Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Twee nalevingshorizonten: Wat het 96% DORA-faalpercentage van de EU betekent voor de Golfregio
Twee nalevingshorizonten: Wat het 96% DORA-faalpercentage van de EU betekent voor de Golfregio

Twee nalevingshorizonten: Wat het 96% DORA-faalpercentage van de EU betekent voor de Golfregio

by Marc ten Eikelder updated juni 5, 2026 Wettelijke naleving
Reading Time: 7 minutes

De statistiek van de Span Cyber Security Arena-conferentie verdient aandacht buiten Europa. Zesennegentig procent van de financiële sector in EMEA – inclusief bedrijven met hoofdkantoor of activiteiten in de Golf – meldt dat hun dataresistentie nog niet voldoet aan de vereiste van DORA. Dit is de bijna unanieme positie van een sector die zwaar heeft geïnvesteerd in compliance-infrastructuur. Het hoge faalpercentage draait niet om middelen, maar om architectuur.

Voor organisaties in de GCC met Europese activiteiten, EU-klantgegevens of EU-betrokkenen is deze statistiek geen Europese kop. Het is een operationele statusupdate. DORA kijkt niet naar waar een ICT-dienstverlener is gevestigd. Als u kritieke of belangrijke ICT-diensten levert aan een door de EU gereguleerde financiële entiteit, wordt uw compliance-status beoordeeld onder het DORA-kader.

De organisaties waarmee ik in de Golf samenwerk, ervaren compliance-druk vanuit twee richtingen tegelijk. De Europese drievoudige golf – NIS2, DORA en de EU AI-wet – oefent druk uit via hun Europese activiteiten. Tegelijkertijd ontwikkelen de GCC-kaders voor gegevensbescherming zich snel aan de binnenlandse kant.

De VAE-wet op gegevensbescherming, van kracht sinds september 2023, stelt toestemmings- en rechtenverplichtingen vast voor betrokkenen die op veel punten overeenkomen met GDPR. De Saudische wet op gegevensbescherming, met uitvoeringsregels in 2024, creëert vergelijkbare verplichtingen voor organisaties die gegevens van Saudische staatsburgers verwerken. De Qatarese wet op gegevensprivacy voegt een derde GCC-rechtsbevoegdheid toe met formele vereisten voor gegevensbescherming. Organisaties met activiteiten in meerdere GCC-landen staan voor een binnenlands compliance-landschap met meerdere kaders dat qua structuur, maar niet qua details, lijkt op wat hun Europese tegenhangers ervaren met NIS2, DORA en de AI-wet.

De compliance-wiskunde is niet optellend. EU-kaders, GCC-kaders en sectorspecifieke vereisten van financiële toezichthouders zoals SAMA, CBUAE en de QCB zorgen voor een compliance-werklast die zich vermenigvuldigt in plaats van optelt – vooral wanneer elk kader zijn eigen documentatieformaat, eigen auditbewijzen en eigen procedures voor incidentmelding vereist.

5 Belangrijkste Inzichten

1. Het DORA-faalpercentage van 96% is geen Europese kop – het is een operationele statusupdate voor Golforganisaties.

Zesennegentig procent van de financiële sector in EMEA meldt dat hun dataresistentie nog niet voldoet aan de vereisten van DORA. Als uw organisatie kritieke ICT-diensten levert aan door de EU gereguleerde financiële entiteiten – ongeacht waar u bent gevestigd – wordt uw compliance-status beoordeeld onder dat kader. Het hoge faalpercentage draait niet om middelen, maar om architectuur.

2. Golforganisaties ervaren compliance-druk vanuit twee richtingen tegelijk.

De Europese drievoudige golf – NIS2, DORA en de EU AI-wet – oefent druk uit via Europese activiteiten. De VAE-, Saudische en Qatarese wetten voor gegevensbescherming ontwikkelen zich aan de binnenlandse kant. De compliance-wiskunde is niet optellend: EU-kaders, GCC-kaders en sectorspecifieke vereisten van financiële toezichthouders zorgen voor een werklast die zich vermenigvuldigt, niet optelt.

3. Gefragmenteerde auditinfrastructuur faalt op beide fronten tegelijk.

61% van de organisaties heeft gefragmenteerde auditlogs over meerdere systemen. In een omgeving met twee compliance-horizonnen betekent gefragmenteerde logs dat elke auditcyclus dezelfde inspanning voor bewijsreconstructie vereist – tegen twee verschillende sets van regelgeving, met twee verschillende bewijsformaten. Een DORA-toezichthouder en een Saudische PDPL-auditor vragen om dezelfde onderliggende gegevens, maar met verschillende terminologie.

4. Een AI-agent die buiten zijn bedoelde scope opereert, is een multi-framework gebeurtenis.

Twee derde van de organisaties vermoedt dat hun AI-agents al toegang hebben gehad tot gegevens buiten hun bedoelde scope. Voor Golforganisaties die actief zijn in zowel EU- als GCC-rechtsbevoegdheden is dat tegelijkertijd een DORA ICT-incident, een GDPR-kwestie voor gegevensbescherming, een VAE PDPL-meldingsplicht en mogelijk een Saudische PDPL-overtreding bij grensoverschrijdende overdracht. AI-governance kan niet als een probleem van één rechtsbevoegdheid worden behandeld.

