NIS2, DORA en de Cyber Resilience Act: wat moet je ermee?

Wat zijn NIS2, DORA en de CRA?

Wat is NIS2 (Cyberbeveiligingswet)?

NIS2 is een Europese richtlijn. Dat betekent: elk land moet die richtlijn omzetten naar nationale wetgeving. In Nederland gebeurt dat via de Cyberbeveiligingswet (Cbw).

Belangrijk om te weten: de EU-deadline om NIS2 om te zetten was 17 oktober 2024. Veel landen (waaronder Nederland) zijn nog bezig met die vertaling naar nationale regelgeving. Status Nederland: de Cbw treedt pas in werking na akkoord van Tweede en Eerste Kamer. De verwachting die de overheid zelf noemt is eind Q2 2026, maar dat hangt af van het tempo in de Kamers.

Wat is DORA?

DORA (Digital Operational Resilience Act) is een Europese verordening. Dat is meteen het verschil met NIS2: een verordening geldt rechtstreeks in de hele EU. DORA richt zich op de financiële sector (banken, verzekeraars, beleggingsondernemingen en meer) en is van toepassing sinds 17 januari 2025.

Wat is de Cyber Resilience Act (CRA)?

De Cyber Resilience Act is ook een Europese verordening, maar met een andere insteek: dit gaat niet primair over organisaties, maar over producten met digitale elementen (hardware, software en vaak ook bijbehorende diensten). De CRA is in werking sinds 10 december 2024. De meldverplichtingen starten op 11 september 2026 en de hoofdeisen gaan gelden vanaf 11 december 2027.

Waarom stelt de EU deze regels op?

De simpele reden: we zijn digitaal afhankelijker dan ooit, en die afhankelijkheid zit in ketens.

• Een incident bij een leverancier kan tientallen organisaties raken.
• Storingen en aanvallen stoppen niet bij landsgrenzen.
• De impact is niet meer "alleen IT": het is productie, zorg, betalingen, logistiek, publieke dienstverlening.

Aandachtsgebieden binnen NIS2 / Cyberbeveiligingswet

NIS2/Cbw draait om "beheerste beveiliging" voor essentiële en belangrijke organisaties. In de Nederlandse uitleg zie je drie pijlers:

• Zorgplicht: passende maatregelen nemen op basis van risico's, gericht op continuïteit en bescherming van informatie.
• Registratieplicht: organisaties in scope moeten zich verplicht registreren.
• Meldplicht (significante incidenten): binnen 24 uur vroegtijdige waarschuwing, binnen 72 uur vervolgmelding, uiterlijk 1 maand na de eerste melding een eindverslag.

Aandachtsgebieden binnen DORA

DORA is gemaakt voor één scenario: de financiële sector moet blijven draaien, ook als ICT onder druk staat. De focus ligt op:

• ICT-risicomanagement: beleid, controles, monitoring, ownership.
• Incidentmanagement en rapportage.
• Testen van weerbaarheid: structureel en aantoonbaar.
• Derden/leveranciers: grip op uitbesteding, contracten, exitscenario's.

Aandachtsgebieden binnen de CRA

De CRA trekt cybersecurity het product in: secure-by-design wordt een voorwaarde om in de EU te verkopen. De kern draait om:

• Veilig ontwerp en veilige standaardinstellingen.
• Kwetsbaarheden managen: vinden, fixen, communiceren.
• Updates en support: hoe lang blijft een product veilig en ondersteund?
• Melden van problemen: reportingverplichtingen gaan lopen vanaf 2026.

Hoe begin je zonder te verdrinken in regels?

Als je het praktisch wilt aanpakken, werkt dit bijna altijd:

• Bepaal scope: val je onder NIS2/Cbw, DORA, CRA of meerdere?
• Leg je kritieke keten bloot: welke leveranciers zijn "single point of failure"?
• Maak incidentmelding uitvoerbaar: kun je binnen 24/72 uur melden met de juiste info?
• Start met verzamelen van bewijsvoering: niet alleen beleid, maar ook logs, testen, oefeningen en opvolging.
• Voor productteams: ontwikkel processen voor vulnerability handling, updateprocessen en supportafspraken in je lifecycle.

(Dit blog is bedoeld als informatief overzicht en geen juridisch advies.)