AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Analyse

DORA oder NIS2: welche gilt für meine (Logistik-)Organisation?

Verabschiedet 2026-06-16 · ≈ 2 Min. Lesezeit · Dirk Baaijen

Eine Logistikorganisation fällt in der Regel unter NIS2 (Transport ist ein wesentlicher Sektor), nicht unter DORA. DORA gilt für Finanzunternehmen. Sind Sie beides, geht DORA als lex specialis vor.

Kurze Antwort: Für eine Logistikorganisation ist NIS2 fast immer der maßgebliche Rahmen, nicht DORA. NIS2 nennt Transport (Luft, Schiene, Straße, Wasser) ausdrücklich als wesentlichen Sektor. DORA gilt nur für Finanzunternehmen. Sind Sie beides zugleich — etwa ein Beförderer mit Zahlungslizenz — geht DORA für diesen Teil als speziellere Regel vor.

Zwei Rahmen mit unterschiedlichem Anwendungsbereich

DORA (Verordnung (EU) 2022/2554) und NIS2 (Richtlinie (EU) 2022/2555) regeln beide die digitale Resilienz, aber für unterschiedliche Zielgruppen. DORA richtet sich an eine abschließend aufgezählte Liste von Finanzunternehmen: Banken, Versicherer, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute und ihre kritischen IKT-Dienstleister. Die Verordnung ist seit dem 17. Januar 2025 anwendbar. Ein Logistikunternehmen fällt nicht unter diese Aufzählung und damit nicht unter DORA — es sei denn, es übt selbst eine regulierte Finanztätigkeit aus.

NIS2 verfolgt einen sektoralen und größenbasierten Ansatz. Die Richtlinie erfasst achtzehn Sektoren, darunter Transport, der als wesentlicher Sektor eingestuft ist. Für eine Logistikorganisation lautet die Frage somit nicht, ob der Sektor in den Anwendungsbereich fällt, sondern ob das Unternehmen groß genug ist. Mittlere und große Unternehmen (in der Regel ab etwa 50 Beschäftigten) fallen üblicherweise unter NIS2; Kleinst- und Kleinunternehmen meist nicht, mit Ausnahmen für kritische Akteure.

Was, wenn beide anwendbar erscheinen?

Eine Organisation kann theoretisch unter beide Rahmen fallen, etwa wenn eine Logistikgruppe eine eigene Zahlungs- oder Finanzierungseinrichtung hat. NIS2 sieht dies vor. Die Richtlinie bestimmt, dass dort, wo ein sektorspezifischer Unionsrechtsakt Anforderungen stellt, die denen von NIS2 mindestens gleichwertig sind, dieser speziellere Rechtsakt Vorrang hat. DORA wird in diesem Zusammenhang ausdrücklich als solche lex specialis für den Finanzsektor behandelt. Für den finanziellen Teil gelten dann die DORA-Pflichten zum IKT-Risikomanagement, zur Vorfallmeldung und zur Aufsicht über IKT-Drittdienstleister; für die nichtfinanziellen Teile bleiben die NIS2-Pflichten der Ausgangspunkt. Prüfen Sie dies je Einrichtung und je Tätigkeit, denn die Abgrenzung folgt der regulierten Tätigkeit, nicht dem Namen des Konzerns.

Die nationale Umsetzung bestimmt die Details

DORA ist eine Verordnung und gilt unmittelbar in allen Mitgliedstaaten, mit einheitlichen Pflichten. NIS2 ist eine Richtlinie und muss in nationales Recht umgesetzt werden; in den Niederlanden geschieht dies über das Cyberbeveiligingswet. Die Umsetzungsfrist endete am 17. Oktober 2024, und die Umsetzung unterscheidet sich je Mitgliedstaat. Die genauen Schwellen, die Sektorabgrenzung und die Ausnahmen für Ihre Situation stehen daher im nationalen Recht des Landes, in dem Sie tätig sind. Bestimmen Sie zunächst Ihren Einrichtungstyp und Ihre Tätigkeit und ziehen Sie anschließend das anwendbare nationale Recht für die genauen Pflichten und Fristen heran.

Lesen Sie auch: Transport & Logistik. Machen Sie den Scan.

Quellen

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
    Verordnung (EU) 2022/2554 (DORA), verbindlicher Text; anwendbar seit 17. Januar 2025; Anwendungsbereich Finanzunternehmen.
  2. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlinie (EU) 2022/2555 (NIS2): Transport als wesentlicher Sektor; Verhältnis zu sektorspezifischen Unionsrechtsakten.
  3. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
    Europäische Kommission — NIS2: Anwendungsbereich (18 Sektoren, darunter Transport) und Einrichtungskategorien.

Share on LinkedIn

Lesen Sie auch

U

Fällt mein Transport- oder Logistikunternehmen unter NIS2?

Der Verkehr ist ein wesentlicher Sektor unter NIS2, daher geht es vor allem um Ihre Größe. Mittlere und große Unternehmen (ab ~50 Beschäftigten) fallen in der Regel unter die Pflicht; Kleinst- und Kleinunternehmen meist nicht. Die nationale Umsetzung bestimmt die Details. So prüfen Sie es.

U

Cybersicherheit in Seehäfen: NIS2 und der Cyber Resilience Act

Seehäfen fallen unter NIS2 (Richtlinie (EU) 2022/2555): Risikomanagementmaßnahmen, Verantwortung der Leitungsorgane und Meldepflicht. Der Cyber Resilience Act (Verordnung (EU) 2024/2847) stellt Sicherheitsanforderungen an digitale Produkte in Hafenketten.

U

Deckt meine ISO-27001-Zertifizierung die Sorgfaltspflicht unter NIS2 ab?

ISO 27001 deckt einen großen Teil der NIS2-Risikomanagementmaßnahmen ab, ist aber keine automatische Compliance. Meldepflicht, Verantwortung der Leitung, Lieferkettenrisiko und Registrierung müssen Sie gesondert abdecken.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Monthly Transport & Logistics alerts

Once a month: the EU developments that affect transport and logistics, briefly interpreted — with sources. No spam, unsubscribe anytime.

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.