NIS2 en DORA: Dubbele Compliance voor Documentverwerking in de Financiële Sector

Waarom krijgt u met beide regelgevingen te maken?

De Europese Unie heeft de afgelopen jaren stevig ingezet op het versterken van de digitale weerbaarheid. Dat heeft geleid tot twee complementaire maar afzonderlijke regelgevingen die voor veel organisaties in de financiële sector tegelijkertijd gelden.

De reden is eenvoudig: een verzekeraar of pensioenfonds is enerzijds een financiële instelling (en valt daarmee onder DORA), en anderzijds een essentiële of belangrijke entiteit die vitale diensten levert aan de samenleving (en valt daarmee potentieel onder NIS2). Leveranciers aan deze organisaties — zoals documentverwerkers en outputmanagement-specialisten — krijgen indirect of direct met beide kaders te maken.

Concreet betekent dit: als u documenten verwerkt voor een pensioenfonds, dan verwacht dat fonds van u dat u voldoet aan de DORA-eisen voor ICT-dienstverleners. Maar ook de NIS2-richtlijn vereist dat de gehele toeleveringsketen op orde is. Twee regelgevingen, één boodschap: uw informatiebeveiliging moet aantoonbaar op het hoogste niveau zijn.

NIS2 in het kort: de brede Europese cybersecurity-richtlijn

De Network and Information Security Directive 2 (NIS2) is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. NIS2 is op 16 januari 2023 in werking getreden en moest uiterlijk op 17 oktober 2024 door EU-lidstaten in nationale wetgeving zijn omgezet. In Nederland loopt de implementatie via de Cyberbeveiligingswet (Cbw), die de Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangt.

NIS2 heeft een aanzienlijk breder toepassingsgebied dan haar voorganger. De richtlijn onderscheidt twee categorieën organisaties:

• Essentiële entiteiten — grote organisaties in kritieke sectoren zoals energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg en drinkwater
• Belangrijke entiteiten — middelgrote en grote organisaties in sectoren zoals post- en koeriersdiensten, afvalverwerking, levensmiddelen, chemische industrie en digitale aanbieders

De kern van NIS2 draait om vier pijlers:

1. Zorgplicht — organisaties moeten passende technische en organisatorische maatregelen nemen om risico's voor netwerk- en informatiesystemen te beheersen
2. Meldplicht — significante incidenten moeten binnen 24 uur als vroegtijdige waarschuwing worden gemeld, gevolgd door een volledige melding binnen 72 uur
3. Toezicht — de overheid houdt actief toezicht op de naleving, met mogelijkheid tot boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet
4. Toeleveringsketenbeveiliging — organisaties zijn verantwoordelijk voor de cybersecurity van hun gehele keten, inclusief leveranciers

Belangrijk voor de financiële sector: banken en financiële marktinfrastructuren vallen expliciet onder NIS2 als essentiële entiteiten. Verzekeraars en pensioenfondsen kunnen via hun omvang en de aard van hun dienstverlening eveneens onder de reikwijdte vallen.

DORA in het kort: specifiek voor de financiële sector

De Digital Operational Resilience Act (DORA) is een Europese verordening die specifiek is ontworpen voor de financiële sector. Anders dan NIS2 (een richtlijn die nationale omzetting vereist) is DORA een verordening die sinds 17 januari 2025 rechtstreeks van toepassing is in alle EU-lidstaten.

Waar NIS2 een breed cybersecurity-kader biedt, gaat DORA dieper in op de specifieke uitdagingen van de financiële sector. DORA richt zich op vijf kerngebieden: ICT-risicobeheer, incidentrapportage, digitale weerbaarheidstesten, risicobeheer van derde partijen, en informatie-uitwisseling over cyberdreigingen.

Een cruciaal verschil met NIS2 is dat DORA direct toezicht vestigt op kritieke ICT-dienstverleners aan de financiële sector. Dit betekent dat niet alleen de financiële instelling zelf, maar ook haar leveranciers rechtstreeks onder de loep van Europese toezichthouders als EBA, ESMA en EIOPA kunnen komen. Voor een uitgebreide bespreking van wat DORA specifiek voor leveranciers betekent, verwijzen we naar ons eerdere artikel over dit onderwerp.

