DORA en NIS2 gaan allebei over digitale weerbaarheid, maar voor financiële entiteiten geldt een heldere voorrangsregel: DORA gaat als lex specialis vóór NIS2. Bent u een bank, verzekeraar, beleggingsonderneming of betaaldienstverlener, dan volgt u DORA — niet NIS2 — voor uw ICT-weerbaarheid. Voor niet-financiële organisaties in de gedekte sectoren geldt juist NIS2. De complicatie zit bij groepen met gemengde activiteiten, waar onderdelen onder verschillende regimes kunnen vallen. Dit artikel legt de voorrangsregel uit, vergelijkt de meldtermijnen, testverplichtingen, toezichthouders en boetes, en geeft een beslismatrix per entiteitstype.
Key Takeaways
- Voor financiële entiteiten gaat DORA als lex specialis vóór NIS2.
- NIS2 geldt voor de bredere set aangewezen sectoren (energie, transport, zorg, digitale infrastructuur en meer).
- De meldtermijnen verschillen: DORA kent eigen classificatie- en rapportageregels, NIS2 de 24u/72u/1-maand-cascade.
- Toezicht verschilt: DNB/AFM voor DORA, RDI/NCSC voor NIS2 in Nederland.
- Groepen met gemengde activiteiten kunnen met beide regimes te maken krijgen.
De voorrangsregel: lex specialis
De EU-wetgever heeft de overlap tussen DORA en NIS2 bewust geregeld. DORA is de specifieke regeling voor de financiële sector; NIS2 is de algemene regeling voor cyberweerbaarheid. Waar beide zouden kunnen gelden, gaat de specifieke regeling voor — het beginsel lex specialis derogat legi generali. Concreet: voor de ICT-risico- en incidentverplichtingen van een financiële entiteit is DORA leidend, en die entiteit hoeft niet daarnaast aan de overeenkomstige NIS2-verplichtingen te voldoen.
Dat maakt de eerste vraag simpel én cruciaal: bent u een financiële entiteit in de zin van DORA? Zo ja, dan is DORA uw kader. Zo nee, dan kijkt u naar NIS2 en de vraag of u een essentiële of belangrijke entiteit bent.
De voorrangsregel is niet impliciet: DORA benoemt de verhouding tot NIS2 expliciet, zodat financiële entiteiten niet met dubbele, mogelijk tegenstrijdige verplichtingen komen te zitten. Het uitgangspunt: één coherent regime per entiteit, met DORA als het meest gedetailleerde en dus leidende kader voor de financiële sector.
De vergelijking op hoofdlijnen
| Aspect | DORA | NIS2 |
|---|---|---|
| Doelgroep | Financiële sector | Aangewezen kritieke sectoren |
| Rechtsvorm | Verordening (direct) | Richtlijn (nationale wet) |
| Van toepassing | 17 januari 2025 | Via Cyberbeveiligingswet |
| Toezicht (NL) | DNB en AFM | RDI / NCSC |
| Risicokader | Vijf pijlers | Tien maatregelen (art. 21) |
| Testverplichting | TLPT voor grootste entiteiten | Effectiviteit meten |
| Meldketen | DORA-classificatie + rapportage | 24u/72u/1 maand aan CSIRT |
| Boetemaximum | Nationaal geregeld (DNB/AFM) | €10M/2% (essentieel) |
| Verhouding | Lex specialis | Lex generalis |
Meldplichten naast elkaar
Beide regimes eisen incidentmelding, maar anders ingericht. NIS2 hanteert de gefaseerde meldcascade: 24 uur vroegwaarschuwing, 72 uur volledige melding, één maand eindrapport aan het CSIRT. DORA kent een eigen systeem van incidentclassificatie en rapportage aan de financiële toezichthouder (DNB of AFM), uitgewerkt in technische standaarden van de Europese toezichthouders.
Belangrijk: raakt een incident bij een financiële entiteit óók persoonsgegevens, dan blijft de AVG-datalekmelding aan de AP daarnaast gewoon van kracht. DORA vervangt de AVG niet; het vervangt alleen de NIS2-verplichtingen voor de financiële sector.
Testverplichtingen
Hier verschillen de regimes wezenlijk. DORA verplicht de grootste en meest systeemkritische entiteiten tot Threat-Led Penetration Testing (TLPT) — geavanceerde, dreigingsgestuurde tests op een vaste cyclus. NIS2 eist dat u de effectiviteit van uw maatregelen meet en toetst (art. 21 lid 2), maar schrijft geen TLPT voor. DORA legt op dit punt dus een zwaardere, specifiekere lat voor de systeemrelevante financiële partijen.
Beslismatrix per entiteitstype
| Type organisatie | Regime |
|---|---|
| Bank, verzekeraar, beleggingsonderneming | DORA |
| Betaaldienstverlener, crypto-aanbieder | DORA |
| Energie-, water-, transportbedrijf | NIS2 |
| Ziekenhuis, digitale-infrastructuuraanbieder | NIS2 |
| Fintech als ICT-leverancier van banken | DORA-keten + mogelijk NIS2 |
| Holding met financiële én niet-financiële dochters | Beide, per onderdeel |
De laatste twee rijen zijn de lastige. Een gemengde groep moet per onderdeel bepalen welk regime geldt. Een ICT-leverancier van de financiële sector kan via DORA’s derde-partijregels worden geraakt én zelfstandig onder NIS2 vallen. Breng daarom eerst uw structuur en activiteiten in kaart voordat u compliance-keuzes maakt.
