Voor financiële instellingen is NIS2 niet de enige cybersecurity regeling die telt. DORA (Digital Operational Resilience Act) raakt dezelfde organisaties met deels overlappende eisen. Veel banken en verzekeraars zijn een DORA programma gestart en realiseren zich pas later dat NIS2 daar bovenop komt. Dat hoeft niet tot twee aparte programma's te leiden, mits u de overlap goed in beeld brengt.
Waar DORA en NIS2 elkaar raken
Beide vragen om ICT risicobeheer, incident reporting, business continuity en supply chain due diligence. Het verschil zit in de granulariteit van DORA (specifieker uitgewerkt voor finance) en in de meldroutes (DORA via DNB of AFM, NIS2 via NCSC). Een geïntegreerd programma maakt één controlframework en differentieert alleen in rapportage richting de juiste toezichthouder.
Waar het uit elkaar loopt
DORA heeft uitgebreide eisen rond ICT third party risk management die NIS2 minder gedetailleerd uitwerkt. NIS2 vraagt bestuurdersaansprakelijkheid op een manier die DORA niet expliciet heeft. En voor incident reporting verschillen de drempels en termijnen, wat in een werkende meldprocedure beide moet dekken.
Hoe wij werken
Een NIS2 specialist met DORA ervaring brengt voor uw instelling de twee regelingen samen tot één werkbaar programma. Eerst een mappinganalyse zodat zicht is op overlap en verschillen. Daarna een geïntegreerd controlframework. Tijdens uitvoering een rapportagestructuur die beide toezichthouders bedient zonder dubbele systemen.
Plan een eerste gesprek via het formulier hieronder. Verwant: NIS2 in kaart brengen tegen uw ISO 27001 framework, NIS2 voor banken.
Verwant: Senior NIS2 consultant, NIS2 versus NIS1: wat er in de praktijk verandert.