NIS2-guide
Terug naar blog
Financiële sector
DORA vs NIS2: praktische gids voor banken, verzekeraars en fintech (2026)

DORA vs NIS2: praktische gids voor banken, verzekeraars en fintech (2026)

9 min leestijd
AD

Alexandre Durand

Hoofdredacteur — Cybersecurityexpert

Maandagochtend, 9 uur. De CISO van een Nederlandse bank ontvangt twee brieven. De eerste van DNB herinnert eraan dat de verordening DORA (verordening (EU) 2022/2554) sinds 17 januari 2025 volledig van toepassing is. De tweede van NCSC-NL meldt dat de Nederlandse NIS2-omzetting nu haar activiteiten dekt. Eenvoudige vraag, complex antwoord: moeten beide teksten worden toegepast, of heeft één voorrang?

Deze verwarring is wijdverspreid. Volgens de gezamenlijke richtsnoeren van ENISA en de drie Europese toezichthoudende autoriteiten (EBA, EIOPA, ESMA) hangt het antwoord af van een precies juridisch beginsel: de *lex specialis*. Hier is hoe u beide regimes concreet op elkaar afstemt voor een bank, verzekeraar of fintech die in Europa opereert.

DORA en NIS2: twee teksten, twee logica's

DORA (Digital Operational Resilience Act, verordening (EU) 2022/2554) is een EU-verordening — dus rechtstreeks toepasselijk in alle lidstaten zonder nationale omzetting. Aangenomen in december 2022, van toepassing sinds 17 januari 2025, richt zich specifiek op de financiële sector: banken, verzekeraars, vermogensbeheerders, betalingsdienstverleners, crypto-activaplatforms, centrale tegenpartijen en meer dan 20 categorieën financiële entiteiten.

NIS2 (richtlijn 2022/2555) is een richtlijn — vereist omzetting door elke lidstaat. De reikwijdte omvat 18 hoog kritieke en kritieke sectoren, waaronder de banksector en de financiële marktinfrastructuren. De omzetting had tegen 17 oktober 2024 voltooid moeten zijn; in mei 2026 lopen meerdere landen nog achter.

De insteek verschilt: DORA behandelt end-to-end digitale operationele weerbaarheid (ICT-risicobeheer, tests, incidenten, externe leveranciers, informatie-uitwisseling). NIS2 stelt een algemeen kader voor cyberbeveiliging dat van toepassing is op alle kritieke sectoren.

Realtime dashboard voor toezicht op operationele risico's
Realtime dashboard voor toezicht op operationele risico's

Lex specialis: DORA heeft voor financiële entiteiten voorrang op NIS2

Overweging 28 en artikel 4 van DORA, gecombineerd met artikel 4 van richtlijn 2022/2555, zijn duidelijk: voor financiële entiteiten binnen het toepassingsgebied van DORA gelden de DORA-verplichtingen inzake ICT-risicobeheer, incidentmelding en toezicht op externe leveranciers — niet die van NIS2.

In de praktijk hoeft een Nederlandse bank die onder DORA valt haar processen niet te dupliceren om aan NIS2 te voldoen op deze gebieden. DNB is de bevoegde autoriteit, NCSC-NL treedt terug op deze aspecten.

Maar pas op: NIS2 blijft relevant voor bijkomende activiteiten die niet onder DORA vallen. Een verzekeraar die een eigen datacentrum exploiteert dat met niet-financiële entiteiten wordt gedeeld, of een bank die commerciële software publiceert voor derden, behoudt NIS2-verplichtingen op die specifieke perimeters.

De 6 belangrijkste verschillen

1. Gedekte entiteiten

DORA richt zich expliciet op 21 categorieën financiële entiteiten, van kredietinstellingen tot beheerders van alternatieve beleggingsfondsen, centrale tegenpartijen en beheerders van kritieke benchmarks. Micro-ondernemingen zijn in principe uitgesloten, maar geen andere kwantitatieve drempel beperkt de dekking.

NIS2 dekt 18 sectoren met dimensionale drempels (50 medewerkers, 10 miljoen euro omzet). "Essentiële" entiteiten zijn de grote organisaties in hoog kritieke sectoren; "belangrijke" entiteiten omvatten de rest.

2. Incidentmelding: 4 uur vs 24 uur

Dit is het meest opvallende operationele verschil.

Onder DORA (artikel 19) moet een ernstig ICT-incident binnen 4 uur na classificatie als ernstig aan de bevoegde autoriteit worden gemeld — met een absolute limiet van 24 uur na detectie. Het tussentijdse rapport is binnen 72 uur verschuldigd, het eindrapport binnen 1 maand.

Onder NIS2 (artikel 23, richtlijn 2022/2555) is de eerste melding binnen 24 uur vereist, het volledige rapport binnen 72 uur en het eindrapport binnen 1 maand.

DORA is dus aanzienlijk strenger op de eerste deadline. Voor operationele details over het NIS2-circuit, zie onze [praktische gids voor incidentmelding in 72u](/nl/blog/nis2-incidentmelding-72u-praktische-gids).

3. Toezicht op externe ICT-leveranciers

DORA introduceert een regime zonder evenknie: een verplicht informatieregister van alle contracten met ICT-leveranciers (artikel 28). "Kritieke" leveranciers — typisch cloud-hyperscalers en grote outsourcers — zullen rechtstreeks worden gesuperviseerd door de Europese autoriteiten via het toezichtskader (Oversight Framework). EBA, EIOPA en ESMA delen deze rol.

