DORA versus NIS2

Vergeet DORA The Explorer. Sinds kort heeft DORA een hele andere betekenis. Een Europese verordening voor financiële organisaties. En dan is er nog NIS2. Een richtlijn die eind 2022 is vastgesteld door de Europese Unie en wordt omgezet naar de Nederlandse Cyberbeveiligingswet. DORA en NIS2 lijken op het eerste oog heel erg op elkaar. Daarom kunnen we ons voorstellen dat je als financiële organisatie niet weet waar je op moet focussen. We gaan dieper in op DORA, NIS2, en met name de verschillen tussen deze Europese cybersecurity-richtlijnen.

Wat is DORA?

DORA is een afkorting van Digital Operational Resilience Act. Een Europese richtlijn die geldt voor financiële organisaties in de Europese Unie. Het doel van DORA is dat organisaties in de financiële sector met een wettelijk kader meer beheersing krijgen over hun IT-risico’s en daarmee beter beschermd zijn tegen cybercriminaliteit. Daarmee is het de eerste wetgeving op Europees niveau die zich richt op het invoeren van een breed kader die de digitale, operationele weerbaarheid van organisaties in die sector stimuleert en waarborgt. Concreet gezien bestaat DORA uit een integrale aanpak voor het beheer van de risico’s die de digitale wereld met zich meebrengt. Om deze beveiliging te waarborgen, zijn de financiële organisaties verplicht om zich aan de nieuwe regels te houden. Dit gaat in 2025 in. Vóór die tijd moeten aan alle vereisten van de wetgeving en reguleringsnormen worden voldaan.

Wat is NIS2?

NIS2, ook wel Network and Information Security Directive, is een richtlijn aangenomen door de Europese Unie. Het doel van deze security-richtlijn is het versterken van de digitale en economische weerbaarheid van Europese lidstaten. NIS2 legt strengere eisen op ten opzichte van NIS, is toepasbaar voor meer sectoren en wordt geïmplementeerd als de Cyberbeveiligingswet (Cbw) in Nederland. NIS2 is volledig toegespitst op netwerk- en informatiesystemen die worden gebruikt voor het leveren van diensten en de bedreigingen die daarbij komen kijken. De verplichtingen die de NIS2-richtlijn voorschrijft, zijn zorgplicht, meldplicht en toezicht. Dit gaat over het uitvoeren van een risicobeoordeling, het tijdig melden van incidenten en onafhankelijk toezicht houden.

DORA versus NIS2: wat is voor mijn organisatie van toepassing?

Het is duidelijk: NIS2 en DORA overlappen elkaar veel. Maar als je een financiële dienstverlener bent, welke richtlijn is dan op jouw organisatie van toepassing? Als jouw organisatie kan worden omschreven als een financiële dienstverlener, is het belangrijk om de juridische term “lex specialis” gehoord te hebben, als het gaat om de vergelijking tussen DORA en NIS2. Deze term betekent namelijk dat wanneer twee wetten over hetzelfde gaan, de wet die een specifiek onderwerp regelt, belangrijker is dan een wet die alleen algemene zaken beschrijft. In het geval dat zowel DORA als NIS2 voor jouw organisatie van toepassing zijn, doen we beroep op deze term. De sectorspecifieke wet – DORA – heeft voorrang op de algemene verordening die we kennen als NIS2. Laten we iets dieper ingaan op de DORA-wetgeving. Artikel 1.5.4 van de DORA-wet bepaalt namelijk dat:

Het voorstel heeft geen gevolgen voor de NIS-richtlijn, maar bouwt erop voort en pakt mogelijke overlappingen aan via een lex specialis vrijstelling. De wisselwerking tussen de verordening inzake financiële diensten en de NIS-richtlijn zou geregeld blijven door een lex specialis-clausule, waardoor financiële entiteiten worden vrijgesteld van materiële vereisten in de NIS-richtlijn en overlappingen tussen de twee wetten worden vermeden. Bovendien is het voorstel in overeenstemming met de richtlijn Europese kritieke infrastructuur (ECI), die momenteel wordt herzien om de bescherming en veerkracht van kritieke infrastructuur tegen niet-cyberdreigingen te verbeteren.

Valt jouw organisatie dus onder één van onderstaande sectoren, dan moet je je focussen op de DORA-wetgeving boven de omzetting van NIS2 op nationaal niveau.

Sectoren zich moeten focussen op DORA boven NIS2

  • Bank;
  • Beleggingsonderneming;
  • Verzekeringsmaatschappij;
  • Herverzekeringsmaatschappij;
  • Betalingsinstelling;
  • Instelling voor elektronisch geld;
  • Crypto-asset dienstverlener;
  • Kredietbeoordelaar;
  • Wettelijke auditor;
  • Accountantskantoor;
  • Beheerder van kritieke benchmark;
  • Externe ICT-dienstverlener;
  • Of een andere financiële entiteit die onder DORA en NIS2 valt.

DORA is “strenger” dan NIS2. Fabel of feit?

Nogmaals: DORA en NIS2 overlappen elkaar voor een groot deel. Zo heeft NIS2 rapportagetermijnen die vergelijkbaar zijn met DORA (24 en 72 uur) en zijn de hoogte van de boetes gelijk aan elkaar. Deze twee stukken wetgeving zijn ook ontworpen om systematisch aan elkaar gekoppeld te worden wat betreft het delen van informatie. In bijna alle gevallen zal het naleven van DORA echter meer werk van je organisatie vergen dan het naleven van NIS2. Om te zien waarom, kun je kijken hoe de huidige aanpassingen van NIS2 zich verhouden tot DORA.

Elke nationale implementatie van NIS2 vereist dat organisaties binnen het toepassingsgebied een breed pakket proactieve beveiligingscontroles implementeren, zoals multifactorauthenticatie (MFA) en vulnerability management. In de huidige concepten van de NIS2-implementatiewetten worden offensieve beveiligingsmaatregelen zoals penetratietests echter per definitie niet verplicht gesteld. Hoewel organisaties in sommige gevallen verplicht kunnen worden om uitgebreide beveiligingstests uit te voeren. DORA gaat verder dan dit, door een uitgebreid testprogramma voor digitale operationele veerkracht verplicht te stellen. Dit betekent dat je als organisatie jaarlijks een reeks beoordelingen, tests, praktijken, methodologieën en tools moet uitvoeren. Daarnaast vereist DORA elke drie jaar geavanceerde tests door middel van penetratietests onder leiding van bedreigingen.

Antwoord: het is een feit. DORA legt veel meer nadruk op het beheren van risico’s met betrekking tot externe ICT-dienstverleners en zal van betrokken organisaties vereisen dat ze veel van hun servicecontracten opnieuw opstellen.

Conclusie

Al met al is het voor financiële organisaties belangrijk om vóór 1 januari 2025 te voldoen aan de richtlijnen van de Europese DORA-wetgeving omdat deze richtlijn volgens lex specialis dominant is voor deze sector. DORA gaat nog een stap verder dan NIS2 om de weerbaarheid voor cybercriminaliteit te verhogen.

We kunnen ons voorstellen dat je niet weet waar je moet beginnen of dat je eerst wil onderzoeken waar jij als organisatie staat op het gebied van deze richtlijnen. Wij hebben ervaring met het implementeren met nieuwe servicecontracten en werken al tientallen jaren samen met financiële organisaties. Kunnen we je concreet helpen of wil je even sparren? Laat het ons dan gerust weten of plan makkelijk een afspraak in met Dave.


Gerelateerd

Meer innformatie?

Wil je meer weten over DORA versus NIS2 voor financiële organisaties, neem dan contact met ons op.