Informatiebeveiliging

NIS2 in de financiële sector: hoe verhoudt het zich tot DORA en ISO 27001?

NIS2 in de financiële sector: hoe verhoudt het zich tot DORA en ISO 27001?
Banken, verzekeraars, betaalinstellingen en fintechs opereren in een sector die gevoelig is voor cyberdreigingen. Om deze reden worden de regels strenger: NIS2, DORA en ISO 27001 zijn termen die je als financiële organisatie inmiddels niet meer kunt negeren. Maar hoe verhouden deze drie zich tot elkaar? En belangrijker: wat moet je concreet doen om aan alle eisen te voldoen zonder drie aparte compliance-trajecten te starten? In deze blog leggen we het uit.
Dit artikel is voor het laatst bijgewerkt op
15/1/2026

Wat is NIS2 (Cyberbeveiligingswet in Nederland)?

De NIS2-richtlijn (Network and Information Security Directive) gaat over cyberveiligheid voor essentiële sectoren in Europa. In Nederland wordt de NIS2 geïmplementeerd door middel van de Cyberbeveiligingswet (Cbw). Bij essentiële sectoren kun je denken aan energiebedrijven, gezondheidszorg, transport, maar ook grote IT-dienstverleners. Met NIS2 wil de EU ervoor zorgen dat deze bedrijven:

  • Hun digitale veiligheid op orde hebben.
  • Risico’s in kaart brengen en aanpakken.
  • Grote cyberincidenten snel melden.

 

Het doel is simpel: kritieke infrastructuur beschermen tegen cyberaanvallen en ervoor zorgen dat bedrijven en landen beter samenwerken om digitale dreigingen aan te pakken. Bedrijven die als leverancier werken voor die essentiële sectoren moeten afspraken maken met hun grote klanten. Zij moeten aan hen kunnen laten zien dat ze, afhankelijk van hun risicoprofiel, veilig werken.

 

Waarom NIS2 relevant is voor de financiële sector

Traditioneel vielen financiële instellingen al onder allerlei strenge kaders zoals PCI-DSS, EBA-richtlijnen, Wft en AVG. Met de komst van NIS2 voegt Europa daar een extra laag aan toe.

 

Ben je als financiële organisatie automatisch NIS2-plichtig?

Ja. De financiële sector valt onder de categorie essentiële entiteiten. Dit betekent:

  • zwaardere beveiligingseisen
  • strenge rapportageplichten
  • toezicht door nationale autoriteiten
  • bestuurdersaansprakelijkheid

 

Maar… er komt nog iets bij: DORA.

 

Wat is DORA?

Waar NIS2 een brede cybersecurityrichtlijn is die geldt voor veel sectoren, is DORA (Digital Operational Resilience Act) volledig gericht op de financiële wereld:

  • Banken
  • Verzekeraars
  • Betaalinstellingen
  • Beleggingsondernemingen
  • Pensioenfondsen
  • Crypto-aanbieders
  • ICT-dienstverleners (Critical Third Party Providers)

 

DORA is geen richtlijn, maar een verordening. Dat betekent: direct bindend, zonder nationale interpretatie.

 

DORA focust op:

  • ICT-risicomanagement

Voorbeeld: een betaalinstelling moet jaarlijks beoordelen welke IT-systemen het meest kritieke risico vormen (bijv. het betaalplatform) en maatregelen nemen zoals netwerksegmentatie, MFA en striktere monitoring.

  • Incidentrapportages

Voorbeeld: een bank die een phishingaanval ontdekt die klanten kan raken, moet dit binnen zeer korte tijd melden bij de toezichthouder, inclusief impactanalyse, genomen acties en vervolgmaatregelen.

  • Penetratietesten (TIBER-EU)

Voorbeeld: een verzekeraar moet periodiek een TIBER-EU test uitvoeren waarbij ethische hackers realistische aanvallen simuleren, zoals het binnendringen van het klantportaal of fraude via API’s.

  • Ketenbeheer en afhankelijkheden

Voorbeeld: een pensioenfonds moet inzicht hebben in welke softwareleveranciers toegang hebben tot gevoelige data en welke risico’s dat geeft, inclusief exit-strategieën als een leverancier uitvalt.

  • Toezicht op ICT-dienstverleners

Voorbeeld: een fintech die afhankelijk is van een cloudprovider (zoals AWS, Azure of Google Cloud) moet aantonen welke contractuele afspraken zijn vastgelegd, hoe prestaties worden gemonitord en wat er gebeurt bij storingen.

 

Veel onderdelen overlappen met NIS2, maar DORA gaat dieper en is strenger.

