CONTACT

Actueel

Nieuws & updates

De verschillen en overeenkomsten tussen DORA en NIS2

[leestijd: ca. 6 min] De Europese Unie stelt steeds strengere eisen aan digitale weerbaarheid. Twee belangrijke verordeningen op dit gebied zijn DORA en NIS2. Beide zijn bedoeld om organisaties beter te beschermen tegen cyberdreigingen en systeemuitval, maar ze doen dat elk op hun eigen manier. In dit artikel lees je wat de verschillen en overeenkomsten zijn, en wat dit betekent voor jouw organisatie.

Wat is DORA?

DORA staat voor Digital Operational Resilience Act. Deze verordening richt zich specifiek op de financiële sector en en schrijft voor dat organisaties hun digitale weerbaarheid structureel op orde brengen. Wil je precies weten wat DORA inhoudt en wat dit betekent voor jouw organisatie? Lees dan deze samenvattende blog over DORA.

Wat is NIS2?

NIS2 is de opvolger van de oorspronkelijke NIS-richtlijn (Network and Information Security). Met deze wetgeving wil Europa de digitale weerbaarheid verhogen in sectoren die essentieel zijn voor de samenleving. Denk aan energie, water, telecom, vervoer, zorg en overheid – maar ook aan digitale dienstverleners. NIS2 heeft dus een bredere scope dan DORA en raakt zowel publieke als private organisaties.

Checklist: Val jij onder DORA, NIS2 of beide?

Wil je weten aan welke richtlijnen jouw organisatie zich moet houden? Gebruik dan deze checklist en bepaal welke regelgeving op jouw organisatie van toepassing is:
- Ben je actief in de financiële sector, zoals een bank, verzekeraar of beleggingsinstelling? -> DORA - - Lever je digitale diensten aan financiële instellingen? -> DORA
Ben je actief in essentiële sectoren, zoals energie, zorg, transport of overheid? -> NIS2
Lever je clouddiensten, DNS-diensten of datacenters? -> NIS2
Valt jouw organisatie onder beide? -> DORA & NIS2

Verschillen tussen DORA en NIS2

Hoewel beide regelingen draaien om digitale weerbaarheid, zijn er duidelijke verschillen:
Doelgroep en sectoren
- DORA richt zich specifiek op de financiële sector, inclusief banken, verzekeraars en hun ICT-dienstverleners.
- NIS2 is breder en geldt voor essentiële sectoren zoals energie, water, telecom, vervoer, zorg, overheid én digitale dienstverleners.

Toezichthouders
- Bij DORA zijn dit financiële toezichthouders, zoals de Europese Centrale Bank, De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM).
- Bij NIS2 ligt het toezicht bij nationale cybersecuritycentra of per sector aangewezen autoriteiten.

Doelstelling
- Met DORA wil Europa de operationele continuïteit van de financiële sector waarborgen, met focus op risicobeheersing en veerkracht bij ICT-uitval.
- Met NIS2 wil Europa de algemene digitale weerbaarheid binnen Europa versterken, met focus op essentiële diensten en maatschappelijke stabiliteit.

Rapportageverplichting bij incidenten
- DORA vereist dat je ernstige ICT-incidenten binnen 4 uur meldt.
- NIS2 hanteert een termijn van 24 uur voor de eerste melding, met nadere updates binnen 72 uur.

Testverplichtingen
- DORA stelt expliciete testvereisten, zoals Threat-Led Penetration Testing (TLPT) voor grotere instellingen.
- NIS2 noemt testen als belangrijk. In tegenstelling tot DORA is er bij NIS2 geen verplichting tot testen.

Tijdlijn
- DORA is in werking sinds 2023 en verplicht vanaf 17 januari 2025.
- De omzetting van NIS2 in nationale wetgeving zou in oktober 2024 plaatsvinden, maar is vertraagd. De Nederlandse wet (Cyberbeveiligingswet) treedt naar verwachting pas in de tweede helft van 2025 in werking.

De overlap tussen NIS2 en DORA

Hoewel de regels op veel vlakken verschillen, zijn er ook duidelijke overeenkomsten tussen NIS2 en DORA:
- Beide benadrukken het belang van structurele digitale weerbaarheid.
- Beide richten zich op de hele keten. Je aanpak richt zich daarom niet enkel op de compliance van je eigen systemen, maar ook op die van je leveranciers.
- Beide stellen eisen aan monitoring, risicobeoordeling en incidentrespons.
- Beide stimuleren een cultuur van continu verbeteren en transparantie.

Wat kun je met de NIS2-DORA overlap?

Doordat een groot deel van de uitgangspunten binnen DORA en NIS2 overeenkomen, zie je ook overlap in de vereisten waaraan organisaties moeten voldoen. Hiervan kan je gebruikmaken bij de praktische uitvoering. 

Hulp nodig met DORA en NIS2?

De combinatie van NIS2 en DORA zorgt voor extra druk op organisaties. Wat moet je eerst doen? Wat mag je niet vergeten? En hoe zorg je dat je niets dubbel doet? VX helpt organisaties al meer dan 20 jaar bij het op orde brengen van hun digitale weerbaarheid – van nulmeting tot incidentresponse.

Checklist
Wil je stappen gaan maken en ontdekken hoe jouw IT-leverancier scoort op DORA-compliance? Vraag onze overzichtelijke, gratis checklist aan met 9 vragen die je nu moet stellen.

Ik wil de checklist

Wout van Dieren

Als servicemanager is Wout het eerste aanspreekpunt voor klanten. De expertise van Wout ligt in het samenbrengen van klantvragen met de gewenste oplossing. Daarnaast komt Wout graag in gesprek met u over de totale dienstverlening van VX Company Managed Services.

OOK INTERESSANT OM TE LEZEN

Security

Digital Operational Resilience Act (DORA) - samenvatting

Security

Flexibel en veilig werken op afstand

Security

Toezicht houden en inzicht krijgen

VX Company Managed Services 2021

ISO9001: 2015 gecertificeerd
ISO27001: 2013 gecertificeerd

© 2021 VX Company Managed Services

Managed Services
Resources
Bedrijf