NIS2 vs. DORA: wat is het verschil en moet je aan beide voldoen?

Twee EU-regelgevingen. Beide over cybersecurity. Beide met strakke deadlines. Als je in de financiële sector zit, heb je waarschijnlijk van beide gehoord — maar misschien weet je niet precies hoe ze verschillen, of ze overlappen, en welke voorrang heeft.

Het korte antwoord: DORA heeft voorrang voor financiële entiteiten, maar NIS2 is nog steeds relevant voor je ICT-leveranciers. Dit artikel geeft je het volledige plaatje.

---

Wat zijn NIS2 en DORA?

NIS2 (Richtlijn 2022/2555) is een brede EU-richtlijn voor cybersecurity-risicobeheer over 18 sectoren — waaronder maar niet beperkt tot de financiële sector. Het vereist dat essentiële en belangrijke entiteiten 10 cybersecuritymaatregelen implementeren, incidenten melden binnen strikte termijnen, en waarborgt persoonlijke bestuurdersaansprakelijkheid.

DORA (Verordening 2022/2554) — de Digital Operational Resilience Act — is een sectorspecifieke verordening exclusief voor de financiële sector. Het betreft banken, verzekeringsmaatschappijen, beleggingsondernemingen, betalingsdienstverleners, crypto-asset dienstverleners en hun kritieke ICT-dienstverleners.

NIS2 vs ISO 27001 — Vergelijking van vereisten
◈Alleen NIS2
Verplichte incidentmelding aan autoriteiten (24u / 72u)
Persoonlijke aansprakelijkheid op bestuursniveau voor cyberbeveiliging
Verplichtingen voor toeleveringsketenbeveiliging voor essentiële entiteiten
Sectorspecifieke regelgevingsverplichtingen
⬡Gedeelde vereisten
Risicobeheer voor informatiebeveiliging
Toegangsbeheer en identiteitsbeheer
Bedrijfscontinuïteit en herstel na rampen
Beveiligingsbewustzijn en -training
◇Alleen ISO 27001
Interne audit- en managementreviewcycli
Documentatie van de Verklaring van Toepasselijkheid (SoA)
Formele certificering en externe audit
◈Alleen NIS2
Verplichte incidentmelding aan autoriteiten (24u / 72u)
Persoonlijke aansprakelijkheid op bestuursniveau voor cyberbeveiliging
Verplichtingen voor toeleveringsketenbeveiliging voor essentiële entiteiten
Sectorspecifieke regelgevingsverplichtingen
⬡Gedeelde vereisten
Risicobeheer voor informatiebeveiliging
Toegangsbeheer en identiteitsbeheer
Bedrijfscontinuïteit en herstel na rampen
Beveiligingsbewustzijn en -training
◇Alleen ISO 27001
Interne audit- en managementreviewcycli
Documentatie van de Verklaring van Toepasselijkheid (SoA)
Formele certificering en externe audit
De middelste kolom toont vereisten die zowel NIS2 als ISO 27001 delen

---

Belangrijkste verschillen in één oogopslag

	NIS2	DORA
Type	Richtlijn (moet omgezet in nationaal recht)	Verordening (direct toepasbaar)
Bereik	18 sectoren in de hele economie	Alleen financiële sector
Van toepassing sinds	Omzettingsdeadline: okt 2024 (status per land)	17 januari 2025 — direct toepasbaar
Risicobeheer	10 Artikel 21-maatregelen (breed)	Gedetailleerd ICT-risicobeheerraamwerk (voorschrijvend)
Incidentmelding	24u / 72u / 1 maand bij nationale autoriteit	4u eerste melding / 72u tussentijds / 1 maand eindrapport
Derde partijen	Ketenbeveiligingseisen	Uitgebreid ICT-derdenrisicobeheer + toezicht op kritieke aanbieders
Testen	Effectiviteitsbeoordeling vereist	Verplichte threat-led penetratietesten (TLPT) voor significante entiteiten
Bestuursrol	Persoonlijke aansprakelijkheid, training verplicht	Bestuur moet ICT-risicoraamwerk goedkeuren, training verplicht
Sancties	Tot €10M of 2% wereldwijde omzet	Bepaald door nationale financiële toezichthouders

---

Het lex specialis-beginsel: DORA heeft voorrang

Artikel 4 van NIS2 stelt expliciet dat waar sectorspecifieke EU-wetgeving voorziet in cybersecurityeisen die minstens gelijkwaardig zijn aan die in NIS2, de sectorspecifieke wetgeving voorrang heeft. Dit is het lex specialis-beginsel.

DORA wordt erkend als dergelijke sectorspecifieke wetgeving voor de financiële sector. In de praktijk betekent dit:

• Financiële entiteiten (banken, verzekeraars, beleggingsondernemingen) voldoen primair aan DORA, niet aan NIS2
• Waar DORA stil is over een onderwerp dat NIS2 wél dekt, kan NIS2 als vangnet gelden
• ICT-dienstverleners aan de financiële sector kunnen te maken krijgen met eisen onder zowel NIS2 als DORA

Is NIS2 van toepassing op uw organisatie?
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼
Nee▼
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼
Nee▼
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassing
Mogelijk van toepassing
Niet van toepassing

---

Waar ze overlappen — en waar ze afwijken

ICT-risicobeheer

NIS2 vereist breed cybersecurity-risicobeheer via 10 maatregelen maar laat veel ruimte voor interpretatie.

