NIS2 vs. DORA: Wer fällt unter was?
In Kürze: DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) regelt die digitale operationelle Resilienz im Finanzsektor und gilt seit 17. Januar 2025. NIS2 — in Österreich umgesetzt durch das NISG 2026 — deckt 18 Sektoren breit ab und tritt am 1. Oktober 2026 in Kraft. Für Finanzunternehmen ist DORA das speziellere Recht und geht vor; das NISG trägt dem über den DORA-Vorrang in § 24 Abs. 7 Rechnung. IKT-Drittdienstleister des Finanzsektors können nach § 24 Abs. 8 NISG zusätzlich dem NISG unterliegen. Andere Sektoren richten sich nach NIS2.
Beide Regelwerke verfolgen dasselbe Ziel — widerstandsfähige IT —, adressieren aber unterschiedliche Adressatenkreise. Die Abgrenzung entscheidet, welches Regime für Ihr Unternehmen voraussichtlich gilt. Eine genaue, fallbezogene Einstufung nehmen Sie über den NIS2-Betroffenheits-Check vor.
DORA — der Finanzsektor-Spezialfall
DORA ist eine EU-Verordnung und gilt unmittelbar in jedem Mitgliedstaat (kein nationales Umsetzungsgesetz nötig). Sie erfasst Finanzunternehmen im Sinne von Art. 2 DORA, darunter u. a.:
- Kreditinstitute, Zahlungs-, Kontoinformations- und E-Geld-Institute
- Wertpapierfirmen sowie Anbieter von Krypto-Dienstleistungen
- Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler
- Handelsplätze, zentrale Gegenparteien, Zentralverwahrer, Transaktionsregister
- Verwalter alternativer Investmentfonds und Verwaltungsgesellschaften
- Ratingagenturen, Einrichtungen der betrieblichen Altersversorgung u. a.
Hinzu kommen IKT-Drittdienstleister des Finanzsektors: Sie sind in Art. 2 DORA gesondert genannt (und zählen dort nicht zu den „Finanzunternehmen"), werden aber über ein eigenes Aufsichtsregime erfasst.
DORA verlangt u. a. IKT-Risikomanagement, Vorfallmeldung, Resilienz-Tests (bis hin zu Threat-Led Penetration Testing) und ein striktes Drittparteien-Risikomanagement.
NIS2 — die breite Cybersicherheits-Basis
NIS2 erfasst über das österreichische NISG 2026 18 Sektoren quer durch die Wirtschaft (Energie, Gesundheit, Verkehr, verarbeitendes Gewerbe usw.) und verlangt Registrierung bei der Cybersicherheitsbehörde (§ 29), Risikomanagement (§ 32) und Vorfallmeldung an das zuständige CSIRT (§ 34/35). Die Erstregistrierung ist bis 31.12.2026 vorzunehmen. Überblick: NISG 2026 Leitfaden; die konkreten Pflichten fasst der NIS2-Pflichten-Überblick zusammen.
Der Vorrang: DORA geht NIS2 vor (für den Finanzsektor)
Für Einrichtungen, die in den Anwendungsbereich von DORA fallen, gehen deren Bestimmungen als spezielleres Recht vor — insbesondere beim IKT-Risikomanagement und bei der Vorfallmeldung. Das österreichische NISG 2026 ordnet diesen DORA-Vorrang in § 24 Abs. 7 ausdrücklich an. Praktisch heißt das: Ein klassisches Finanzunternehmen erfüllt für diese Themen DORA und nicht zusätzlich die NIS2-Pflichten.
Wichtige Ausnahme nach unserer Lesart: IKT-Drittdienstleister des Finanzsektors unterliegen nach § 24 Abs. 8 NISG auch dem NISG — der DORA-Vorrang befreit sie also nicht automatisch von den NISG-Pflichten.
| NIS2 / NISG 2026 | DORA | |
|---|---|---|
| Adressaten | 18 Sektoren (breit) | Finanzunternehmen (Art. 2 DORA) + IKT-Drittdienstleister |
| Rechtsform | EU-Richtlinie → nationales Gesetz (NISG) | EU-Verordnung (unmittelbar) |
| Geltung | NISG 2026 ab 1.10.2026 | seit 17.1.2025 |
| Schwerpunkt | Cybersicherheit, Meldung, Registrierung | operationelle Resilienz, Tests, Drittparteien |
| Verhältnis | nachrangig für DORA-Adressaten (§ 24 Abs. 7 NISG) | Vorrang im Finanzsektor |
Kann ein Unternehmen unter beide fallen?
In Mischkonstellationen ja — etwa:
- Konzerne mit Finanz- und Nicht-Finanz-Gesellschaften: Die Finanzteile folgen DORA, andere Sektoren-Gesellschaften ggf. NIS2.
- IKT-Dienstleister, die sowohl den Finanzsektor (DORA-Drittparteien-Regime, ggf. § 24 Abs. 8 NISG) als auch andere NIS2-Sektoren beliefern.
Im Zweifel ist die Zuordnung je Einheit und Tätigkeit zu prüfen. Unser Sofort-Check markiert Finanzsektor-Fälle als „manuelle Prüfung", damit die DORA-Abgrenzung nicht untergeht; jede Einstufung lässt sich als unveränderlicher Snapshot prüffest dokumentieren.
Unsicher, welches Regime gilt?
Prüfen Sie Ihre voraussichtliche NIS2-Einstufung — Finanzsektor-Fälle erkennt der Check und weist sie zur DORA-Prüfung aus. Frist zur NIS2-Registrierung: 31.12.2026. → Jetzt kostenlos prüfen
Häufige Fragen (FAQ)
Was ist der Unterschied zwischen NIS2 und DORA? NIS2 ist die breite EU-Cybersicherheitsregelung für 18 Sektoren (in Österreich das NISG 2026); DORA (Verordnung (EU) 2022/2554) ist die spezielle Regelung für die digitale operationelle Resilienz des Finanzsektors und gilt seit 17. Januar 2025.
Gilt für Banken NIS2 oder DORA? Für Banken und andere Finanzunternehmen geht vorrangig DORA als spezielleres Recht vor. Das NISG 2026 ordnet diesen Vorrang in § 24 Abs. 7 an.
Kann ein Unternehmen unter beide Regelungen fallen? Ja. In Mischkonzernen oder als IKT-Drittdienstleister (§ 24 Abs. 8 NISG) ist eine Prüfung je Gesellschaft und Tätigkeit nötig — IKT-Drittdienstleister des Finanzsektors können neben DORA auch dem NISG unterliegen.
Seit wann gilt DORA und ab wann das NISG 2026? DORA gilt seit dem 17. Januar 2025 (Art. 64 der Verordnung (EU) 2022/2554). Das NISG 2026 tritt am 1. Oktober 2026 in Kraft; die Erstregistrierung ist bis 31.12.2026 vorzunehmen.
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich sind die jeweiligen Rechtstexte (BGBl. I Nr. 94/2025; Verordnung (EU) 2022/2554). Quellen: RIS — BGBl. I Nr. 94/2025, nis.gv.at, WKO.