Wat is het belangrijkste verschil tussen DORA en NIS2?

DORA (Verordening EU 2022/2554) is sectorspecifieke wetgeving voor EU-financiële entiteiten, terwijl NIS2 (Richtlijn EU 2022/2555) een sectoroverschrijdende richtlijn is die 18 kritieke sectoren omvat. DORA is een verordening — rechtstreeks van toepassing in alle lidstaten — terwijl NIS2 een richtlijn is die nationale omzetting vereiste. DORA heeft ook strengere meldingstermijnen: 4 uur voor de eerste melding versus 24 uur onder NIS2.

Moeten financiële entiteiten voldoen aan zowel DORA als NIS2?

Voor de meeste verplichtingen — met name ICT-risicobeheer en incidentmelding — prevaleert DORA boven NIS2 als lex specialis (de meer specifieke wet). Financiële entiteiten volgen dan ook primair DORA voor deze gebieden. NIS2 kan echter nog steeds van toepassing zijn op gebieden die DORA niet specifiek dekt. Een bank is niet volledig vrijgesteld van NIS2, alleen van de bepalingen die DORA expliciet vervangt.

Wat zijn de meldingstermijnen onder DORA en NIS2?

DORA vereist vier fasen: eerste melding binnen 4 uur na classificatie als ernstig incident, eerste rapport binnen 24 uur, tussenrapport binnen 72 uur en eindrapport binnen 1 maand na oplossing. NIS2 vereist drie fasen: vroegtijdige waarschuwing binnen 24 uur na ontdekking, formele melding binnen 72 uur en eindrapport binnen 30 dagen.

Wat betekent het lex specialis-beginsel voor DORA en NIS2?

Het lex specialis-beginsel houdt in dat de specifiekere wet prevaleert boven de algemene wet wanneer beide van toepassing zijn. DORA is lex specialis ten opzichte van NIS2 voor financiële entiteiten op het gebied van ICT-risicobeheer en incidentmelding. Er is dus geen dubbele regulering op deze gebieden: financiële entiteiten volgen de meer gedetailleerde en sectorspecifieke eisen van DORA.

Welke boetes gelden bij niet-naleving van DORA en NIS2?

Onder NIS2: essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet; belangrijke entiteiten tot €7 miljoen of 1,4%. Onder DORA: de AFM en DNB leggen nationale sancties op; op niveau 1-overtredingen kunnen boetes tot 2% van de wereldwijde jaaromzet worden opgelegd; dagelijkse boetes tot 1% van de gemiddelde dagomzet; persoonlijke aansprakelijkheid van bestuurders tot €1 miljoen. De AFM stelde de deadline voor het Informatierapport (ROI) voor bedrijven op 22 maart 2026 (DNB: 20 maart 2026).

DORA vs NIS2: Belangrijkste Verschillen, Overlappen en Wat Dit Betekent voor Uw Organisatie

2026-03-20

By Orbiq Team

DORA vs NIS2: Belangrijkste Verschillen, Overlappen en Wat Dit Betekent voor Uw Organisatie

DORA en NIS2 zijn de twee meest impactvolle EU-cybersecuritywetten. Deze gids vergelijkt scope, rechtsvorm, meldingstermijnen, boetes en hoe lex specialis de overlap oplost.

dora

nis2

eu-compliance

cybersecurity

incidentmelding

DORA vs NIS2: Belangrijkste Verschillen, Overlappen en Wat Dit Betekent voor Uw Organisatie

Twee EU-cybersecurityregelgevingen zijn nu van kracht in heel Europa: de NIS2-richtlijn (EU 2022/2555) en de DORA-verordening (EU 2022/2554). Beide vereisen ICT-risicobeheer, incidentmelding en toezicht op derde aanbieders. Maar ze verschillen aanzienlijk in wie ze aanspreken, hoe ze als rechtsinstrument werken en wat ze specifiek vereisen.

Als u compliance-verantwoordelijke, CISO of GRC-professional bent die wil begrijpen welk kader op uw organisatie van toepassing is — of hoe u met beide omgaat —, biedt deze gids een praktische vergelijking.