DORA is veel voorschrijvender. Het vereist een uitgebreid ICT-risicobeheerraamwerk met specifieke eisen voor identificatie, bescherming, detectie, respons, herstel en leren.

Conclusie: Als je voldoet aan DORA's ICT-risicobeheerraamwerk, overschrijd je de NIS2-eisen op dit gebied.

Incidentmelding

Hier is de afwijking het meest opvallend:

Fase	NIS2	DORA
Eerste melding	Binnen 24 uur	Binnen 4 uur na classificatie
Vervolgrapport	Binnen 72 uur	Binnen 72 uur
Eindrapport	Binnen 1 maand	Binnen 1 maand

DORA's 4-uurs eerste melding is aanzienlijk strakker dan NIS2's 24-uursvenster. Als financiële entiteit is DORA's tijdlijn leidend.

Belangrijk: Onder DORA meld je bij je financiële toezichthouder (bijv. ECB, DNB, AFM). Onder NIS2 meld je bij je nationale bevoegde autoriteit en CSIRT. Als beide gelden, moet je mogelijk bij verschillende autoriteiten melden.

Derde partijen en ketenrisico

Beide adresseren ketenbeveiliging, maar DORA gaat veel verder:

• NIS2 vereist ketenbeveiligingsbeoordelingen van directe leveranciers
• DORA vereist een volledig ICT-derdenrisicobeheerraamwerk, inclusief:
  • Register van alle ICT-derdenregelingen
  • Pre-contractuele risicobeoordelingen
  • Verplichte contractuele clausules (toegangsrechten, exitstrategieën, auditrechten)
  • Doorlopende monitoring van ICT-derdenprestaties
  • EU-toezichtkader voor kritieke ICT-derde-aanbieders (CTPP's)

Testen en weerbaarheid

NIS2 vereist effectiviteitsbeoordeling maar schrijft geen specifieke testmethodologieën voor.

DORA verplicht:

• Regelmatige ICT-testprogramma's
• Threat-Led Penetration Testing (TLPT) minstens elke 3 jaar voor significante financiële entiteiten
• Testen volgens het TIBER-EU-raamwerk of equivalent

---

Scenario's: welk raamwerk geldt voor jou?

Scenario 1: Je bent een bank

Primair raamwerk: DORA Actie: Focus op DORA-compliance. NIS2-gap-analyse voor gebieden die DORA niet expliciet dekt.

Scenario 2: Je bent een MSP die banken bedient

Primair raamwerk: NIS2 (je staat in Bijlage I als ICT-dienstverlening B2B) — zie onze NIS2 voor MSPs-gids DORA-rol: Je financiële klanten leggen DORA-niveau eisen contractueel aan je op Actie: Voldoe aan NIS2. Bereid je voor op DORA-niveau contractuele eisen van financiële klanten.

Scenario 3: Je bent een cloudprovider voor meerdere sectoren

Primair raamwerk: NIS2 (als je aan het groottecriterium voldoet — check hier) DORA-rol: Als je wordt aangewezen als Critical ICT Third-Party Provider (CTPP), val je onder direct ESA-toezicht

Scenario 4: Je zit in energie, gezondheidszorg of een andere niet-financiële NIS2-sector

Primair raamwerk: Alleen NIS2 Actie: Focus volledig op NIS2. Begin met ons overzicht van de 10 Artikel 21-maatregelen.

---

Wat te doen als beide gelden

1. Breng beide raamwerken in kaart — identificeer welke eisen van NIS2 komen en welke van DORA
2. Voldoe aan de strengere norm — waar beide hetzelfde onderwerp dekken, voldoet de strengere eis aan beide (meestal DORA)
3. Houd meldverplichtingen apart bij — verschillende autoriteiten, termijnen en formats
4. Gebruik DORA als baseline — als je DORA-compliant bent, ben je waarschijnlijk NIS2-compliant op de meeste maatregelen
5. Documenteer alles — beide raamwerken vereisen aantoonbare naleving

---

Kernboodschap

NIS2 en DORA zijn complementair, niet concurrerend. DORA is de specialistische verordening voor financiële entiteiten, terwijl NIS2 de bredere economie dekt. Als je in de financiële sector zit, is DORA je primaire verplichting — maar NIS2 is nog steeds relevant voor je toeleveringsketen, je ICT-leveranciers en als vangnet waar DORA stil is.

---

Lees ook

• De 10 NIS2 Artikel 21-maatregelen uitgelegd — De volledige uitwerking van NIS2-cybersecurityeisen
• NIS2 voor MSPs en MSSPs — Hoe ICT-dienstverleners geraakt worden door zowel NIS2 als DORA-eisen van hun financiële klanten
• NIS2-incidentmelding — Vergelijk de NIS2 24u-termijn met DORA's 4u-eis

---

Ontdek waar je staat op NIS2

Onze gratis NIS2-quickscan beoordeelt je organisatie op alle 10 Artikel 21-maatregelcategorieën. Als je zowel NIS2 als DORA navigeert, laat de scan zien waar je NIS2-specifieke hiaten zitten.

Doe de gratis quickscan →