Waarom de scheiding er is
De EU-wetgever koos bewust voor twee regimes in plaats van één. De financiële sector kent al een dichte laag van toezicht en regelgeving, met eigen toezichthouders (DNB, AFM en de Europese toezichthouders) en een lange traditie van prudentieel toezicht. DORA sluit daarop aan: het is diepgaander en specifieker dan NIS2, met eigen technische standaarden voor incidentclassificatie, weerbaarheidstesten en leveranciersbeheer. NIS2 daarentegen moest een veel bredere verzameling sectoren dekken — van drinkwater tot digitale marktplaatsen — en is daardoor generieker van opzet.
Voor een organisatie betekent dit dat de keuze van het regime niet vrijblijvend is: u volgt het kader dat bij uw sector hoort, met de bijbehorende toezichthouder en meldroute. Een bank die zou proberen NIS2 te volgen in plaats van DORA, voldoet niet — en andersom evenmin. De scheiding voorkomt bovendien dat toezichthouders elkaar in de weg zitten: één incident bij een financiële entiteit wordt via de DORA-route afgehandeld, niet via twee parallelle kanalen. Dat is precies de duidelijkheid die de lex-specialis-constructie beoogt.
Praktische aanpak
Ondanks de scheiding lonen de overeenkomsten: beide regimes vragen risicobeheer, incidentrespons, leveranciersmanagement en bestuursverantwoordelijkheid. Wie de onderliggende beveiliging goed op orde heeft — aansluitend op artikel 32 AVG — legt een basis die voor beide werkt. Een platform zoals Legiscope kan de gedeelde governance- en documentatielaag afdekken, zodat u de aantoonbaarheid niet dubbel opbouwt. Voor het concrete Nederlandse toezicht op DORA verwijzen we naar DORA-toezicht door DNB en AFM.
Voor een gemengde groep is de praktische route: breng eerst de juridische structuur in kaart, wijs per entiteit het toepasselijke regime toe, en bepaal waar gedeelde diensten (een centrale IT-afdeling, een gedeeld SOC) onder welk kader vallen. Documenteer die toewijzing expliciet, want bij een controle is de eerste vraag onder welk regime een onderdeel valt en waarom. Een heldere regime-toewijzing voorkomt dat u onder druk moet uitzoeken welke toezichthouder u had moeten informeren.
FAQ
Gaat DORA vóór NIS2?
Ja, voor financiële entiteiten. DORA is de specifieke regeling (lex specialis) en gaat vóór de algemene NIS2-regeling. Een financiële entiteit volgt DORA voor haar ICT-risico- en incidentverplichtingen en hoeft niet daarnaast aan de overeenkomstige NIS2-eisen te voldoen.
Kan een organisatie onder zowel DORA als NIS2 vallen?
In de praktijk kan dat bij groepen met gemengde activiteiten: financiële dochters onder DORA, niet-financiële dochters in gedekte sectoren onder NIS2. Ook een ICT-leverancier van de financiële sector kan via DORA’s ketenregels worden geraakt én zelfstandig onder NIS2 vallen. Beoordeel dat per onderdeel.
Wat is het verschil in toezicht tussen DORA en NIS2 in Nederland?
Op DORA houden DNB en AFM toezicht, als financiële toezichthouders. Op NIS2 houdt naar verwachting de Rijksinspectie Digitale Infrastructuur (RDI) toezicht, met het NCSC als CSIRT en meldpunt. De toezichtsroutes en meldpunten verschillen dus per regime.
Wat is het verschil in testverplichtingen?
DORA verplicht de grootste financiële entiteiten tot Threat-Led Penetration Testing (TLPT), een zware dreigingsgestuurde test op een vaste cyclus. NIS2 eist dat u de effectiviteit van uw maatregelen meet en toetst, maar schrijft geen TLPT voor. DORA legt op dit punt een specifiekere en zwaardere lat.
Vervangt DORA ook de AVG voor financiële entiteiten?
Nee. DORA vervangt alleen de NIS2-verplichtingen voor de financiële sector, niet de AVG. Raakt een incident persoonsgegevens, dan geldt de 72-uursmelding aan de Autoriteit Persoonsgegevens onverkort naast de DORA-rapportage.
Conclusie
De verhouding tussen DORA en NIS2 draait om één regel: DORA gaat als lex specialis vóór NIS2 voor financiële entiteiten. De eerste vraag is dus of u een financiële entiteit bent — zo ja, DORA; zo nee, mogelijk NIS2. De regimes verschillen in meldketens, testverplichtingen (TLPT versus effectiviteitsmeting), toezichthouders (DNB/AFM versus RDI/NCSC) en boetes. Groepen met gemengde activiteiten moeten per onderdeel bepalen wat geldt. Omdat de onderliggende beveiliging sterk overlapt, bouwt u die het best één keer goed op — aansluitend op de AVG.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial