NIS2 en DORA: laatste ontwikkelingen in het Europese cybersecurity- en compliancekader
ISO 27001:2013-certificaten vervallen – stap op tijd over naar ISO 27001:2022
9 juli 2025
De Europese Unie scherpt de komende jaren de regels rond digitale veiligheid en operationele veerkracht fors aan. Twee belangrijke kaders staan hierbij centraal: de NIS2-richtlijn en de DORA-verordening. Beide instrumenten hebben tot doel de weerbaarheid van organisaties tegen cyberdreigingen en operationele verstoringen te versterken, maar richten zich elk op een ander domein.
De NIS2-richtlijn (Network and Information Security versie 2) is de opvolger van de oorspronkelijke NIS-richtlijn en geldt voor een bredere groep organisaties, waaronder vitale sectoren en essentiële leveranciers. Lidstaten moeten de richtlijn uiterlijk 17 oktober 2024 omzetten in nationale wetgeving. Organisaties krijgen dan te maken met strengere eisen rond risicobeheer, incidentmeldingen en leveranciersbeheer.
De DORA-verordening (Digital Operational Resilience Act) is direct van kracht in alle EU-lidstaten vanaf 17 januari 2025. DORA legt nadruk op de financiële sector en verplicht banken, verzekeraars en andere financiële instellingen om hun digitale weerbaarheid aantoonbaar te borgen. Ook IT-dienstverleners die als “kritiek” worden aangemerkt vallen onder dit regime.
Recente ontwikkelingen:
NIS2
- Nederland werkt aan de Wet beveiliging netwerk- en informatiesystemen (Wbni-2) als implementatiekader.
- De Autoriteit NCSC en Agentschap Telecom (toekomstig Rijksinspectie Digitale Infrastructuur) bereiden zich voor op toezicht en handhaving.
- Er komen boetes tot 10 miljoen euro of 2% van de jaaromzet bij niet-naleving.
- Leveranciersketens staan nadrukkelijk in beeld: organisaties moeten aantonen dat ook hun toeleveranciers voldoen aan minimale beveiligingsnormen.
DORA
- De Europese toezichthouders (EBA, EIOPA en ESMA) hebben in 2024 de eerste Regulatory Technical Standards (RTS) en Implementing Technical Standards (ITS) gepubliceerd.
- Belangrijke aandachtspunten zijn testprogramma’s voor digitale weerbaarheid, rapportageverplichtingen en due diligence bij uitbesteding aan derde partijen.
- Organisaties krijgen verplichtingen rond incidentclassificatie, threat-led penetration testing (TLPT) en contractuele afspraken met ICT-dienstverleners.
- Grote focus op samenwerking: financiële instellingen moeten hun incidentmeldingen snel delen met nationale en Europese toezichthouders.
Conclusie
NIS2 en DORA zorgen samen voor een stevige aanscherping van de Europese cybersecurity- en compliance-eisen. Waar NIS2 zich richt op een brede groep essentiële en belangrijke entiteiten, legt DORA specifieke en diepgaande verplichtingen op binnen de financiële sector. Voor organisaties is het cruciaal om nu al de impact te bepalen, verantwoordelijkheden toe te wijzen en de eerste maatregelen in te voeren – zodat men op tijd klaar is voor de wettelijke verplichtingen in 2024 en 2025.
