Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > NIS2, DORA en de EU AI-wet: Waarom Europese organisaties moeite hebben om bij te blijven
NIS2, DORA en de EU AI-wet: Waarom Europese organisaties moeite hebben om bij te blijven

NIS2, DORA en de EU AI-wet: Waarom Europese organisaties moeite hebben om bij te blijven

by Marc ten Eikelder updated juni 5, 2026 Wettelijke naleving
Reading Time: 8 minutes

Europese organisaties falen niet in naleving van regelgeving vanwege een gebrek aan inzet. Ze falen omdat drie grote regelgevende kaders vrijwel gelijktijdig zijn ingevoerd, met overlappende maar verschillende vereisten, inconsistente implementatietijdlijnen tussen lidstaten, en nalevingsverplichtingen die elk hun eigen documentatie, audits en bewijsketens vereisen. Het resultaat is een nalevingsomgeving die niet alleen veeleisend is — maar architectonisch niet aansluit op hoe de meeste organisaties hun beveiligings- en governanceprogramma’s hebben opgebouwd.

Op de Span Cyber Security Arena-conferentie gaf cybersecurity governance-expert Antonija Vojnović een cijfer aan het probleem: 96% van de financiële sector in EMEA meldt dat hun dataresistentie nog niet aan de verwachtingen van DORA voldoet. Dat is geen statistiek over de minst voorbereide organisaties. Het is een bijna unanieme bevinding in een sector die al decennialang aanzienlijke middelen aan naleving besteedt.

NIS2, DORA en de EU AI Act delen een gemeenschappelijk doel — organisaties en de personen van wie zij data verwerken beschermen tegen systemische cyber- en AI-gerelateerde risico’s — maar ze operationaliseren dat doel via verschillende scope-definities, verschillende bewijsvereisten en verschillende toezichthoudende instanties. Voor organisaties die onder alle drie vallen, telt de nalevingslast niet op. Die vermenigvuldigt zich.

5 Belangrijke Inzichten

1. Drie grote EU-regelgevingskaders worden gelijktijdig gehandhaafd, met slechts gedeeltelijke richtlijnen voor elk.

NIS2-handhaving verschilt per lidstaat. DORA’s RTS-technische standaarden worden nog afgerond. De deadline voor hoog-risico AI-systemen volgens de EU AI Act in augustus 2026 wordt voor sommige categorieën verlengd. Organisaties kunnen niet wachten op duidelijkheid — ze moeten nu al een nalevingsinfrastructuur opbouwen, tegen vereisten die nog in ontwikkeling zijn.

2. 96% van de EMEA financiële sector zegt dat hun dataresistentie niet voldoet aan de verwachtingen van DORA.

DORA is geen ambitieus streven. Het is een operationele standaard, met voorschrijvende vereisten voor ICT-risicobeheer, incidentclassificatie en -rapportage, toezicht op externe leveranciers en testen van digitale operationele weerbaarheid. Een faalpercentage van 96% betekent dat de sector start met een aanzienlijk tekort — en de controles die de meeste organisaties missen, zijn dezelfde controles die NIS2 en de EU AI Act ook vereisen.

3. NIS2-implementatie verschilt aanzienlijk tussen EU-lidstaten.

Multinationals die grensoverschrijdend opereren, krijgen te maken met verschillende audit-tijdlijnen, verschillende processen van nationale bevoegde autoriteiten en mogelijk verschillende interpretaties van dezelfde richtlijntekst. De 24-uurs voorlopige meldingsplicht is niet flexibel voor variatie tussen lidstaten — het auditrecord moet al bestaan vóórdat het incident plaatsvindt, niet pas tijdens het incident worden samengesteld.

4. De deadline van de EU AI Act voor hoog-risico AI-verwerking in augustus 2026 nadert, terwijl het bewustzijn van AI-datalekrisico’s laag is.

De EU-bestedingen aan AI zullen naar verwachting $290 miljard bedragen in 2029. Organisaties die nog niet hebben geïnventariseerd waar AI gereguleerde data verwerkt, lopen nu al achter op een verplichting waarvoor boetes tot 7% van de wereldwijde jaaromzet kunnen worden opgelegd. Shadow AI — tools die buiten het governancekader opereren — is direct relevant omdat de wet een gedocumenteerde AI-inventaris als basisstap vereist.

5. Het architectonische antwoord is één platform dat gelijktijdig nalevingsbewijzen voor alle drie de kaders genereert.

NIS2, DORA en de EU AI Act vereisen allemaal toegangscontrole, versleutelde gegevensverwerking, incidentlogging en audittrails. Organisaties die deze controles één keer implementeren in een geïntegreerd platform, voldoen aan de vereisten van alle drie — zonder drie aparte bewijsketens te hoeven onderhouden die kosten en auditrisico’s verhogen.

Welke Data Compliance Standards Zijn Relevant?

