Regulatory Landscape

NIS2 – Cybersicherheit für kritische Einrichtungen

NIS2 als ergänzenden Informationssicherheits- und Cybersecurity-Rahmen für Finanzdienstleister einordnen.

Management-Zusammenfassung

NIS2 richtet sich an besonders wichtige und wichtige Einrichtungen in der EU.
Finanzunternehmen, die DORA unterliegen, sind von ausgewählten NIS2-Umsetzungspflichten ausgenommen.
NIS2 bleibt als Orientierungsrahmen für Cybersicherheitsmassnahmen und Risikomanagement relevant.
Die Melde- und Nachweislogik nach NIS2 kann mit DORA-Prozessen harmonisiert werden.

Anwendungsbereich und Einrichtungslogik

NIS2 unterscheidet besonders wichtige und wichtige Einrichtungen. Die Einstufung bestimmt den Umfang der Pflichten. Finanzunternehmen sollten prüfen, ob und in welchem Umfang sie NIS2 unterliegen und ob die DORA-Ausnahmeregelung greift.

Besonders wichtige Einrichtungen

Kreditinstitute, Betreiber kritischer Anlagen, bestimmte Digitaldienstleister.

Wichtige Einrichtungen

Andere Finanzunternehmen, bestimmte KMU, sonstige kritische Sektoren.

NIS2 vs. DORA

Gemeinsamkeiten

Risikomanagementmassnahmen für Informationssicherheit
Meldepflichten für Sicherheitsvorfälle
Anforderungen an Lieferantensicherheit
Governance und Rechenschaftspflicht

Unterschiede

DORA spezifisch für Finanzunternehmen, NIS2 sektorübergreifend
DORA detailliertere Anforderungen an IKT-Resilienz
NIS2 breiterer Anwendungsbereich (alle kritischen Sektoren)
DORA-Ausnahme für NIS2-Pflichten bei Meldewesen und Registrierung

NIS2-Control-Karten

NIS2-CTRL-001

Anwendungsbereich prüfen

Prüfung, ob das Institut als besonders wichtige oder wichtige Einrichtung nach NIS2 einzustufen ist, unter Berücksichtigung der DORA-Ausnahmeregelung.

NIS2-CTRL-002

Einrichtungsstatus bewerten

Bewertung des Einrichtungsstatus anhand von Grösse, Branche, Kritikalität und bestehender Regulierung.

NIS2-CTRL-003

Risikomanagementmassnahmen strukturieren

Strukturierung von Risikomanagementmassnahmen nach NIS2-Vorgaben für Informationssicherheit und Cybersicherheit.

NIS2-CTRL-004

Meldepflichten einordnen

Einordnung der NIS2-Meldepflichten für Sicherheitsvorfälle im Verhältnis zu DORA-Meldepflichten.

NIS2-CTRL-005

Nachweislogik definieren

Definition einer Nachweislogik, die sowohl DORA- als auch NIS2-Anforderungen abdeckt.

NIS2-CTRL-006

Schnittstellen zu DORA dokumentieren

Dokumentation der Schnittstellen und Abgrenzungen zwischen NIS2- und DORA-Anforderungen.

Nachweise NIS2

EVD-NIS2-001 NIS2-Anwendungsbereichsprüfung Compliance / Informationssicherheit · Jährlich

EVD-NIS2-002 Einrichtungsstatus-Bewertung Compliance · Jährlich

EVD-NIS2-003 Sicherheitskonzept NIS2 Informationssicherheit · Jährlich

EVD-NIS2-004 Meldeprozess NIS2/DORA Informationssicherheit / Compliance · Bei Änderung

EVD-NIS2-005 Schnittstellendokumentation NIS2-DORA Compliance · Jährlich

Disclaimer

Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

EUR-Lex: NIS2 (EU) 2022/2555 Stand: 2022-12-27
BSI: NIS2-Umsetzungsgesetz in Kraft Stand: 2025-12-06
BSI: NIS-2-Richtlinie Stand: Abruf 2026-05-07

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.