In één oogopslag: DORA vs NIS2

Dimensie	DORA	NIS2
Rechtsvorm	Verordening — rechtstreeks van toepassing	Richtlijn — nationale omzetting vereist
Juridische referentie	Verordening (EU) 2022/2554	Richtlijn (EU) 2022/2555
Inwerkingtreding	16 januari 2023	16 januari 2023
Van toepassing / Omzettingstermijn	17 januari 2025	17 oktober 2024
Toepassingsgebied	Alleen financiële entiteiten (20 categorieën)	Sectoroverschrijdend: 18 kritieke sectoren
Drempel	Alle gereguleerde financiële entiteiten (geen minimumomvang)	≥ 50 werknemers OF ≥ €10 mln. jaaromzet
Melding — vroege waarschuwing	4 uur (na classificatie als ernstig)	24 uur (na ontdekking)
Melding — volledige melding	24 uur eerste rapport, 72 uur tussenrapport	72 uur
Melding — eindrapport	1 maand na oplossing	30 dagen
Maximale boete (organisaties)	~2% van de wereldwijde jaaromzet (niveau 1)	Essentieel: €10 mln. of 2%; Belangrijk: €7 mln. of 1,4%
Persoonlijke aansprakelijkheid	Tot €1 mln. voor senior managers	Aansprakelijkheid leidinggevend orgaan (nationaal recht)
Penetratietests	Verplichte TLPT voor significante entiteiten	Niet expliciet vereist
Toezicht op derde aanbieders	Formele CTPP-aanwijzing en toezicht	Beheer van toeleveringsketenrisico's vereist

Wat is NIS2?

De NIS2-richtlijn — officieel Richtlijn (EU) 2022/2555 — is de primaire sectoroverschrijdende cybersecuritywetgeving van de EU. Ze verving de oorspronkelijke NIS-richtlijn (2016/1148) en breidde de dekking uit van 7 naar 18 sectoren: energie, transport, gezondheidszorg, financiële marktinfrastructuur, digitale infrastructuur, afvalverwerking en voedselproductie.

NIS2 is van toepassing op elke organisatie in een gedekte sector met ten minste 50 werknemers of een jaaromzet van ten minste €10 miljoen. Deze organisaties worden ingedeeld als essentiële entiteiten of belangrijke entiteiten, met verschillende toezichtsintensiteit en boeteplafonds.

Als richtlijn moest NIS2 door elke EU-lidstaat in nationaal recht worden omgezet vóór 17 oktober 2024. De implementatie verliep wisselend:

Nederland: De Cyberbeveiligingswet (Cbw), die NIS2 omzet in Nederlands recht en voortbouwt op het bestaande Wbni-kader (Wet beveiliging netwerk- en informatiesystemen), wordt verwacht in Q2 2026 in werking te treden. Het NCSC-NL en de Autoriteit Persoonsgegevens (AP) spelen een centrale rol in toezicht en handhaving.
Duitsland: De NIS2UmsuCG-wet trad op 6 december 2025 in werking; essentiële en belangrijke entiteiten moeten zich vóór 6 maart 2026 registreren bij het BSI.
België: Actieve handhaving sinds eind 2024.

Voor het volledige toepassingsgebied, de eisen en de maatregelen van Artikel 21 raadpleegt u onze NIS2-compliancegids en NIS2-vereisten.

Wat is DORA?

De DORA-verordening — Verordening (EU) 2022/2554 — is het EU-kader voor ICT-risicobeheer in de financiële sector. In tegenstelling tot NIS2 is DORA een verordening, geen richtlijn. Ze is rechtstreeks van toepassing in alle EU-lidstaten zonder dat nationale implementatiewetgeving vereist is.

DORA geldt vanaf 17 januari 2025 en heeft betrekking op 21 categorieën financiële entiteiten: banken, verzekeringsmaatschappijen, beleggingsondernemingen, betaalinstellingen, aanbieders van cryptoactivadiensten, handelsplatformen, centrale tegenpartijen en meer. De Europese Toezichthoudende Autoriteiten (ETA's) — EBA, ESMA en EIOPA — verklaarden uitdrukkelijk in december 2024 dat "DORA geen overgangsperiode voorziet."

In Nederland zijn de AFM (Autoriteit Financiële Markten) en de DNB (De Nederlandsche Bank) de bevoegde autoriteiten voor DORA. De AFM vereiste indiening van het Informatierapport (ROI) vóór 22 maart 2026 (DNB: vóór 20 maart 2026); de geconsolideerde deadline van de ETA's voor nationale autoriteiten is 31 maart 2026.

De vijf pijlers van DORA zijn:

ICT-risicobeheer — Governancekader en risicobereidheid
Melding van ICT-gerelateerde incidenten — Gestandaardiseerde melding van ernstige incidenten aan bevoegde autoriteiten
Testen van digitale operationele weerbaarheid — Inclusief verplichte TLPT voor significante entiteiten
Beheer van ICT-risico's van derden — Toezicht op kritieke ICT-derdenaanbieders (CTPP's)
Informatie-uitwisseling — Vrijwillige uitwisseling van cyber-dreigingsinformatie

In 2026 is de DORA-handhaving verschoven van begeleiding naar actief toezicht. De AFM en DNB voeren toezichtsbeoordelingen en audits uit.