Waar NIS2 en DORA overlappen

Op het eerste gezicht lijken NIS2 en DORA sterk op elkaar. Dat is niet toevallig: beide regelgevingen delen dezelfde Europese ambitie om de digitale weerbaarheid te versterken. De belangrijkste overlappingen:

De Europese wetgever heeft deze overlap erkend. Artikel 4 van NIS2 bevat daarom een lex specialis-bepaling: waar DORA specifiekere eisen stelt dan NIS2 op hetzelfde onderwerp, gelden de DORA-eisen. Dit voorkomt conflicterende verplichtingen, maar het betekent niet dat u NIS2 volledig kunt negeren als u al aan DORA voldoet.

Waar NIS2 en DORA verschillen

Ondanks de overlap zijn er wezenlijke verschillen die het noodzakelijk maken om beide regelgevingen apart te adresseren:

• Juridische aard — NIS2 is een richtlijn die door lidstaten moet worden omgezet in nationale wet- en regelgeving (in Nederland: de Cyberbeveiligingswet). DORA is een verordening die rechtstreeks geldt. Dit leidt tot verschil in interpretatie en handhaving per land voor NIS2.
• Scope — NIS2 beslaat achttien sectoren en is sector-overstijgend. DORA richt zich uitsluitend op de financiële sector en haar ICT-dienstverleners.
• Diepgang — DORA is veel gedetailleerder in haar eisen, met circa 1.200 individuele verplichtingen verspreid over zo'n 70 artikelen. NIS2 stelt meer algemene eisen die door nationale wetgevers worden ingevuld.
• Toezicht op leveranciers — DORA introduceert direct Europees toezicht op kritieke ICT-dienstverleners. NIS2 legt de verantwoordelijkheid voor leveranciersmanagement primair bij de organisatie zelf.
• Sancties — NIS2 kent boetes tot 10 miljoen euro of 2% van de wereldwijde omzet. DORA hanteert sancties via de bestaande toezichthouders (in Nederland: DNB en AFM).
• Incidentmelding — NIS2 vereist een vroegtijdige waarschuwing binnen 24 uur. DORA kent een gelaagd meldproces met specifieke termijnen en templates voor de financiële sector.

Wat betekent dit voor documentverwerking en outputmanagement?

Documentverwerking in de financiële sector is per definitie gevoelig werk. Een pensioenfonds dat jaarlijks honderdduizenden Uniform Pensioenoverzichten (UPO's) laat verwerken en verzenden, deelt daarbij persoonsgegevens, financiële gegevens en soms medische informatie. Een verzekeraar die polisbladen en schade-afhandelingsdocumenten laat opmaken, vertrouwt zijn leverancier gevoelige klantdata toe.

Onder de gecombineerde NIS2- en DORA-eisen betekent dit voor documentverwerkers:

Databeveiliging in elke processtap

Van het moment dat data wordt ontvangen tot het moment dat het document bij de eindklant is afgeleverd, moet elke stap aantoonbaar beveiligd zijn. Dit omvat versleuteling van data in rust en in transit, toegangscontrole op basis van het need-to-know-principe, en logging van alle verwerkingshandelingen. Denk aan een concreet voorbeeld: wanneer een verzekeraar polisgegevens aanlevert voor het genereren van prolongatiebrieven, moet de documentverwerker kunnen aantonen dat die data niet toegankelijk is voor onbevoegden, dat de verwerking traceerbaar is, en dat de data na afloop veilig wordt verwijderd of gearchiveerd.

Continuïteit van documentstromen

Zowel NIS2 als DORA benadrukken het belang van bedrijfscontinuïteit. Voor documentverwerking vertaalt dit zich naar concrete vragen: wat gebeurt er als het verwerkingssysteem uitvalt tijdens de jaarlijkse UPO-run van een pensioenfonds? Is er een uitwijkscenario? Hoe snel kunnen documentstromen worden hersteld na een incident? Beide regelgevingen eisen dat deze scenario's niet alleen zijn doorgedacht, maar ook periodiek worden getest.

Transparante rapportage

Financiële instellingen moeten onder DORA een informatieregister bijhouden van al hun ICT-dienstverleners, inclusief documentverwerkers. Onder NIS2 moeten ze de cybersecuritymaatregelen van hun toeleveringsketen kunnen verantwoorden. Dit vereist dat de documentverwerker transparant rapporteert over beveiligingsmaatregelen, incidenten, en de resultaten van periodieke tests en audits.