5. De architectuur die beide compliance-horizonnen bedient, is dezelfde architectuur.

De controles die DORA, NIS2, de EU AI-wet en GCC-wetten voor gegevensbescherming gemeenschappelijk vereisen, verschillen inhoudelijk niet: toegangscontrole, versleutelde gegevensverwerking, incidentlogging met toewijzing en audittrails die voldoen aan toezichtseisen. Implementeer ze één keer, over elk kanaal waar gevoelige gegevens doorheen gaan, en genereer vanuit die ene implementatie het bewijs dat elk kader vereist.

Waarom het huidige model voor bewijscreatie faalt

Uit de Cisco Privacy Benchmark Study blijkt dat organisaties nu gemiddeld 3.891 SaaS- en AI-omgevingen gebruiken. In die omgevingen worden toegangslogs, incidentregistraties en gegevensoverdrachtslogs gegenereerd in tientallen verschillende formaten met evenzoveel toewijzingsstandaarden. Wanneer een DORA-toezichthouder om bewijs van ICT-incidentclassificatie vraagt, of een Saudische PDPL-audit om documentatie van grensoverschrijdende gegevensoverdracht en toestemming, kost het reconstructieproces – het verzamelen van gegevens uit e-mailsystemen, bestandsoverdrachtplatforms, cloudopslag, MFT-infrastructuur en AI-interactielogs – de compliance-teams routinematig weken werk.

Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report toont aan dat 61% van de organisaties gefragmenteerde auditlogs heeft over meerdere systemen. In een compliance-omgeving met één kader zijn gefragmenteerde logs een beheersbaar operationeel ongemak. In een omgeving met twee compliance-horizonnen – EU-kaders en GCC-kaders tegelijk – betekent gefragmenteerde logs dat elke auditcyclus dezelfde reconstructie-inspanning vereist, tegen twee verschillende sets van regelgeving, met twee verschillende bewijsformaten.

Het Akeyless 2026 State of AI Agent Identity Security-rapport, gebaseerd op 400 IT- en securityleiders, laat zien dat twee derde van de organisaties vermoedt dat hun AI-agents al toegang hebben gehad tot gegevens buiten hun bedoelde scope. Voor Golforganisaties die AI inzetten in operaties die EU- en GCC-rechtsbevoegdheden omvatten – met verschillende eisen voor gegevensclassificatie, verschillende toestemmingsnormen en verschillende regels voor grensoverschrijdende overdracht – is een AI-agent die buiten zijn bedoelde scope opereert niet alleen een beveiligingsincident. Het is tegelijkertijd een DORA ICT-incident, een GDPR-kwestie voor gegevensbescherming, een VAE PDPL-meldingsplicht en mogelijk een Saudische PDPL-overtreding bij grensoverschrijdende overdracht.

De EU AI-wet voegt de derde dimensie toe

De verplichtingen voor hoog risico uit de EU AI-wet gaan in augustus 2026 in. Voor Golforganisaties die AI-gedreven diensten leveren aan EU-klanten – risicobeoordelingen voor de financiële sector, geautomatiseerde documentverwerking, klantgerichte AI-systemen die EU-betrokkenen raken – zijn de vereiste documentatie, risicobeheer en menselijke toezichtseisen niet optioneel. De deadline in augustus geldt voor de impact van het AI-systeem op EU-burgers, niet voor waar het systeem wordt gehost of waar de ontwikkelaar is gevestigd.

Cybersecurity governance-expert Antonija Vojnović merkte tijdens de Span-conferentie op dat het bewustzijn van AI-datalekrisico’s door enterprise AI-tools laag blijft. In mijn werk met organisaties in de Golf en EMEA zie ik hetzelfde: sterke intentie om AI te adopteren, maar een aanzienlijke kloof tussen die intentie en de AI-governance-infrastructuur die nodig is om AI veilig in te zetten in multi-jurisdictie-omgevingen.

Wat de architectuur moet doen

De controles die DORA, NIS2, de EU AI-wet, VAE PDPL, Saudische PDPL en QCB-gegevensbeheer gezamenlijk vereisen, verschillen inhoudelijk niet van elkaar. Toegangscontrole, versleutelde gegevensverwerking, incidentlogging met toewijzing, audittrails die voldoen aan toezichtseisen en toezicht op externe leveranciers. De kaders verschillen in terminologie en handhavingsmechanisme. De onderliggende technische controles zijn hetzelfde.

