Twee officiële documentmappen met reliëfzegels op een mahonie bureau, met een messing vergrootglas op de kruising

Wat is het verschil tussen DORA en NIS2?

in

Het belangrijkste verschil tussen DORA en NIS2 ligt in de juridische status en sectorale focus. DORA is een EU-verordening die rechtstreeks van toepassing is op financiële instellingen en hun kritieke ICT-dienstverleners, terwijl NIS2 een bredere richtlijn is die 18 sectoren bestrijkt en door lidstaten in nationale wetgeving moet worden omgezet. Beide regelgevingen stellen eisen aan cybersecurity en incidentmelding, maar met verschillende accenten en toezichtstructuren.

Wat is DORA en voor wie geldt deze verordening?

De Digital Operational Resilience Act (DORA) is een EU-verordening die sinds 17 januari 2025 van toepassing is op de financiële sector. Als verordening werkt DORA rechtstreeks in alle EU-lidstaten, zonder dat nationale omzetting nodig is. De wetgeving beschermt tegen cyberaanvallen en andere verstoringen die financiële diensten kunnen onderbreken.

DORA geldt voor een breed scala aan financiële entiteiten, waaronder banken, verzekeraars, herverzekeraars, beleggingsondernemingen, betalingsinstellingen en beheerders van beleggingsfondsen. Daarnaast vallen kritieke derde ICT-dienstverleners onder de reikwijdte, zoals cloudcomputingproviders, softwareleveranciers en datacenters die diensten leveren aan de financiële sector.

De verordening rust op vijf pijlers:

  • ICT-risicomanagement: het inrichten van een risicobeheerkader om digitale dreigingen te beheersen
  • Incidentenbeheer: snelle opsporing en melding van ICT-incidenten om schade te beperken
  • Testen van digitale weerbaarheid: regelmatige veerkrachttesten om aan toezichteis(en) te voldoen
  • Beheer van derde partijen: strikt beheer van ICT-dienstverleners om continuïteit te waarborgen
  • Informatie-uitwisseling: actief delen van cyberdreigingsinformatie binnen de sector

Wat is NIS2 en welke sectoren vallen hieronder?

De Network and Information Security Directive 2 (NIS2) is een EU-richtlijn die een breed kader biedt voor cybersecurity in essentiële en belangrijke sectoren. Anders dan DORA moet NIS2 door elke lidstaat worden omgezet in nationale wetgeving, wat kan leiden tot variaties in implementatie tussen landen.

NIS2 bestrijkt 18 sectoren die cruciaal zijn voor de samenleving en economie. Tot de essentiële sectoren behoren energie, transport, bankwezen, financiëlemarktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening, overheidsdiensten en ruimtevaart. Belangrijke sectoren omvatten post- en koeriersdiensten, afvalbeheer, chemie, voedingsmiddelen, productie van medische hulpmiddelen, elektronica, machines en motorvoertuigen.

Het onderscheid tussen essentiële en belangrijke entiteiten bepaalt de intensiteit van toezicht en de hoogte van sancties. Essentiële entiteiten worden proactief gecontroleerd, terwijl bij belangrijke entiteiten reactief toezicht plaatsvindt na incidenten of signalen.

Wat zijn de belangrijkste verschillen tussen DORA en NIS2?

DORA en NIS2 verschillen op meerdere kernpunten. Het meest fundamentele verschil betreft de juridische status: DORA is een verordening die rechtstreeks werkt, terwijl NIS2 een richtlijn is die nationale omzetting vereist. Dit betekent dat DORA uniforme eisen stelt in heel Europa, terwijl de NIS2-implementatie per land kan verschillen.

De sectorale focus verschilt eveneens aanzienlijk. DORA richt zich exclusief op de financiële sector en creëert een uniform beschermingsniveau binnen de Europese financiële markt. NIS2 heeft een bredere scope en bestrijkt 18 sectoren die essentieel zijn voor de maatschappij.

Op het gebied van testen stelt DORA specifieke eisen aan threat-led penetration testing (TLPT) voor significante financiële instellingen. NIS2 kent dergelijke gedetailleerde testvereisten niet. De incidentmeldingstermijnen en toezichtstructuren verschillen eveneens, waarbij DORA werkt met sectorspecifieke toezichthouders zoals DNB en de AFM.

Qua sancties hanteert NIS2 maximale boetes tot 10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten. DORA-sancties worden bepaald door de nationale financiële toezichthouders en kunnen eveneens substantieel zijn.

Kan een organisatie onder zowel DORA als NIS2 vallen?

