NIS2 vs DORA Geltungsbereich-Überschneidung für WordPress-Agenturen 2026
Richtlinie 2022/2555 (NIS2) und Verordnung 2022/2554 (DORA) decken ähnliches Terrain ab, aber mit unterschiedlicher Mechanik. NIS2 ist eine Richtlinie, die jeder Mitgliedstaat in nationales Recht umsetzt. DORA ist eine Verordnung mit direkter Geltung. NIS2 deckt eine breite Palette wesentlicher und wichtiger Sektoren ab. DORA ist finanzspezifisch. Wo sie sich überschneiden (Großteil von Risikomanagement, Vorfallsbehandlung, Lieferkette), kann ein gut gebauter Nachweispfad beide bedienen. Wo DORA weiter geht (Informationsregister, TLPT), muss die WordPress-Agentur die Deltas hinzufügen.
Dies ist ein vertiefender Artikel innerhalb der NIS2 und DORA WordPress Säule, mit Querverweisen zur Anhang II Nachweispfad-Anleitung, zur DORA Artikel 28 Drittparteienrisiko-Erklärung, zur Informationsregister-Feldanleitung und zur 24/72/30 Vorfallszeitleiste.
TL;DR
- DORA ist Lex specialis für Finanzunternehmen; NIS2 gilt anderswo.
- Überschneidung: Risikomanagement, Vorfälle, Geschäftskontinuität, Lieferkette, Berichterstattung.
- Nur DORA: Informationsregister-Schema, TLPT für kritische Unternehmen, präskriptive Drittparteienklauseln.
- Nur NIS2: breitere sektorale Reichweite (Energie, Verkehr, Gesundheit, öffentliche Verwaltung), nationale Umsetzungsvarianten.
- Praxisregel: hat ein Kunde DORA-Pflichten, baue den Nachweispfad auf DORA-Niveau und skaliere für NIS2 herunter.
Wie NIS2 selbst DORA benennt
Artikel 1(2) NIS2 sagt: wo sektorspezifische Unionsrechtsakte wesentliche oder wichtige Unternehmen verpflichten, Cybersicherheitsrisiken zu verwalten oder erhebliche Vorfälle zu melden, gelten diese sektorspezifischen Bestimmungen. DORA ist einer dieser Akte. Ein Finanzunternehmen im Geltungsbereich von DORA erfüllt also nicht doppelt: es erfüllt DORA, und die entsprechenden NIS2-Bestimmungen gelten als erfüllt.
Was DORA nicht ausdrücklich behandelt (z.B. Teile der NIS2-Verantwortung des Leitungsorgans, Schulung, sektorgemeinsame CSIRT-Kooperation), deckt die NIS2-Baseline weiterhin ab.
Für eine WordPress-Agentur heißt das: ist Ihr Kunde eine Bank, eine Wertpapierfirma, ein Zahlungsinstitut, ein Versicherer, ein Vermögensverwalter, ein TPP unter PSD2 - DORA dominiert. Bauen Sie auf DORA. Ist Ihr Kunde ein Krankenhaus, ein TLD-Register, ein Energieverteiler, ein Postbetreiber - NIS2 dominiert. Bauen Sie auf NIS2.
Was sich überschneidet
Fünf große Überschneidungsbereiche, in denen ein einziges Artefakt beiden Regimen dient:
Risikomanagement. NIS2 Artikel 21 listet zehn Maßnahmen; DORA Artikel 5-15 deckt denselben konzeptionellen Boden detaillierter ab. Ein Risikoregister, das Assets, Bedrohungen, Wahrscheinlichkeit, Auswirkung und Behandlung benennt, erfüllt beide. Detailgrad unterscheidet sich: DORA verlangt mehr Granularität für kritische oder wichtige Funktionen; NIS2 erwartet Verhältnismäßigkeit.
Vorfallsbehandlung. NIS2 Artikel 22-23 und DORA Artikel 17-23 verlangen beide Klassifikation, Reaktion, Wiederherstellung, Post-Mortem und Berichterstattung. Die Meldefristen unterscheiden sich leicht (NIS2: 24h Frühwarnung, 72h Meldung, 1-Monats-Abschlussbericht; DORA: ähnlich, mit sektorspezifischen Vorlagen). Der interne Incident-Response-Runbook lässt sich teilen.
