Der Digital Operational Resilience Act (DORA) ist als sektorspezifisches Gesetz zu betrachten. Während die NIS2-Richtlinie allgemein die Cybersicherheit adressiert, konzentriert sich DORA spezifisch auf die digitale operationale Resilienz des Finanzsektors (Banken, Versicherungen, Wertpapierfirmen). Dabei geht DORA in seinen Anforderungen oft über die NIS2-Richtlinie hinaus (z. B. durch verpflichtende Penetrationstests und strengeres Management von Drittanbietern).
Gemäß dem Grundsatz der Spezialität verdrängt DORA die NIS2-Bestimmungen für Finanzunternehmen weitgehend. Ein Unternehmen, das DORA-konform ist, erfüllt in der Regel die Anforderungen der NIS2 im Bereich der digitalen Sicherheit automatisch.
