Leitlinien zum Verhältnis der NIS 2-Richtlinie und der DORA-Verordnung

Die Europäische Kommission hat Leitlinien zum Verhältnis zwischen der Richtlinie (EU) 2022/2555 (NIS 2-Richtlinie) und der Verordnung (EU) 2022/2554 (DORA-Verordnung) in Bezug auf das Risikomanagement im Bereich der Cybersicherheit und die Meldepflichten bei Vorfällen veröffentlicht.

Die Leitlinien konzentrieren sich insbesondere auf die Anwendung von Artikel 4 Absätze 1 und 2 der NIS-2-Richtlinie über Cybersicherheitsmaßnahmen in der Union, die sich auf die Anwendung sektoraler Rechtsakte der Union beziehen, in denen die Annahme von Maßnahmen zum Cybersicherheitsrisikomanagement oder zur Meldung erheblicher Vorfälle gefordert wird, die als mindestens gleichwertig mit den in der NIS-2-Richtlinie vorgesehenen Maßnahmen angesehen werden.

Die DORA-Verordnung über die digitale operationelle Widerstandsfähigkeit des Finanzsektors stellt eine lex specialis gegenüber der Richtlinie (EU) 2022/2555 dar, wie aus ihrem Erwägungsgrund 16 hervorgeht.

In den Leitlinien der Kommission wird die DORA-Verordnung als einer der sektoralen Rechtsakte der Union aufgeführt, die in den Anwendungsbereich von Artikel 4 der NIS-2-Richtlinie fallen (siehe Anhang zu den Leitlinien).

Die Tatsache, dass andere Rechtsakte von der Kommission nicht berücksichtigt wurden, bedeutet jedoch nicht zwangsläufig, dass sie nicht in den Anwendungsbereich dieser Bestimmung fallen.

Diese Leitlinien wurden nach Kommentaren der NIS-Kooperationsgruppe und der Agentur der Europäischen Union für Cybersicherheit (ENISA) angenommen.

Die Leitlinien der Europäischen Kommission berühren nicht die Auslegung des Unionsrechts durch den Gerichtshof der Europäischen Union.