Incidentmelding: een kritiek verschil

Voor organisaties die onder beide kaders vallen, is incidentmelding het gebied met het meest significante operationele verschil.

NIS2-incidentmelding

Conform NIS2 Artikel 23 moeten organisaties bij een significant incident een driestaps-proces volgen:

Vroege waarschuwing — binnen 24 uur na het ontdekken van een significant incident
Incidentmelding — binnen 72 uur, met eerste ernst-beoordeling en indicatoren van compromittering
Eindrapport — binnen 30 dagen na de melding, inclusief grondoorzaakanalyse en herstelmaatregelen

DORA-incidentmelding

De DORA-eisen — vastgesteld in de technische regulatorische normen (JC 2024-33) — zijn strenger en prescriptiever voor ernstige ICT-gerelateerde incidenten:

Eerste melding — binnen 4 uur na classificatie van het incident als ernstig
Eerste rapport — binnen 24 uur na ontdekking
Tussenrapport — binnen 72 uur
Eindrapport — binnen 1 maand na oplossing

De 4-uur eerste melding onder DORA is de meest veeleisende vereiste in beide kaders. Financiële entiteiten hebben realtime-incidentclassificatiesystemen en vooraf opgestelde meldingssjablonen nodig om deze deadline te halen.

Voor een uitgebreide vergelijking van DORA-incidentmeldingsvereisten raadpleegt u onze gespecialiseerde gids.

Boetes: vergelijking van de sanctieregimes

NIS2-boetes

NIS2 creëert een tweeledig boetestelsel op basis van de classificatie van de entiteit:

Type entiteit	Maximale boete
Essentiële entiteiten	€10.000.000 of 2% van de wereldwijde jaaromzet (het hoogste bedrag)
Belangrijke entiteiten	€7.000.000 of 1,4% van de wereldwijde jaaromzet (het hoogste bedrag)

Naast financiële sancties kunnen nationale autoriteiten bij grove nalatigheid na een ernstig incident tijdelijke beroepsverboden opleggen aan senior managers.

DORA-boetes

DORA legt geen uniform EU-breed boeteschema vast voor alle financiële entiteiten — lidstaten moeten effectieve, evenredige en afschrikkende nationale sancties vaststellen. In de praktijk:

Niveau 1-overtredingen: Boetes tot 2% van de wereldwijde jaaromzet
Dagelijkse boetes: Tot 1% van de gemiddelde dagomzet om voortdurende naleving af te dwingen
Persoonlijke aansprakelijkheid: Senior managers kunnen individueel worden gesanctioneerd tot €1 miljoen
Nederlandse specifics: De AFM en DNB hanteren de nationale sanctieniveaus; de AFM stelde de ROI-deadline op 31 maart 2026

Wie moet aan beide regelgevingen voldoen?

De vraag die compliance-teams het vaakst stellen: welk kader is op ons van toepassing?

Financiële entiteiten: primair DORA

Als u een gereguleerde financiële entiteit bent (bank, verzekeraar, beleggingsonderneming, betaalinstelling, enz.), is DORA uw primaire kader voor ICT-risicobeheer en incidentmelding. NIS2 kan ook financiële entiteiten als gedekte sectoren vermelden, maar DORA prevaleert als lex specialis.

ICT-aanbieders: mogelijk beide

ICT-dienstverleners staan voor het meest complexe scenario van dubbele verplichtingen:

Aangewezen CTPP's onder DORA (19 aanbieders per november 2025, inclusief AWS, Microsoft Azure, Google Cloud, IBM en Bloomberg) zijn onderworpen aan direct ETA-toezicht
ICT-aanbieders die niet als CTPP zijn aangewezen maar actief zijn in NIS2-gedekte sectoren moeten NIS2 naleven
ICT-aanbieders die meerdere sectoren bedienen (financieel + andere) kunnen voor verschillende delen van hun activiteiten aan beide kaders zijn onderworpen

Niet-financiële sectoren

Voor gezondheidszorg, energie, transport, digitale infrastructuur en andere sectoren die door NIS2 maar niet door DORA worden gedekt, is alleen NIS2 van toepassing.

Lex Specialis: hoe de overlap in de praktijk wordt opgelost

Het lex specialis-beginsel — de specifiekere wet prevaleert boven de algemene wet — is gecodificeerd in NIS2 Artikel 4. Voor financiële entiteiten vervangen DORA's meer gedetailleerde ICT-risicobeheer- en incidentmeldingsvereisten de equivalente NIS2-verplichtingen.