Praktische aanpak: één fundament, twee compliance-kaders

Het goede nieuws: omdat NIS2 en DORA op veel punten overlappen, kunt u een efficiënte compliance-aanpak opzetten die beide regelgevingen tegelijk adresseert. De sleutel ligt in het kiezen van het juiste fundament.

ISO 27001 als gemeenschappelijke basis

De ISO 27001-norm voor informatiebeveiliging biedt een uitstekende basis voor zowel NIS2- als DORA-compliance. Het Information Security Management System (ISMS) dat ISO 27001 vereist, dekt een groot deel van de eisen uit beide regelgevingen af:

• Systematisch risicobeheer (NIS2 zorgplicht + DORA ICT-risicobeheer)
• Incidentbeheer en -rapportage (NIS2 meldplicht + DORA incidentrapportage)
• Toegangscontrole en dataclassificatie
• Bedrijfscontinuïteit en disaster recovery
• Leveranciersbeheer en ketenbeveiliging
• Continue verbetering via interne audits en management reviews

Vanuit dit ISO 27001-fundament bouwt u vervolgens de aanvullende eisen in die specifiek zijn voor NIS2 (zoals de exacte meldtermijnen en de registratieplicht) en voor DORA (zoals de gedetailleerde contractuele eisen en het informatie-uitwisselingsraamwerk).

Het NIS2-kwaliteitsmerk als bewijs van compliance

Naast ISO 27001 biedt het NIS2-kwaliteitsmerk een praktisch instrument om aan te tonen dat uw organisatie voldoet aan de NIS2-vereisten. Dit kwaliteitsmerk, geregistreerd in het officiële register op registry.NIS2qualitymark.eu, geeft klanten en toezichthouders de zekerheid dat uw cybersecuritymaatregelen onafhankelijk zijn getoetst aan de NIS2-norm.

De cruciale rol van supply chain security

Als er één thema is dat in zowel NIS2 als DORA centraal staat, dan is het supply chain security — de beveiliging van de gehele toeleveringsketen. En dat raakt documentverwerkers direct.

Onder NIS2 zijn organisaties verplicht om de cybersecurity-risico's van hun leveranciers te beoordelen en te beheersen. Artikel 21 van NIS2 noemt expliciet de beveiliging van de toeleveringsketen als een van de verplichte maatregelen. Dit gaat verder dan alleen uw directe leverancier; het betreft de hele keten.

DORA gaat nog een stap verder met specifieke eisen voor het beheer van ICT-dienstverleners. Financiële instellingen moeten een compleet register bijhouden van al hun ICT-dienstverleners, de kritikaliteit van elke dienst beoordelen, en contractueel vastleggen hoe wordt omgegaan met audits, incidenten en beëindiging van de dienstverlening.

Voor een verzekeraar die zijn documentverwerking uitbesteedt, betekent dit concreet:

• De documentverwerker moet zijn opgenomen in het DORA-informatieregister
• Er moet een risicobeoordeling zijn uitgevoerd op de dienstverlening
• Het contract moet voldoen aan de DORA-contractvereisten (SLA's, auditrechten, exit-strategie)
• De documentverwerker moet kunnen aantonen dat ook zijn eigen leveranciers (bijv. printpartners, cloudproviders) adequaat beveiligd zijn
• Onder NIS2 moet de verzekeraar de algehele cybersecurity-volwassenheid van de documentverwerker kunnen verantwoorden

De aanpak van Output4You

Bij Output4You verwerken we dagelijks documenten voor verzekeraars, pensioenfondsen en andere financiële instellingen. We begrijpen dat onze klanten moeten kunnen aantonen dat hun gehele documentketen voldoet aan zowel NIS2 als DORA. Daarom hebben we een integrale compliance-aanpak ontwikkeld die op drie pijlers rust:

1. ISO 27001 als fundament

Ons ISO 27001-certificeringstraject, dat we naar verwachting in juni 2026 afronden, vormt de ruggengraat van onze informatiebeveiliging. Het ISMS dat we implementeren, dekt de gezamenlijke eisen van NIS2 en DORA af: van risicobeheer tot incidentafhandeling, van toegangscontrole tot bedrijfscontinuïteit.

