DORA en NIS2 zijn de twee grote EU-regimes voor cyberweerbaarheid, beide volledig van toepassing sinds 2024–2025, en vaak verward. De korte versie: NIS2 is de brede, sectoroverschrijdende cyberbeveiligingsrichtlijn; DORA is de gespecialiseerde verordening voor de financiële sector. Wanneer beide van toepassing zouden kunnen zijn op een financiële entiteit, bepaalt een precieze wettelijke regel welke prevaleert. Deze gids maakt die regel concreet voor Belgische organisaties.
KORT SAMENGEVAT
- NIS2 = richtlijn, brede sectoren, nationaal omgezet (België: van kracht 18 okt. 2024, toezicht door het CCB).
- DORA = verordening, uitsluitend financiële entiteiten, rechtstreeks toepasselijk vanaf 17 januari 2025.
- Voor financiële entiteiten is DORA lex specialis (Overweging 16) en een sectorale handeling in de zin van NIS2 art. 4 — de risicobeheer- en meldingsplichten van DORA vervangen de gelijkwaardige NIS2-verplichtingen.
- Dit stelt financiële entiteiten niet vrij van het NIS2-ecosysteem (samenwerking, CSIRT’s).
- Als u geen financiële vergunning hebt, valt u waarschijnlijk onder NIS2, niet onder DORA.
Toepassingsgebied: wie door elk ervan gebonden is
DORA (Verordening (EU) 2022/2554) is van toepassing op een gesloten lijst van “financiële entiteiten” in art. 2(1) — kredietinstellingen, betalings- en instellingen voor elektronisch geld, beleggingsondernemingen, aanbieders van cryptoactivadiensten onder MiCA, verzekeraars en tussenpersonen, fondsbeheerders, handelsplatformen en meer — plus ICT-derde dienstverleners, die onder het toezichtregime vallen. NIS2 (Richtlijn (EU) 2022/2555)bestrijkt “essentiële” en “belangrijke entiteiten” in vele sectoren (energie, transport, gezondheidszorg, digitale infrastructuur, openbaar bestuur en meer), doorgaans boven een drempelwaarde voor omvang. Cruciaal: DORA is een verordening — rechtstreeks toepasselijk, identiek in de hele EU — terwijl NIS2 een richtlijn is die elke lidstaat omzet; in België is dat de wet van 26 april 2024, van kracht sinds 18 oktober 2024 en onder toezicht van het Centrum voor Cybersecurity België (CCB).
De lex specialis-regel — hoe overlap wordt opgelost
Een financiële entiteit zou op het eerste gezicht onder beide kunnen vallen. DORA regelt dit. Overweging 16 bepaalt dat DORA lex specialis is ten opzichte van NIS2, en art. 1(2) voorziet dat voor financiële entiteiten die als essentieel of belangrijk zijn aangemerkt op grond van nationale NIS2-regels, DORA geldt als een sectorale rechtshandeling van de Unie in de zin van NIS2 artikel 4. Artikel 4 van NIS2 is het mechanisme: waar een sectorale EU-handeling minstens gelijkwaardige cyberbeveiligings- en meldingsvereisten oplegt, gelden de sectorale regels in plaats van de overeenkomstige NIS2-verplichtingen. Voor financiële entiteiten die in het toepassingsgebied vallen, vervangen de ICT-risicobeheer- en incidentmeldingsplichten van DORA de gelijkwaardige NIS2-verplichtingen.
Belangrijke nuance: dit is geen vrijstelling. Financiële entiteiten blijven deel uitmaken van het NIS2-ecosysteem — de samenwerkingsgroep, CSIRT-koppelingen — en DORA art. 47 regelt die coördinatie. Lees “DORA prevaleert” niet als “NIS2 doet er niet meer toe”.
De vijf pijlers van DORA
| Pijler | Artikelen | Kort samengevat |
|---|---|---|
| 1. ICT-risicobeheer | Art. 5–16 | Governance, kader, identificeren/beschermen/detecteren/reageren, back-ups. |
| 2. ICT-incidentbeheer & melding | Art. 17–23 | Classificeren en melden van grote ICT-gerelateerde incidenten aan autoriteiten. |
| 3. Testen van digitale operationele weerbaarheid | Art. 24–27 | Regelmatig testen; geavanceerde dreigingsgestuurde penetratietests (TLPT). |
| 4. ICT-risico van derde partijen | Art. 28–44 | Leveranciersrisico beheren; toezicht op kritieke derde partijen. |
| 5. Informatie-uitwisseling | Art. 45 | Vrijwillige uitwisseling van cyberdreigingsinformatie. |
De derde-partijenpijler is waar de meeste organisaties DORA het eerst voelen — deze wordt uitgebreid behandeld in het opbouwen van uw DORA Informatieregister.
Belangrijke data
- DORA: in werking getreden op 16 januari 2023; van toepassing vanaf 17 januari 2025 (art. 64) — geen omzetting vereist.
- NIS2: EU-omzettingsdeadline 17 oktober 2024; in België zijn de nationale regels van toepassing vanaf 18 oktober 2024.
Welke is op u van toepassing? Een beslishulp
- Bent u een vergunde financiële entiteit op de lijst van art. 2(1) (bank, betalings-/e-geldinstelling, beleggingsonderneming, MiCA-cryptoactivaaanbieder, verzekeraar, fondsbeheerder…)? → DORA is van toepassing en vervangt de gelijkwaardige NIS2-plichten, terwijl u in het NIS2-ecosysteem blijft.
- Geen financiële entiteit, maar een essentiële/belangrijke entiteit in een NIS2-sector? → NIS2 is van toepassing (zie de 18 Belgische sectoren).
- ICT-leverancier aan financiële entiteiten? → U voelt DORA contractueel (uw klanten moeten de art. 30-clausules opleggen) en kunt worden aangemerkt als kritieke derde dienstverlener; u kunt ook op eigen titel onder NIS2 vallen.
Een “fintech” heeft geen eenduidig antwoord — het hangt volledig af van de regelgevende status. De juiste reflex is: welke vergunning heeft u? Dat, niet het label, beslist DORA versus NIS2. Zie ook AVG vs NIS2 voor hoe gegevensbeschermingsverplichtingen daar bovenop komen.
Algemene informatie, geen juridisch advies; voor een definitieve scoping valideert u met een gekwalificeerd adviseur of de bevoegde autoriteit (in België: de NBB/FSMA voor financiële entiteiten, het CCB voor NIS2). ICTLAB helpt Belgische organisaties bij het afbakenen en operationaliseren van DORA en NIS2 — verken onze NIS2 & compliance-dienst of spreek met ons team.