Lees nu

Wat NIS2 Werkelijk Vereist van Europese Organisaties

NIS2 breidt de oorspronkelijke Netwerk- en Informatiesystemenrichtlijn uit naar energie, transport, financiële infrastructuur, zorg en digitale infrastructuur — en introduceert directe bestuurlijke aansprakelijkheid bij nalevingsfouten. Bestuurders en senior managers van organisaties binnen de scope kunnen persoonlijk aansprakelijk worden gesteld voor systematische NIS2-overtredingen, een verschuiving waardoor cyberbeveiligingsgovernance van de IT-afdeling naar de bestuurskamer is verplaatst.

De inhoudelijke vereisten van de richtlijn omvatten technische en organisatorische maatregelen die passen bij het risico, met specifieke aandacht voor beveiliging van de toeleveringsketen, toegangscontrole en versleutelde communicatie. Organisaties moeten nationale bevoegde autoriteiten binnen 24 uur op de hoogte stellen zodra zij zich bewust zijn van een significant incident, met een meer gedetailleerd rapport binnen 72 uur.

De meldingsvensters van 24 en 72 uur zijn het operationele drukpunt. Om hieraan te voldoen moeten de auditlogs en attributieregisters al vóór een incident aanwezig zijn, niet pas tijdens het incident worden samengesteld. Organisaties die vertrouwen op verspreide systeemlogs over meerdere platforms — e-mail, bestandsoverdracht, cloudopslag, MFT — om een datalek te reconstrueren, zullen merken dat 24 uur snel voorbij is als die tijd aan logverzameling wordt besteed in plaats van incidentanalyse.

NIS2-naleving is ook een verplichting richting de toeleveringsketen. Organisaties binnen de scope moeten verifiëren dat hun kritieke ICT-dienstverleners aan gelijkwaardige beveiligingsstandaarden voldoen — leveranciersbeoordelingen, contractuele beveiligingsvereisten en het vermogen om aan te tonen dat de nalevingsstatus zich uitstrekt tot afhankelijkheden van derden.

Wat DORA Vereist Waar De Meeste Financiële Organisaties Nog Niet Aan Voldoen

DORA is van toepassing op financiële entiteiten die op EU-niveau gereguleerd worden — banken, beleggingsondernemingen, verzekeraars, betaaldienstverleners en hun kritieke ICT-dienstverleners — en stelt een uniform kader vast voor digitale operationele weerbaarheid binnen de financiële sector van de EU. In tegenstelling tot NIS2, dat basisvereisten stelt en lidstaten toestaat meer toe te voegen, is DORA een verordening, geen richtlijn. De vereisten zijn direct van toepassing en uniform in alle EU-lidstaten.

Het faalpercentage van 96% in EMEA weerspiegelt het gat tussen DORA’s operationele verwachtingen en hoe de meeste financiële instellingen hun ICT-risicobeheer historisch hebben ingericht. DORA vereist een allesomvattend ICT-risicobeheerraamwerk dat identificatie, bescherming, detectie, reactie en herstel omvat. Organisaties moeten ICT-incidenten classificeren volgens DORA’s voorgeschreven criteria en grote incidenten binnen specifieke termijnen rapporteren.

DORA’s vereisten voor beperking van ICT-risico’s strekken zich uit tot hoe financiële instellingen gegevens in rust en onderweg verwerken binnen hun operationele kanalen. De versleutelde beheerde bestandsoverdrachtssystemen waarmee financiële instellingen gevoelige gegevens uitwisselen met tegenpartijen, toezichthouders en dienstverleners, moeten voldoen aan de beveiligingsstandaarden van DORA. Veel organisaties ontdekken dat hun legacy MFT-infrastructuur, gebouwd op prestaties in plaats van naleving, niet de audittrail-diepte biedt die DORA vereist.

DORA’s bepalingen voor risico’s van derden vereisen dat financiële entiteiten een register bijhouden van alle ICT-dienstverleners die kritieke of belangrijke functies ondersteunen, zorgvuldigheid toepassen, specifieke contractuele bepalingen opnemen over beveiliging en incidentmelding, en doorlopend toezicht op de prestaties van de leverancier aantonen. Voor organisaties die vertrouwden op informele leveranciersrelaties is het opbouwen van dit register en de vereiste contractuele infrastructuur een meermaandenproject.

Waarom De EU AI Act In Een Al Overbelaste Omgeving Komt

De EU AI Act voegt een derde nalevingsdimensie toe aan een omgeving die al onder druk staat door NIS2 en DORA. De vereisten voor hoog-risico AI-systemen — waaronder AI voor werkgelegenheid, kredietbeslissingen, onderwijs, wetshandhaving en beheer van kritieke infrastructuur — brengen verplichtingen met zich mee voor risicobeheersystemen, data management, datatransparantie en menselijk toezicht, uitgevoerd via een ander juridisch kader met andere handhavingsmechanismen.

De observatie van Vojnović — dat het bewustzijn van AI-datalekrisico’s door enterprise AI-tools laag blijft — is belangrijk. Organisaties die onder de EU AI Act vallen, moeten niet alleen de AI-systemen beheren die zij bewust inzetten; ze moeten ook rekening houden met AI die hun omgeving binnenkomt via ingebouwde functies in bedrijfssoftware, integraties van derden en tools die door medewerkers worden gebruikt. Het shadow AI-probleem is direct relevant omdat de wet een gedocumenteerde AI-inventaris als basisstap vereist voordat aan andere verplichtingen kan worden voldaan.

