DORA en NIS2: twee EU-regelgevingen die voor u geldt, één doel
Zowel DORA (Digital Operational Resilience Act) als NIS2 (Network and Information Security Directive) zijn EU-regelgevingen die de cyberweerbaarheid van Europese organisaties versterken. Toch verschillen ze fundamenteel in aanpak, scope en eisen. Voor organisaties in de financiële sector is het cruciaal om te begrijpen welke regelgeving van toepassing is en hoe ze zich tot elkaar verhouden.
Scope: wie valt waaronder?
DORA richt zich specifiek op de financiële sector: banken, verzekeraars, beleggingsondernemingen, betalingsinstellingen, crypto-asset dienstverleners en hun kritieke ICT-dienstverleners. DORA is een verordening die direct van toepassing is in alle EU-lidstaten zonder nationale omzetting.
NIS2 richt zich op essentiële en belangrijke entiteiten in 18 sectoren, waaronder energie, transport, gezondheidszorg, digitale infrastructuur en ook de financiële sector. NIS2 is een richtlijn die door lidstaten moet worden omgezet in nationale wetgeving — in Nederland als de Cyberbeveiligingswet.
Het belangrijkste om te weten: NIS2 artikel 4 bepaalt dat sectorspecifieke EU-regelgeving (zoals DORA) voorrang heeft op NIS2 voor zover die regelgeving minstens even strenge eisen stelt. Dit betekent dat financiële instellingen primair DORA moeten naleven, niet NIS2.
De vijf pijlers van DORA
DORA is opgebouwd rond vijf pijlers: ICT-risicobeheer (vergelijkbaar met NIS2 maar specifiek voor financiële ICT), ICT-gerelateerde incidentrapportage (strenger dan NIS2 met specifieke classificatiecriteria), digitale operationele weerbaarheidstests (inclusief threat-led penetration testing voor grote instellingen), ICT-derdepartijrisicobeheer (gedetailleerder dan NIS2 ketenverantwoordelijkheid), en informatie-uitwisseling over cyberdreigingen.
Concrete verschillen in eisen
Incidentmelding: DORA vereist classificatie van incidenten volgens specifieke criteria (cliëntimpact, geografische spreiding, economische impact) en melding aan de financiële toezichthouder. NIS2 vereist melding aan het CSIRT binnen 24 uur (initieel), 72 uur (volledig) en 30 dagen (eindrapport). DORA kent een aparte tijdlijn die wordt vastgesteld door de Europese toezichthouders.
Testing: DORA vereist jaarlijkse ICT-beveiligingstests en driejaarlijkse Threat-Led Penetration Tests (TLPT) voor significante financiële entiteiten. NIS2 stelt geen vergelijkbare expliciete testvereisten.
Derde partijen: DORA introduceert een EU-breed toezichtkader voor kritieke ICT-dienstverleners aan de financiële sector. Deze partijen worden direct gecontroleerd door de Europese toezichthouders (ESA's). NIS2 kent geen vergelijkbaar direct toezicht op dienstverleners.
ICT-dienstverleners: dubbele compliance
ICT-dienstverleners aan de financiële sector bevinden zich in een unieke positie: zij kunnen zowel onder DORA vallen (als kritieke ICT-dienstverlener aan financiële instellingen) als onder NIS2 (als digitale dienstverlener of managed service provider). In dat geval moeten zij aan beide regelgevingen voldoen, waarbij DORA de zwaarste eisen stelt voor de financiële dienstverlening.
Praktische aanbevelingen
Voor financiële instellingen: focus primair op DORA-compliance. Gebruik ISO 27001 als fundament en vul aan met DORA-specifieke eisen rond ICT-risicobeheer, incidentrapportage en operationele weerbaarheidstests. Voor ICT-dienstverleners aan de financiële sector: bereid u voor op de DORA-eisen die uw klanten contractueel aan u zullen stellen, en zorg voor NIS2-compliance als aanvullende baseline.
Een GRC-platform dat zowel DORA als NIS2 ondersteunt, voorkomt dubbel werk en geeft een integraal overzicht van uw compliance-status. Het iso2700x.nl platform biedt specifieke DORA- en NIS2-modules vanuit één centraal dashboard.
Hoe helpt iso2700x.nl?
Onze consultants zijn gespecialiseerd in zowel DORA als NIS2 en begeleiden financiële instellingen en hun ICT-dienstverleners bij de implementatie van beide frameworks. Neem contact op voor een gratis adviesgesprek over de optimale compliance-strategie voor uw organisatie.