Er komt in 2025 heel wat nieuwe wetgeving op ondernemers in Nederland af. Naast de NIS2 zal ook de DORA van kracht zijn. De Europese wetgeving DORA (Digital Operational Resilience Act) is speciaal gemaakt voor bedrijven in de financiële sector. Sinds januari 2023 is DORA van kracht, en bedrijven hebben tot begin 2025 de tijd om aan de nieuwe regels te voldoen.
De NIS2 richtlijn en de DORA verordening zijn beide Europese regels die ervoor moeten zorgen dat bedrijven in Europa beter beschermd zijn tegen digitale bedreigingen. Hoewel ze op verschillende soorten bedrijven gericht zijn, hebben ze veel gemeen en zijn ze allebei belangrijk, ook voor het mkb. Hieronder lees je hoe ze elkaar aanvullen.
Wat is DORA?
DORA (Digital Operational Resilience Act) richt zich op bedrijven in de financiële sector, zoals banken, verzekeraars en fintechbedrijven. Het doel van DORA is ervoor zorgen dat deze bedrijven altijd operationeel blijven, ook als ze te maken krijgen met cyberaanvallen of IT-storingen. Ondernemingen hebben officieel tot 17 januari 2025 de tijd om aan de regelgeving te voldoen. Voor een deel van de ondernemingen gelden nu al DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving.
DORA legt eisen op voor:
- Het goed beheren van digitale risico’s.
- Het regelmatig testen van systemen om weerbaar te blijven.
- Het controleren van externe IT-leveranciers, zoals cloudproviders en softwarebedrijven.
Vooral voor mkb-bedrijven die actief zijn in de financiële sector of als IT-leverancier werken, is DORA belangrijk.
Wat is NIS2?
De NIS2-richtlijn (Network and Information Security Directive) gaat over cyberveiligheid voor essentiële sectoren in Europa. Denk aan energiebedrijven, gezondheidszorg, transport, maar ook grote IT-dienstverleners. Met NIS2 wil de EU ervoor zorgen dat deze bedrijven:
- Hun digitale veiligheid op orde hebben.
- Risico’s in kaart brengen en aanpakken.
- Grote cyberincidenten snel melden.
Het doel is simpel: kritieke infrastructuur beschermen tegen cyberaanvallen en ervoor zorgen dat bedrijven en landen beter samenwerken om digitale dreigingen aan te pakken. Bedrijven die als leverancier werken voor die essentiële sectoren moeten afspraken maken met hun grote klanten. Zij moeten aan hen kunnen laten zien dat ze afhankelijk van hun risicoprofiel – dat ze veilig werken.
Wat hebben NIS2 en DORA gemeen?
Hoewel NIS2 breder is en DORA specifiek voor de financiële sector geldt, overlappen ze op veel punten:
- Eisen voor digitale veiligheid: beide regels verplichten bedrijven om cyberrisico’s goed te beheren. NIS2 geldt voor veel sectoren, terwijl DORA zich beperkt tot financiële bedrijven. Maar de maatregelen zijn vergelijkbaar: risico’s in kaart brengen, systemen beveiligen en voorbereid zijn op aanvallen.
- Rapporteren van incidenten: zowel NIS2 als DORA eisen dat bedrijven ernstige cyberincidenten snel melden bij de juiste instanties. Zo kan er sneller gereageerd worden op grote dreigingen.
- IT-leveranciers in de gaten houden: bedrijven werken vaak samen met externe partijen, zoals cloudproviders of softwareleveranciers. Beide regels leggen nadruk op het controleren van deze partners, zodat ook hun diensten veilig en betrouwbaar zijn.
- Samenwerken in Europa: zowel NIS2 als DORA willen dat bedrijven en overheden in heel Europa meer samenwerken. Hierdoor worden zwakke plekken in digitale netwerken sneller ontdekt en aangepakt.
Wat betekent dit voor mkb-bedrijven?
Als mkb’er hoef je niet altijd aan beide regels te voldoen, maar het is slim om te kijken of je indirect geraakt wordt. Denk bijvoorbeeld aan:
- Lever je IT-diensten aan bedrijven in de financiële sector? dan moet je mogelijk voldoen aan DORA-eisen.
- Lever je aan een bedrijf dat onder de NIS2 valt? dan is het verstandig om te laten zien je digitaal veilig werkt via certificering zoals NIS2 QM.
Beide regels laten zien dat cyberveiligheid niet meer alleen een “technisch probleem” is. Het wordt steeds meer een verplicht onderdeel van zakendoen.
Advies voor het mkb
- Weet wat op jou van toepassing is: kijk of jouw sector of klanten vallen onder NIS2 of DORA.
- Breng je risico’s in kaart: zorg ervoor dat je weet waar jouw zwakke plekken zitten op digitaal gebied.
- Werk samen met betrouwbare partners: controleer of jouw IT-leveranciers voldoen aan hun verplichtingen.
- Bereid je voor op incidenten: zorg dat je weet wat je moet doen als er een cyberincident plaatsvindt.
Met deze stappen ben je niet alleen beter voorbereid op regelgeving, maar ook op de digitale dreigingen die steeds vaker voorkomen.
Wil je meer weten over DORA en wat kan je leren van DORA als je je wilt voorbereiden op NIS2? Schrijf je dan in voor deze webinar (de CyberSecurityBooster) met expert Jeroen Naves (partner bij Pels Rijcken).