Pragmaat heeft in recente blogs aandacht besteed aan de nieuwe Europese richtlijn NIS2, en de stappen die organisaties kunnen zetten om hieraan te voldoen. Tegelijkertijd moeten financiële instellingen voldoen aan de Digital Operational Resilience Act (DORA). Maar hoe verhouden NIS2 en DORA zich tot elkaar?

NIS2 harmoniseert het niveau van cyberbeveiliging in de EU.

• Het doel van NIS2 is dat de bedrijven en organisaties die het belangrijkst zijn voor het goed functioneren van onze samenleving een hoog niveau van digitale veiligheid bereiken.
• NIS2 is een EU-richtlijn die moet worden vertaald naar lokale wetgeving. EU-lidstaten hebben tot en met oktober 2024 de tijd om NIS2 te vertalen naar lokale wetgeving.
• NIS2 Is van toepassing vanaf de datum zoals gesteld door de lokale wetgever

DORA is bedoeld om de digitale operationele weerbaarheid van specifiek de financiële sector te versterken.

• In DORA staan de beschikbaarheid en integriteit van financiële diensten centraal.
• DORA is een wet die is uitgegeven door de EU (NIS2 is dus een richtlijn) en is bedoeld om zeker te stellen dat financiële instellingen bestand zijn tegen cyberaanvallen en kunnen blijven opereren.
• DORA is ongewijzigd van toepassing op financiële instellingen op de datum zoals genoemd hierin: 17 januari 2025.

NIS2 en DORA richten dus zich niet op dezelfde entiteiten. NIS2 heeft betrekking op zogenaamde ‘essentiële entiteiten’ (EE) zoals aangegeven in Annex 1 en ‘belangrijke entiteiten’ (IE), zoals aangegeven in Annex 2. DORA heeft betrekking op de financiële sector, via 21 specifieke soorten entiteiten zoals benoemd in artikel 2.

In de praktijk vullen NIS2 en DORA elkaar eerder aan dan dat ze elkaar beconcurreren. NIS2 is gericht op het versterken van het algemene niveau van cyberbeveiliging in de EU, terwijl DORA ervoor zorgt dat het financiële systeem functioneel blijft, specifiek in het geval van een cyberaanval. NIS2 en DORA bevatten dus geen gelijkluidende regels.

Overeenkomsten tussen NIS2 en DORA:

• Focus op cybersecurity en operationele veerkracht: zowel NIS2 als DORA hebben als voornaamste doel de bescherming van essentiële diensten en digitale infrastructuur, zij het in verschillende sectoren.
• Vereisten voor incidentenbeheer en rapportage: NIS2 en DORA leggen beide de nadruk op het adequaat beheren en melden van incidenten. Bedrijven die onder deze wetgeving vallen, moeten snel kunnen reageren op cyberaanvallen, IT-storingen en andere operationele verstoringen, en ze moeten deze incidenten bovendien melden aan de relevante autoriteiten.

Als jouw organisatie moet voldoen aan NIS2 en/of DORA

Een belangrijke vraag is of jouw organisatie moet voldoen aan NIS2 en/of DORA. Pragmaat kan daarbij meekijken en je organisatie begeleiden bij het implementeren en toepassen van NIS2 en DORA. Zo zorg je ervoor dat je beleid, controls en processen aantoonbaar compliant zijn. Dit kan met de inzet van experts op interim-basis of met trainingen of workshops op maat.

Advies en/of hulp nodig bij de implementatie van NIS2 en DORA? Neem contact op met ons.