Organisaties kunnen inderdaad met beide regelgevingen te maken krijgen. Dit geldt met name voor ICT-dienstverleners die diensten leveren aan zowel de financiële sector als aan organisaties in NIS2-sectoren. Denk aan cloudproviders, datacenters of softwareleveranciers met een brede klantenkring.

Bij overlap geldt het lex-specialis-principe: DORA heeft als specifiekere regeling voorrang voor financiële entiteiten. Een bank of verzekeraar volgt dus primair DORA, ook als bepaalde activiteiten onder NIS2 zouden kunnen vallen. De wetgever heeft dit bewust zo ingericht om dubbele compliancelasten te voorkomen.

Voor het bepalen van de primair toepasselijke regelgeving is het raadzaam om:

  • De kernactiviteiten van de organisatie te analyseren
  • Te bepalen of de organisatie een financiële entiteit is volgens EU-regelgeving
  • In kaart te brengen welke diensten aan welke sectoren worden geleverd
  • Bij twijfel juridisch advies in te winnen over de exacte scope

Welke eisen stellen DORA en NIS2 aan incidentmelding?

Beide regelgevingen verplichten organisaties tot het melden van significante ICT-incidenten, maar de specifieke eisen verschillen. DORA schrijft voor dat financiële entiteiten ernstige ICT-gerelateerde incidenten melden aan de bevoegde toezichthouder. De melding moet plaatsvinden via een gestructureerd proces met initiële, tussentijdse en eindrapportages.

NIS2 hanteert een meldingstermijn van 24 uur voor een vroege waarschuwing bij significante incidenten, gevolgd door een volledige melding binnen 72 uur. De definitie van meldingsplichtige incidenten verschilt tussen beide regelgevingen, waarbij DORA specifiek focust op ICT-gerelateerde verstoringen van financiële dienstverlening.

De praktische implicaties voor interne processen zijn aanzienlijk. Organisaties moeten beschikken over:

  • Duidelijke criteria voor het classificeren van incidenten
  • Gedefinieerde escalatieprocedures en verantwoordelijkheden
  • Rapportagesjablonen die aansluiten bij toezichteisen
  • Processen voor het verzamelen en analyseren van incidentgegevens

Hoe bereid je jouw organisatie voor op DORA- én NIS2-compliance?

Een gestructureerde aanpak begint met een gapanalyse om vast te stellen waar de organisatie staat ten opzichte van de vereisten. Dit omvat een grondige analyse van ICT-risico’s, bestaande beveiligingsmaatregelen en governancestructuren. De gapanalyse vormt de basis voor een realistisch implementatieplan.

Het opzetten van adequate governancestructuren is cruciaal. DORA vraagt om aantoonbaarheid, niet alleen om beleid. De bestuurlijke verantwoordelijkheid en inrichting van de second line zijn essentieel voor duurzame compliance. Dit betekent dat rollen, verantwoordelijkheden en rapportagelijnen helder moeten zijn.

Verdere stappen omvatten:

  • Implementeren van een op maat gemaakt ICT-risicobeheerkader
  • Versterken van leveranciersmanagement met contractuele afspraken over digitale weerbaarheid
  • Opzetten van testprogramma’s voor veerkracht en penetratietesten
  • Inrichten van incidentdetectie- en rapportageprocessen
  • Ontwikkelen van informatie-uitwisselingsprotocollen

Bij overlappende vereisten tussen DORA en NIS2 loont het om maatregelen te bundelen. Een robuust ICT-risicomanagementkader dient beide regelgevingen, evenals een goed ingericht incidentmanagementproces.

Hoe helpt Hoek en Blok IT bij DORA- en NIS2-compliance?

Hoek en Blok IT ondersteunt organisaties bij elke stap van DORA- en NIS2-compliance met een pragmatische, resultaatgerichte aanpak. De NOREA-gecertificeerde EDP-auditors combineren technische expertise met ruime auditervaring in de financiële sector en bij ICT-dienstverleners.

De dienstverlening omvat:

  • Gapanalyses: bepalen welke risico’s of maatregelen nog nodig zijn voor voldoende digitale weerbaarheid
  • IT-audits en assurancerapportages: ISAE 3000-verklaringen om DORA-naleving aantoonbaar te maken
  • Securityassessments en penetratietests: testen van digitale weerbaarheid conform regelgevingseisen
  • Implementatieondersteuning: begeleiding bij het inrichten van governance, risicomanagement en incidentrapportage
  • IT Security Officer as a Service: doorlopende ondersteuning voor het monitoren en onderhouden van compliance

Wil je weten waar jouw organisatie staat op het gebied van DORA of NIS2? Neem contact op voor een vrijblijvend gesprek of vraag een nulmeting aan om vast te stellen welke stappen nodig zijn voor aantoonbare compliance.