De compliance-architectuur die compliance met twee compliance-horizonnen duurzaam maakt, past die controles één keer toe – over elk kanaal waar gevoelige gegevens doorheen gaan, in alle rechtsbevoegdheden – en genereert vanuit die enkele implementatie het bewijs dat elk kader vereist. Geen apart complianceprogramma voor DORA en een ander voor VAE PDPL. Eén beheerde dataomgeving die toewijsbare, manipulatiebestendige logs produceert voor elk data-accessevent, geformatteerd voor elk type toezicht.

Het Kiteworks Private Data Network consolideert e-mail, bestandsoverdracht, MFT, SFTP, webformulieren, API’s en AI-integraties onder één beleidsengine en één geconsolideerde auditlog. Voorgebouwde compliance-dashboards voor GDPR, DORA en NIS2 genereren kader-specifiek bewijs uit dezelfde onderliggende data – één architectuur, twee compliance-horizonnen, één bewijsbasis.

De organisaties die nu een compliance-architectuur bouwen – ongeacht welke specifieke deadline het meest urgent is – zijn degenen die het DORA-gat dichten, de GCC-auditcyclus doorstaan en de deadline van de AI-wet in augustus halen met dezelfde investering. Organisaties die voor elk kader aparte programma’s bouwen, zullen merken dat de compliance-werklast sneller groeit dan de capaciteit van hun team om deze aan te pakken.

Het DORA-faalpercentage van 96% is geen waarschuwing gericht op Europese bedrijven. Het is een benchmark voor elke organisatie met blootstelling aan EU-regelgeving – en in de Golf is die blootstelling aanzienlijk en groeiend.

Meer weten over het aantonen van DORA-compliance? Plan vandaag nog een demo op maat.

Veelgestelde vragen

Ja. DORA is van toepassing op basis van de functie die u vervult voor door de EU gereguleerde financiële entiteiten, niet waar u bent gevestigd. Als uw diensten kritieke of belangrijke functies van een EU-financiële entiteit ondersteunen, wordt uw compliance-status beoordeeld onder DORA – inclusief ICT-risicobeheer, incidentrapportage en toezicht op derden. 96% van de financiële bedrijven in EMEA voldoet nog niet aan de dataresistentievereisten van DORA, waardoor compliance-infrastructuur de hoogste prioriteit heeft.

De onderliggende technische controles die beide kaders vereisen – toegangscontrole, versleutelde gegevensverwerking, incidentlogging met toewijzing en manipulatiebestendige audittrails – zijn inhoudelijk hetzelfde. Een uniform data exchange-platform dat deze controles één keer afdwingt en kader-specifiek bewijs genereert uit één implementatie, voldoet aan beide. Het Kiteworks Private Data Network levert voorgebouwde compliance-dashboards voor GDPR, DORA en NIS2 uit hetzelfde onderliggende auditrecord.

Ja. De EU AI-wet is van toepassing op basis van waar AI-uitkomsten EU-burgers raken, niet waar het AI-systeem wordt gehost of ontwikkeld. Golforganisaties die AI-gedreven risicobeoordelingen voor de financiële sector, geautomatiseerde documentverwerking of klantgerichte AI-systemen aan EU-klanten leveren, moeten uiterlijk augustus 2026 voldoen aan de vereiste documentatie, risicobeheer en menselijk toezicht. Boetes voor niet-naleving kunnen oplopen tot 7% van de wereldwijde jaaromzet bij de ernstigste overtredingen.

De oorzaak is gefragmenteerde logs – 61% van de organisaties werkt met auditgegevens die verspreid zijn over e-mail, bestandsoverdracht, MFT, cloudopslag en AI-interactiesystemen. Een uniforme controlelaag die alle gevoelige data-uitwisseling onder één beleidsengine en één auditlog brengt, elimineert de reconstructie-inspanning. Wanneer DORA-, Saudische PDPL- en VAE PDPL-audits plaatsvinden, is het bewijs al gegenereerd – een rapport, geen forensisch project.

Twee derde van de organisaties vermoedt dat hun AI-agents al toegang hebben gehad tot gegevens buiten hun bedoelde scope – een enkel incident dat gelijktijdig verplichtingen kan activeren onder DORA, GDPR en GCC-wetten voor gegevensbescherming. Het antwoord is data layer AI-governance: verifieer elk agentverzoek, handhaaf op attributen gebaseerde toegangscontrole en log elke interactie in een manipulatiebestendige audittrail, onafhankelijk van model of rechtsbevoegdheid. De Kiteworks Secure MCP Server en AI Data Gateway implementeren dit patroon over alle rechtsbevoegdheden vanuit één beheerde infrastructuur.

Aanvullende bronnen

  • Blog Post Het touwtrekken om uw data: hoe de CLOUD- en SHIELD-wetten beveiliging tegenover privacy plaatsen
  • Blog Post Beveilig gevoelige data door DSPM te koppelen aan uw compliance-doelen
  • Brief Top 3 FERPA-overtredingen en hoe u deze voorkomt
  • Blog Post Executive Order 14117: Bescherming van Amerikaanse bulkgevoelige persoonsgegevens
  • Blog Post NIS2-compliance nodig? Begin met ISO 27001

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks