Cyber-Sicherheit

NIS und DORA kooperieren

Die NIS-Behörde und die DORA-Behörden: Finanzmarktaufsicht (FMA) und Oesterreichische Nationalbank (OeNB) schlossen am 12. Dezember 2025 eine Kooperationsvereinbarung zur Stärkung der Cyber-Sicherheit in Österreich.

Schon seit Beginn der Verhandlungen der NIS-2-Richtlinie stehen die NIS-Behörde und die DORA-Behörden (Digital Operational Resilience Act) in regem Austausch. Diese mehrjährige Zusammenarbeit im Bereich der Cyber-Sicherheit wurde mit Unterzeichnung dieser Kooperationsvereinbarung institutionalisiert und ausgebaut.
Die Kooperationsvereinbarung umfasst mehrere Ziele, darunter:

• Eine stärker strukturierte Zusammenarbeit zwischen der NIS-Behörde, FMA und OeNB in der Schnittmenge des Vollzugs des NISG (Netz- und Informationssystemsicherheitsgesetzes) und der Überwachung der Anwendung von DORA
• Kontinuierlicher Informationsaustausch zwischen den beiden Behörden
• Themenspezifische Kooperation zur Unterstützung der Aufgabenerfüllung der NIS und der DORA Behörde
• Erzeugung von Synergien, insbesondere in Hinblick auf Know-how-Transfer, Austausch von Expertise und Projektpartnerschaften

Die Zusammenarbeit zwischen den DORA-Behörden und der NIS-Behörde ist wichtig, weil Cyber-Sicherheit keine Aufgabe ist, die in Isolation gelöst werden kann. Die Herausforderungen der Cyber-Sicherheit und der digitalen Resilienz wachsen nicht nur in ihrer Komplexität, sondern auch in ihrer Geschwindigkeit. Die Bedrohungen sind vielfältig: Von staatlich geförderten Hackerangriffen über kriminelle Ransomware-Banden bis hin zu gezielten Attacken auf kritische Infrastruktur wie Energieversorgung, Gesundheitswesen oder Finanzsysteme. Jede dieser Bedrohungen hat das Potenzial, unsere Gesellschaft empfindlich zu treffen.

Gemeinsame Ziele, unterschiedliche Blickwinkel.

Die NIS-Richtlinie verfolgt das Ziel, die allgemeine Cyber-Sicherheit in wesentlichen und wichtigen Sektoren zu stärken. DORA hingegen fokussiert sich auf die digitale operationelle Resilienz im Finanzsektor. Beide Regulierungen adressieren zentrale Risiken, aber aus unterschiedlichen Perspektiven. Nur wenn diese Perspektiven verbunden werden, entsteht ein vollständiges Lagebild. Der Austausch von Informationen zwischen den beiden Behörden zu Vorfällen ist sehr wichtig und soll ausgebaut werden, um das gesamtstaatliche Lagebild zu verfeinern. Auch im Krisenmanagements wird an einer engeren Zusammenarbeit gearbeitet werden. Cyber-Vorfälle machen nicht an regulatorischen Grenzen halt.
Ein Angriff auf ein Finanzinstitut betrifft nicht nur DORA; er kann weitreichende Auswirkungen auf kritische Infrastruktur im Sinne der NIS-Richtlinie haben – und umgekehrt. Wenn Behörden Informationen, Analysen und Warnungen schnell und strukturiert austauschen, können sie: Bedrohungen früher erkennen, koordinierte Maßnahmen einleiten und die Widerstandsfähigkeit der gesamten digitalen Ökosysteme erhöhen.
Österreich und Europa werden nur dann als verlässlicher, sicherer Wirtschafts- und Digitalstandort wahrgenommen, wenn wir kohärent handeln. Zersplitterte Aufsicht schwächt nicht nur die Umsetzungskraft der Regulierungen, sondern auch das Vertrauen von Einrichtungen, Investoren und Bürgern in die Stabilität unserer Systeme. Eine abgestimmte Zusammenarbeit zwischen DORA- und NIS-Behörden schafft Klarheit, Transparenz und Verlässlichkeit, genau diese Eigenschaften sind essentiell, um die Digitalisierung zu stärken. Ohne koordinierte Aufsicht läuft man Gefahr, dass Einrichtungen mit parallelen Anforderungen konfrontiert werden. Eine enge Zusammenarbeit sorgt dafür, dass Einrichtungen klare, konsistente und praktikable Anforderungen erhalten. Erste Abstimmungen zu den rechtlichen Anforderungen, die Einrichtungen im NIS Bereich treffen (werden) und die sie aus dem DORA Bereich treffen sind bereits in Abstimmung.

Wertschätzende Partnerschaft.

Die Zusammenarbeit zwischen den beiden Behörden wird auf Basis von Prinzipien wie gegenseitiger Wertschätzung, Ausbau der Vertrauensbasis und Nutzung von Synergien erfolgen. Die Umsetzung der Zusammenarbeit wird durch die Bestellung von Koordinatoren bei beiden Organisationen gewährleistet, die für die operative und administrative Abwicklung der Zusammenarbeit verantwortlich sind.
Das erste operative Abstimmungstreffen hat bereits im Januar 2026 stattgefunden, wo wichtige Themen wie das Verhältnis zwischen den beiden Rechtsakten (DORA und NIS), gemeinsame themenbezogene Seminare, Workshops und Veranstaltungen zur Förderung der Zusammenarbeit oder neue europäische Rechtsakte im Bereich Cyber-Sicherheit Thema waren.
Die Kooperationsvereinbarung ist für die Dauer von fünf Jahren ausgelegt und kann im beiderseitigen Einvernehmen jeweils weitere fünf Jahre verlängert werden. Nach 2,5 Jahren wird eine erste Evaluierung über die Zusammenarbeit durchgeführt, um den Nutzen und Mehrwert der Kooperation zu überprüfen.

Caroline Schmidt

---

​Öffentliche Sicherheit, Ausgabe 3-4/2026

 Druckversion des Artikels (PDF, 112 kB)