Geschäftskontinuität. NIS2 Artikel 21(2)(c) und DORA Artikel 11 verlangen beide Backup, getestetes Restore, Off-Site, mit dokumentierten RPO und RTO. Ein BCDR-Plan mit einem jährlichen Restore-Drill-Log erfüllt beides.
Lieferkettenkontrollen. NIS2 Artikel 21(2)(d) und DORA Artikel 28 verlangen beide Lieferantenregister, Due Diligence, Vertragsklauseln, Exit-Plan. Das DORA-Informationsregister ist ein strengeres Schema; auf DORA gebaut bekommen Sie NIS2-Lieferketten-Compliance kostenlos.
Berichterstattung. Beide verlangen Berichterstattung an die zuständige Behörde. NIS2 benennt nationales CSIRT und zuständige Behörde; DORA berichtet an den Finanzregulator (national plus ESAs). Die interne Evidenz-Vorbereitung ist gleich; der Adressat ist unterschiedlich.
Was DORA obendrauf legt
Drei Deltas, in denen DORA über NIS2 hinausgeht und die WordPress-Agentur spezifische Evidenz hinzufügen muss:
Informationsregister-Schema. Durchführungsverordnung 2024/2956 spezifiziert fünfzehn Tabellen mit benannten Spalten. Detailliert in der Informationsregister-Feldanleitung. NIS2 hat kein Pendant; die Agentur unter reinen NIS2-Pflichten braucht dieses Schema nicht.
Threat-Led Penetration Testing. DORA Artikel 26 verlangt fortgeschrittene TLPT für als bedeutend eingestufte Finanzunternehmen. Die Agentur, die kritische Infrastruktur für ein solches Unternehmen betreibt, kann als getestetes System im Geltungsbereich sein. NIS2 erwähnt Schwachstellenbehandlung breit, aber kein TLPT.
Konzentrationsrisiko und Substituierbarkeit. DORA Artikel 29 verlangt explizite Konzentrationsanalyse: wie viele kritische Funktionen trägt diese Drittpartei, und wie leicht kann sie ersetzt werden. Die Agentur muss “wer kann diese Arbeit in acht Wochen erledigen, wenn wir verschwinden” beantworten können. NIS2 hat keine vergleichbare präskriptive Forderung.
Was NIS2 obendrauf legt
Zwei Deltas, in denen NIS2 weiter reicht als DORA in Nicht-Finanz-Kontexten:
Sektorale Breite. Krankenhäuser, ISPs, Telekom-Carrier, Postdienste, Lebensmittelproduktion, öffentliche Verwaltung, Forschungsorganisationen sind in NIS2. Die meisten nicht in DORA. Die Agentur über mehrere Klientensektoren hält einen NIS2-konformen Pfad pro Sektor.
Nationale Umsetzungsvarianten. Weil NIS2 Richtlinie ist, setzt jeder Mitgliedstaat Details mit lokalem Geschmack um. Die deutsche Umsetzung (KRITIS-DachG / NIS2UmsuCG) unterscheidet sich von der polnischen (KSC) und der norwegischen. Die grenzüberschreitend tätige Agentur hält ein kleines Pro-Jurisdiktion-Delta-Dokument.
Ein Nachweispfad, beide Regimes
Praktischer Nachweispfad-Aufbau, der beide abdeckt:
00_governance/- Risikoregister, Freigabe Leitungsorgan, Review-Kadenz.01_risikomanagement/- Artikel 21 / Artikel 5 Mapping, Kontrollen, Evidenzen.02_incident_response/- Runbook, Tabletop-Drills, Post-Mortems, 24/72/30-Vorlagen.03_geschaeftskontinuitaet/- Backup-Policy, Restore-Test-Logs, BCDR-Plan.04_lieferkette/- Lieferantenregister, Subprocessor-Liste, Due-Diligence-Akten.05_dora_register/- Informationsregister-Inputs (15 Tabellen) für DORA-Kunden.06_berichterstattung/- alte Meldungen, Adressatenlog, Fristenlog.07_jurisdiktionen/- Pro-Mitgliedstaat-NIS2-Umsetzungsdeltas.08_tlpt/- für DORA-bedeutende Unternehmen, TLPT-Berichte und Mitigation.
Einmal gebaut, quartalsweise iteriert, dauert das nächste Lieferanten-Review Stunden statt Wochen.