Wat dit in de praktijk betekent:

Alleen door DORA geregeld (NIS2 is niet van toepassing op financiële entiteiten voor deze gebieden):

ICT-risicobeheerkader (DORA Artikelen 5–16)
Melding van ernstige ICT-incidenten (DORA Artikel 19)
Testen van digitale operationele weerbaarheid (DORA Artikelen 24–27)
Beheer van ICT-risico's van derden en CTPP-toezicht (DORA Artikelen 28–44)

Gebieden waar NIS2 nog steeds van toepassing kan zijn op financiële entiteiten:

Fysieke beveiliging van infrastructuur die DORA niet dekt
Verplichtingen voor beveiliging van de toeleveringsketen op niet-ICT-gebieden
Sectorspecifieke bepalingen buiten het toepassingsgebied van DORA

Een bank is dus niet volledig vrijgesteld van NIS2, alleen van de specifieke verplichtingen die DORA vervangt.

Compliancestrategie voor entiteiten met dubbele verplichtingen

Als uw organisatie sectoroverschrijdend actief is of uw ICT-aanbieders zowel financiële als niet-financiële klanten bedienen, is een geïntegreerde compliancestrategie aan te raden:

1. Bepaal uw entiteitstype nauwkeurig. Stel vast of u: (a) een gereguleerde financiële entiteit bent die primair onder DORA valt, (b) een niet-financiële entiteit bent die onder NIS2 valt, of (c) een ICT-dienstverlener bent die mogelijk onder beide kaders valt.

2. Bouw een uniform ICT-risicobeheerkader. DORA's ICT-risicobeheervereisten (Artikelen 5–16) zijn gedetailleerder dan NIS2 Artikel 21. Een systeem dat voldoet aan de DORA-standaard voldoet doorgaans ook aan de equivalente NIS2-vereisten.

3. Richt incidentrespons in op DORA's 4-uurs drempel. Als DORA van toepassing is, moet uw incidentresponsproces een eerste melding binnen 4 uur ondersteunen. Dit vereist geautomatiseerde waarschuwingen, vooraf opgestelde meldingssjablonen en gedefinieerde escalatiepaden naar bevoegde autoriteiten. Organisaties die aan DORA's termijnen voldoen, voldoen automatisch aan NIS2's 24-uurs drempel.

4. Beheer risico's van derde partijen met bewijs. Beide kaders vereisen beheer van toeleveringsketen- en derde-partijrisico's. Het DORA Informatierapport (ROI) voor 2026 had bij de AFM een inleverdeadline voor bedrijven van 22 maart 2026 (DNB: 20 maart 2026); de geconsolideerde ETA-deadline voor nationale autoriteiten is 31 maart 2026.

5. Gebruik continue compliance-monitoring. Zowel DORA als NIS2 vereisen aantoonbare, continue naleving. Orbiq biedt realtime bewijsverzameling, geautomatiseerde ondersteuning voor incidentclassificatie en dashboards voor leveranciersrisico's die op beide kaders zijn afgestemd.

Hoe Orbiq helpt

Orbiq is gebouwd voor EU-gereguleerde organisaties die DORA, NIS2 en hun snijvlakken moeten navigeren. Het platform biedt:

Continue monitoring van uw beveiligingshouding, gekoppeld aan DORA- en NIS2-controleraamwerken
Vendor assurance voor DORA's Informatierapport en NIS2-vereisten voor beveiliging van de toeleveringsketen
Incidentbeheer met configureerbare termijnen die zijn afgestemd op de 4-uurs DORA- en 24-uurs NIS2-drempels
Trust Center om compliancehouding te demonstreren aan toezichthouders, klanten en auditors

Bronnen & Referenties

Verordening (EU) 2022/2554 (DORA) — Officiële tekst van de Digital Operational Resilience Act
Richtlijn (EU) 2022/2555 (NIS2) — Officiële tekst van de NIS2-richtlijn
ETA-verklaring over DORA-toepassing (december 2024) — Bevestigt geen overgangsperiode voor DORA
JC 2024-33 Eindrapport over Incidentmelding RTS/ITS — DORA meldingstermijnen (4u/24u/72u/1 maand)
NIS2 ontmoet DORA — PayTechLaw — Analyse van de lex specialis-clausule
DORA Register van Informatie 2026 — Thomas Murray — AFM en ETA-deadlines voor ROI-indiening 2026
NIS2-boetestructuur — Hornetsecurity — Boeteplafonds voor essentiële en belangrijke entiteiten
DORA vs NIS2 — activeMind.legal — Juridische analyse van dubbele compliance en veelvoorkomende misvattingen
DORA-handhaving 2026 — aqmetrics — Overgang van begeleiding naar actief toezicht door AFM en DNB
DORA vs NIS2 — Diligent — Praktische vergelijking voor compliance-verantwoordelijken