Vergleich
Framework-Vergleich
DORA, NIS2, MaRisk und ISO 27001 im direkten Vergleich: Geltungsbereich, Anforderungen, Strafen und Überschneidungen.
| Merkmal | DORA | NIS2 | MaRisk | ISO 27001 |
|---|---|---|---|---|
| Vollform | Digital Operational Resilience Act | EU 2022/2555 — Netz- und Informationssicherheit | Mindestanforderungen an das Risikomanagement (BaFin) | ISO/IEC 27001:2022 — Informationssicherheit |
| Geltungsbereich | Finanzinstitute (CRR/CRD, ICAAP, Zahlungsdienste) | Wesentliche + wichtige Einrichtungen (Energie, Verkehr, Finanzen, Gesundheit) | Alle CRR-Institute, Finanzdienstleister | Alle Organisationen (freiwillig) |
| Umfang | 54 Artikel + 30 Level-2-Maßnahmen | 35 Artikel | 9 Module (AT + BT 1-8) | 93 Annex A Controls in 4 Domänen |
| Schwerpunkt | IKT-Risikomanagement, Vorfallmeldung, Resilienztests, Drittparteien | Cyber-Sicherheit, Incident-Reporting, Lieferkette, Governance | Risikomanagement, ICAAP, Outsourcing, Revision | ISMS, Risikomanagement, Controls, kontinuierliche Verbesserung |
| Status | In Kraft seit Jan 2025, Anwendung ab Jan 2025 | In Kraft seit Jan 2023, Umsetzung bis Okt 2024 | 9. Novelle in Konsultation (2026) | Aktuelle Version 2022, Übergangsfrist bis Okt 2025 |
| Kernanforderungen | Art. 5-16 IKT-RM, Art. 17-23 Vorfälle, Art. 24-27 Tests, Art. 28-30 TPR | Art. 20 Governance, Art. 21 Cyber-RM, Art. 23 Meldung, Art. 24 Lieferkette | AT 4.3.2 Risikotragfähigkeit, AT 7.2 Notfall, BTO 1.2 Sicherheit, BTO 2 Auslagerung | Clauses 4-10, Annex A.5-A.8 (organisatorisch, personell, physisch, technisch) |
| Sanktionen | Bis zu 2% des Jahresumsatzes oder 10 Mio. € | Bis zu 10 Mio. € oder 2% des Umsatzes | Aufsichtsrechtliche Maßnahmen, Sonderprüfungen | Keine direkten Strafen, aber Zertifikatsentzug |
DORA ↔ ISO 27001
- · A.5
- · A.6
- · A.8
- · A.11
- · A.12
- · A.16
- · A.17
DORA ↔ MaRisk
- · AT 4.3.2
- · AT 7.2
- · AT 7.3
- · BTO 1.2
- · BTO 1.3
NIS2 ↔ ISO 27001
- · A.5
- · A.6
- · A.7
- · A.8
- · A.16
MaRisk ↔ ISO 27001
- · A.5
- · A.6
- · A.8
- · A.12
- · A.18