Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Zoeken

  1. Netherlands
  2. Inspiratie
  3. Blog
  4. Cybersecurity
  5. Is jouw organisatie klaar voor DORA en NIS2?

Is jouw organisatie klaar voor DORA en NIS2?

Cybersecurity

Share

Vanaf 2025 gelden strengere Europese regels voor cybersecurity en digitale weerbaarheid. De Digital Operational Resilience Act (DORA) en de herziene NIS2-richtlijn verplichten duizenden organisaties tot structurele beveiligingsmaatregelen. Maar hoe weet je of je eraan voldoet? Met deze checklist weet je snel waar je staat.

Waarom DORA en NIS2 nu tellen

Cyberaanvallen worden complexer en gerichter. Niet alleen multinationals, maar ook zorginstellingen, overheden en kritieke infrastructuur zijn doelwit van cyberafpersing (cyber extortion, ofwel Cy-X), datalekken en supplychain-aanvallen. De EU reageert daarop met NIS2 en DORA: strengere, afdwingbare wetgeving.

Wat is NIS2?

NIS2 vervangt de oorspronkelijke richtlijn uit 2016 en geldt voor een bredere groep organisaties. Denk aan IT-dienstverleners, banken, zorginstellingen, telecombedrijven en overheden. Deze organisaties zijn van groot belang voor de samenleving en economie, en moeten daarom voldoen aan strengere eisen. Deze richten zich op:

  • Risicobeheer en preventie
  • Incidentdetectie en -melding
  • Ketenbeveiliging
  • Governance en rapportage

De NIS2-richtlijn is op Europees niveau van kracht sinds 17 oktober 2024. In Nederland is de vertaling hiervan, de Cyberbeveiligingswet, echter nog in voorbereiding en zal naar verwachting pas in werking treden in Q2 2026. Tot die tijd gelden verplichtingen zoals de zorgplicht, meldplicht en registratieplicht nog niet formeel. Toch is dit het moment om je organisatie voor te bereiden, want de impact en vereisten zijn ingrijpend, en uitstel betekent geen afstel.

Wat is DORA?

DORA geldt specifiek voor de financiële sector, inclusief IT-leveranciers. De focus ligt op digitale veerkracht, met verplichte maatregelen zoals:

  • Regelmatige penetratietests
  • Continuïteits- en herstelplannen
  • Governance voor ICT-risico’s
  • Strenge eisen aan externe partijen

DORA is sinds januari 2025 volledig van kracht.

Wat als je niet voldoet?

Als uit een audit blijkt dat je non-compliant bent, kan dat leiden tot hoge boetes. En als je gehackt wordt en non-compliant blijkt te zijn, kan dat ook nog leiden tot reputatieschade en juridische aansprakelijkheid. Klanten en toezichthouders verwachten structurele aandacht voor cybersecurity, geen ad-hocoplossingen.

De DORA & NIS2-checklist

Gebruik deze checklist om te bepalen of jouw organisatie voldoet aan de kernverplichtingen:

1. Governance & verantwoordelijkheid

  • Is cybersecurity formeel belegd binnen de organisatie?
  • Maakt het deel uit van strategische besluitvorming?
  • Wordt het bestuur regelmatig geïnformeerd over risico’s?

2. Risicomanagement & beveiliging

  • Is er een actueel riskmanagement-framework?
  • Worden netwerk- en systeemrisico’s regelmatig beoordeeld?
  • Zijn back-ups, encryptie en multifactorauthenticatie (MFA) standaard?

3. Incidentrespons & meldplicht

4. Leveranciers & ketenbeveiliging

  • Worden leveranciers gescreend en geaudit?
  • Zijn er contractuele afspraken over beveiligingsniveaus?

5. Training & bewustwording

  • Volgt personeel regelmatig een awareness-training?
  • Worden phishingtests ingezet?
  • Is cybersecurity onderdeel van de bedrijfscultuur?

6. Monitoring & rapportage

  • Worden kritieke systemen 24/7 bewaakt?
  • Is er realtime inzicht in security-events?
  • Worden incidenten geëvalueerd en gedeeld?

7. Specifiek voor DORA: financiële sector

  • Is er beleid voor ICT-risicobeheer en veerkracht?
  • Worden scenario’s getest (bv. systeemuitval)?
  • Zijn herstel- en communicatieplannen op orde?

Wat als het antwoord vaak ‘nee’ is?

Veel organisaties zijn nog niet volledig compliant, en dat is begrijpelijk. Compliance is geen einddoel, maar een continu proces van verbeteren en bewustworden. Begin met inzicht: weet waar je risico’s liggen en waar je de meeste impact kunt maken.

Hulp nodig? Wij staan klaar

Bij Orange Cyberdefense ondersteunen we organisaties van strategie tot uitvoering:

  • Gap-analyse DORA/NIS2 – helder overzicht van je huidige status
  • Inrichting governance en beleid – inclusief rollen en verantwoordelijkheden
  • Monitoring, training en incidentrespons – zowel technisch als organisatorisch

Heb je vragen over compliance?

Kom in contact met een van onze experts.

Praat met onze experts

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11