrolle in einer Sprache, die allen geltenden Rahmenbedingungen entspricht. Verwenden Sie das Verhältnismäßigkeitsprinzip von NIS2 (Artikel 21) als Grundlage und fügen Sie dann DORA-spezifische betriebliche Belastbarkeitskontrollen und CER-Produktauswahlkriterien hinzu.

Nutzen Sie das Risikomanagement von Drittanbietern, das allen drei Frameworks gemeinsam ist, aber passen Sie den Fokus individuell an: NIS2 betont die Servicekontinuität, DORA betont betriebliche Belastbarkeit und Konzentrationsrisiko, CER betont das Produktschwachstellenmanagement.

Stimmen Sie sich mit der Beschaffung ab, um sicherzustellen, dass die Produktauswahl den CER-Anforderungen entspricht, wodurch die Notwendigkeit von Ausgleichskontrollen gemäß NIS2 und DORA reduziert wird.

Wichtige Erkenntnisse

- NIS2 schafft eine breite Grundlage für kritische Unternehmen; DORA zielt auf die Widerstandsfähigkeit von Finanzdienstleistungen ab; CER sichert Produkte an der Quelle. Zusammen schaffen sie eine umfassende Regulierungsarchitektur, die sich auf die Verteidigung konzentriert.
- Die Klassifizierung der Entitäten in jedem Framework ist unterschiedlich. Eine Organisation kann zwar NIS2-reguliert sein, aber nicht DORA-reguliert, oder umgekehrt. Ermitteln Sie Ihre Einstufung gemäß jeder Richtlinie, bevor Sie Ihr Compliance-Programm entwerfen.
- Überlappende Anforderungen (Meldung von Zwischenfällen, Unternehmensführung, Risikomanagement) können in einem einzigen Rahmen mit sektorspezifischen Verzweigungen konsolidiert werden; doppelte Kontrollen werden vermieden.
- Die Standards für betriebliche Widerstandsfähigkeit von DORA sind präskriptiver als der auf Verhältnismäßigkeit basierende Ansatz von NIS2, was darauf hindeutet, dass Finanzunternehmen mit höheren Sicherheitserwartungen konfrontiert sind.
- Die CER-Konformität reduziert das Sicherheitsrisiko auf Produktebene in allen Frameworks. Integrieren Sie die CER-konforme Produktauswahl in Ihre allgemeine Compliance-Strategie.