2. NIS2-kwaliteitsmerk

We beschikken over een geregistreerd NIS2-certificaat, verifieerbaar via het officiële register op registry.NIS2qualitymark.eu. Hiermee tonen we aan dat onze cybersecuritymaatregelen voldoen aan de NIS2-normen. Voor onze klanten betekent dit dat ze in hun eigen NIS2-verantwoording naar dit kwaliteitsmerk kunnen verwijzen als bewijs van ketenbeveiliging.

3. DORA-conforme processen en contracten

Onze contracten en processen zijn afgestemd op de DORA-vereisten. Dit omvat transparante SLA's met meetbare KPI's, heldere incidentprocedures, medewerking aan audits en penetratietesten, en duidelijke exit-strategieën. We ondersteunen onze klanten actief bij het invullen van hun DORA-informatieregister en bieden de rapportage die zij nodig hebben voor hun eigen compliance.

Deze drieledige aanpak stelt onze klanten in staat om met één leverancier aan beide regelgevingen te voldoen, zonder dubbel werk of conflicterende eisen.

Checklist: dubbele compliance voor documentverwerking

Staat u voor de uitdaging om uw documentverwerking NIS2- en DORA-proof te maken? Gebruik onderstaande checklist als leidraad:

Organisatorisch

• Breng in kaart welke regelgevingen op u van toepassing zijn — Valt uw organisatie onder NIS2, DORA, of beide? En hoe classificeert u uw documentverwerker?
• Wijs verantwoordelijkheden toe — Zorg dat het bestuur aantoonbaar betrokken is bij cybersecurity-beslissingen (vereist door zowel NIS2 als DORA)
• Stel een geïntegreerd beleid op — Combineer uw NIS2-zorgplicht en DORA-ICT-risicobeheer in één informatiebeveiligingsbeleid

Technisch

• Versleutel data end-to-end — Zorg dat documentdata versleuteld is tijdens transport én opslag
• Implementeer sterke toegangscontrole — Multi-factor authenticatie en role-based access voor alle documentverwerkingssystemen
• Richt logging en monitoring in — Registreer wie wanneer welke documenten heeft verwerkt, geopend of verzonden
• Test uw weerbaarheid — Voer periodiek penetratietesten en kwetsbaarhedenscans uit op uw documentverwerkingsinfrastructuur

Contractueel en procedureel

• Review leverancierscontracten — Bevatten uw contracten met documentverwerkers de vereiste DORA-clausules (SLA's, auditrechten, exit-strategie, onderaannemingsbepalingen)?
• Vul het DORA-informatieregister in — Neem alle ICT-dienstverleners op, inclusief documentverwerkers, met hun risicoclassificatie
• Stel incidentprocedures op — Definieer meldtermijnen die voldoen aan zowel NIS2 (24/72 uur) als DORA-vereisten
• Documenteer exit-strategieën — Hoe garandeert u de continuïteit van documentstromen als u van leverancier wisselt?

Bewijs en verantwoording

• Vraag certificeringen op — Beschikt uw documentverwerker over ISO 27001, een NIS2-kwaliteitsmerk, of vergelijkbare certificeringen?
• Plan periodieke audits — Maak gebruik van uw contractuele auditrechten om de compliance van uw leverancier te verifiëren
• Houd rapportages bij — Bewaar alle compliance-documentatie als bewijs voor toezichthouders

Conclusie: dubbele compliance als concurrentievoordeel

De combinatie van NIS2 en DORA mag dan een uitdaging lijken, het biedt ook een kans. Organisaties die hun documentverwerking aantoonbaar compliant inrichten, onderscheiden zich in een markt waar vertrouwen en betrouwbaarheid steeds bepalender worden bij de leveranciersselectie.

De financiële sector heeft geen ruimte voor compromissen op het gebied van informatiebeveiliging. Polishouders, pensioendeelnemers en toezichthouders verwachten dat hun gegevens veilig worden verwerkt, opgeslagen en verzonden. Door NIS2 en DORA niet als last te zien maar als framework voor excellentie, transformeert u compliance van een kostenpost naar een strategisch voordeel.

De sleutel tot succes is een integrale aanpak: kies een sterk fundament zoals ISO 27001, bewijs uw NIS2-compliance via een kwaliteitsmerk, en richt uw processen en contracten in volgens de DORA-vereisten. Zo bouwt u aan een documentverwerkingsketen die niet alleen vandaag compliant is, maar ook toekomstbestendig.