 

Hoe verhouden NIS2 en DORA zich tot elkaar?

1. DORA is leidend voor financiële instellingen

Voor alle financiële bedrijven geldt: DORA vormt je primaire cyberregelgeving. NIS2 is aanvullend, maar waar overlap is, “winnen” de eisen van DORA.

2. NIS2 gaat verder in ketenverantwoordelijkheid

DORA kijkt vooral naar je directe ICT-leveranciers. NIS2 dwingt organisaties om de hele keten, inclusief kleinere toeleveranciers, te beoordelen.

3. Incidentmeldingen lijken op elkaar, maar verschillen in tijdslijnen

  • NIS2 → 24 uur melding, 72 uur rapportage
  • DORA → varieert per type incident, vaak gedetailleerder én met strengere documentatie-eisen

4. NIS2 is breder, DORA is dieper

Je kunt het zien als:

  • NIS2 = brede beveiligingsverplichting voor vele sectoren
  • DORA = gespecialiseerde, diepgaande eisen voor financiële instellingen

 

De rol van ISO 27001: standaard voor beide regelgevingen

Nu je twee stevige kaders hebt (NIS2 + DORA), vraag je je als organisatie misschien af: “Hoe zorg ik ervoor dat ik niet dubbel werk?”. Dat is precies waar ISO 27001 relevant wordt.

 

ISO 27001:

  • biedt structuur door middel van een informatiebeveiligingsmanagementsysteem (ISMS)
  • is internationaal erkend
  • sluit naadloos aan op risk-gebaseerde cybersecurity
  • helpt aantoonbaar te voldoen aan wettelijke eisen

 

Veel van de controles die ISO 27001 verplicht of aanbeveelt, corresponderen direct met eisen van zowel NIS2 als DORA. ISO 27001 ondersteunt o.a. bij:

  • Risicomanagement
  • Beleid & governance
  • Incidentmanagement
  • Toegangsbeheer
  • Supplier management
  • Logging & monitoring
  • Continuïteitsmanagement

 

Kies je dus voor ISO 27001 als raamwerk, dan leg je een basis die een groot deel van de onderwerpen en eisen van NIS2 en DORA afdekt.

Wat betekenen NIS2, ISO 27001 en DORA voor jou?

1. Je moet aan DORA voldoen

DORA is verplicht voor vrijwel alle financiële instellingen én veel ICT-dienstverleners die hen ondersteunen.

2. NIS2 geldt óók, maar overlapt grotendeels met DORA

In tegenstelling tot andere sectoren heb je dus geen keuze: beide zijn van toepassing.

3. ISO 27001 is de slimste manier

ISO 27001 helpt je met de implementatie van DORA en NIS2 door:

  • processen te structureren
  • maatregelen te borgen
  • audits te vereenvoudigen
  • aantoonbaarheid te verbeteren

4. Begin met een DORA GAP-analyse

Een goede aanpak:

  1. Start met DORA-eisen als basis
  2. Check welke aanvullende NIS2-eisen gelden
  3. Leg alles vast in een ISMS gebaseerd op ISO 27001

 

Hoe begin je met NIS2, DORA en ISO 27001? (Stappenplan)

  1. Breng in kaart welke onderdelen van DORA en NIS2 op jouw organisatie van toepassing zijn
  2. Voer een GAP-analyse uit
  3. Koppel alle eisen aan ISO 27001 controls
  4. Maak een roadmap van bijvoorbeeld 12–24 maanden
  5. Richt governance en rollen in
  6. Implementeer technische en organisatorische maatregelen
  7. Documenteer aantoonbaarheid: beleid, risico’s, procedures, testen, rapportages

 

Conclusie

DORA en NIS2 zijn verplicht, maar ISO 27001 is de meest praktische manier om compliant te worden én te blijven. Het lijkt veel, maar door slim te combineren voorkom je dubbel werk en bouw je aan een toekomstbestendig informatiebeveiligingsmanagementsysteem. Meer weten? Neem hieronder contact met ons op voor een vrijblijvend adviesgesprek! 

Kilian Houthuijzen
Commercieel manager & partner
085 773 6005
Naar nieuwsoverzicht

Gerelateerde artikelen

Nieuws
NIS2 Quality Mark heet voortaan NIS2 Supply Chain
lees meer
Nieuws
Fendix gaat van start met NIS2 Supply Chain implementaties
lees meer
KAM Certificeringen is nu Fendix

Wij zijn partner van

SGS
BSI
TUV
DEKRA
KIWA
Brand Compliance
LRQA
DNV
Digitrust