NIS2 (artikel 21(2)(d)) legt risicobeoordeling van leveranciers en contractclausules op, maar zonder centraal register of directe Europese supervisie. Voor contractuele best practices aan NIS2-zijde, zie ons [artikel over de toeleveringsketen](/nl/blog/nis2-toeleveringsketen-leveranciers).

4. TLPT-penetratietesten

DORA vereist TLPT (Threat-Led Penetration Testing) elke 3 jaar voor financiële entiteiten van significant belang — vooral grote banken en marktinfrastructuren. Deze tests, ingekaderd door het TIBER-EU-raamwerk van de ECB, simuleren echte aanvallen met toegang tot productiesystemen.

NIS2 vermeldt beveiligingstests in de technische maatregelen van artikel 21 maar zonder voorgeschreven diepte of opgelegde frequentie.

Vergadering van het auditcomité over het operationele weerbaarheidskader
Vergadering van het auditcomité over het operationele weerbaarheidskader

5. Informatie-uitwisseling (threat intelligence)

DORA stimuleert formeel het delen van cyberdreigingsinformatie tussen financiële entiteiten (artikel 45) via sectorale arrangementen zoals FS-ISAC of nationale financiële CERT's. NIS2 voorziet ook in vrijwillige uitwisselingsmechanismen (artikel 29) maar zonder een specifiek financieel sectoraal kader.

6. Sancties

DORA harmoniseert de sancties niet op EU-niveau; elke lidstaat stelt de boetes vast. In Nederland kan DNB sancties opleggen die ernstige inbreuken aanzienlijk treffen.

NIS2 (artikel 34) beperkt boetes tot 10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten, 7 miljoen of 1,4% voor belangrijke entiteiten. Voor details over sancties en persoonlijke aansprakelijkheid van bestuurders, zie onze [analyse van NIS2-sancties](/nl/blog/nis2-sancties-bestuurders-risico).

Hoe beide nalevingen in de praktijk te combineren

Voor een bank of verzekeraar binnen het toepassingsgebied van DORA bestaat de pragmatische aanpak uit het opbouwen van een geünificeerd nalevingsprogramma, met DORA als hoofdfundering en NIS2 als uitzondering op residuele perimeters.

*Stap 1 — Activiteiten in kaart brengen.* Kernfinanciële activiteiten (kredietverlening, vermogensbeheer, betalingen, handel) vallen onder DORA. Bijkomende activiteiten (commerciële softwarepublicatie, clouddiensten aan niet-financiële derden, interne telecommunicatie-infrastructuur) kunnen onder NIS2 blijven.

*Stap 2 — Termijnen op de strengste afstemmen.* Als DORA 4 uur eist en NIS2 24 uur, moet uw responscapaciteit op 4 uur werken. Het NIS2-eindrapport (1 maand) valt samen met dat van DORA, dus geen conflict.

*Stap 3 — Eén leveranciersregister.* Maak een ICT-leveranciersregister dat aan de DORA-vereisten voldoet (artikel 28) — dat detailniveau dekt comfortabel wat NIS2 vraagt.

*Stap 4 — Gedeelde governance.* Bestuursverantwoordelijkheden zijn vrijwel identiek in beide teksten. Zie onze [analyse van artikel 20 NIS2](/nl/blog/nis2-artikel-20-bestuur-verantwoordelijkheden) — deze verplichtingen gelden ook onder DORA via de EBA-richtsnoeren over ICT-risicogovernance.

*Stap 5 — Tests en weerbaarheid.* Stel een testprogramma op dat aan DORA's TLPT (de strengste) voldoet — het zal de NIS2-vereisten mechanisch dekken.

2026-kalender en non-compliance-risico's

DORA is van toepassing sinds 17 januari 2025. Er is geen overgangsperiode meer. Europese autoriteiten begonnen hun eerste inspecties in Q1 2025; ernstige incidentenrapporten worden in realtime vereist.

Voor NIS2 lopen meerdere lidstaten nog achter op omzetting. De Europese Commissie startte in 2025 inbreukprocedures tegen 23 lidstaten — de regelgevende druk neemt toe.

Het meest onderschatte risico voor de financiële sector is niet de boete. Het is het te laat gemelde incident dat een extra signaal voor de toezichthouder wordt, of het falen van een externe leverancier dat de afwezigheid van een continuïteitsplan blootlegt. De eerste DORA-sanctiegevallen, verwacht tegen eind 2026, zullen waarschijnlijk deze aspecten betreffen.

Om een interne audit te starten, dekt onze [gratis NIS2-checklist](/nl/checklist) de fundamenten. Voor DORA-specifieke verplichtingen — leveranciersregister, TLPT, incidenttaxonomie — verwijs naar de gezamenlijke richtsnoeren van ENISA + EBA + EIOPA + ESMA.

*Dit artikel is uitsluitend informatief en vormt geen juridisch advies. Voor situatiespecifiek advies, raadpleeg een advocaat gespecialiseerd in Europese financiële regelgeving.*

Dit artikel wordt uitsluitend voor informatieve doeleinden verstrekt en vormt geen juridisch advies.