Het Overlappende Bewijsprobleem

Wat de NIS2-DORA-EU AI Act-omgeving bijzonder uitdagend maakt, is niet dat de vereisten individueel onredelijk zijn. Het probleem is operationeel: aan alle drie tegelijk voldoen vereist het genereren van bewijs over drie regelgevende vocabularia, uit drie sets technische systemen, voor drie aparte auditprocessen.

NIS2 vraagt om incidentdetectie- en meldingsregistraties. DORA wil ICT-risicobeheerdocumentatie en incidentclassificatielogs. De EU AI Act vraagt om risicobeoordelingen van AI-systemen en data management-documentatie. De onderliggende controles die dit bewijs genereren — toegangslogging, versleutelde gegevensverwerking, audittrails, procedures voor incidentrespons — zijn grotendeels hetzelfde. Het probleem is dat de meeste organisaties deze controles gescheiden hebben geïmplementeerd: één set logs voor e-mail, een andere voor bestandsoverdracht, een derde voor cloudopslag, zonder een uniforme registratie die alle drie de kaders vanuit één gezaghebbende bron bedient.

Zero-trust architectuur lost dit op door elk data access- en uitwisselingsmoment te behandelen als een beleidsbeslissing die geauthenticeerd, geautoriseerd, toegeschreven en gelogd moet worden. In een zero-trust omgeving is het auditrecord continu en volledig by design, niet achteraf samengesteld — en levert het het bewijs dat NIS2 nodig heeft voor incidentmelding, DORA voor ICT-risicobeheer en de EU AI Act voor data management-documentatie, allemaal vanuit één registratie met consistente toewijzing.

Wat De Unified Platform-aanpak Verandert

Het Kiteworks-platform biedt NIS2-naleving, DORA-naleving en GDPR-nalevingsmogelijkheden vanuit één architectuur. FIPS 140-3 gevalideerde encryptie, door ABAC afgedwongen toegangscontrole en manipulatiebestendige auditlogging zijn van toepassing op elke contentuitwisseling — beveiligde e-mail, SFTP, beheerde bestandsoverdracht en beveiligd delen van bestanden — via dezelfde policy engine en hetzelfde auditrecord.

Voor DORA zijn bewijs van ICT-incidentclassificatie, communicatie-logs met derden en toegangscontroledocumentatie die toezichthoudende autoriteiten tijdens een DORA-audit zullen opvragen, al aanwezig in de Kiteworks-audittrail. Voor NIS2 worden de 24-uurs voorlopige melding en 72-uurs gedetailleerde rapportage beheersbaar wanneer het auditrecord al bestaat. Voor de EU AI Act beheren de Kiteworks Secure MCP Server en AI Data Gateway wat AI-agenten kunnen benaderen en loggen ze elke interactie in hetzelfde manipulatiebestendige record als elke menselijke interactie.

Het doel is niet om elke regelgeving als een apart implementatieproject te behandelen. Het doel is om de beveiligings- en governance-infrastructuur die alle drie de kaders gemeen vereisen, één keer op te bouwen en het bewijs te genereren dat elk kader nodig heeft vanuit die ene basis. Het Kiteworks Private Data Network is die basis.

Meer weten over het aantonen van naleving van deze en andere privacyregelgeving? Plan vandaag nog een aangepaste demo.

Veelgestelde Vragen

NIS2 is een richtlijn — EU-lidstaten moeten deze omzetten in nationale wetgeving, wat leidt tot variatie in implementatietijdlijnen. Het geldt voor energie, transport, financiële infrastructuur en digitale diensten. DORA is een verordening, direct van toepassing en uniform in alle EU-lidstaten, specifiek voor financiële entiteiten. De twee overlappen voor financiële instellingen die onder beide vallen. Door controles te bouwen die voldoen aan de hoogste gemeenschappelijke deler — manipulatiebestendige auditlogging, versleutelde gegevensverwerking, toezicht op externe leveranciers — wordt dubbele inspanning over beide programma’s verminderd.

Financiële entiteiten moeten een register bijhouden van alle ICT-dienstverleners die kritieke functies ondersteunen, met contracten over beveiligingsstandaarden, incidentmelding, auditrechten en gegevenslocatie. Organisaties moeten ook doorlopend toezicht op leveranciers aantonen aan toezichthouders. De grootste kloof voor de meeste organisaties is niet de contracttaal, maar het genereren van bewijs — de logs die doorlopend toezicht aantonen, niet alleen de tekst die het vereist. Risicobeheerprogramma’s voor derden die alleen op contractuele naleving zijn gebaseerd zonder operationele monitoring, zijn structureel kwetsbaar voor een DORA-examinatie.

2 augustus 2026 is de handhavingsdatum voor verplichtingen rond hoog-risico AI-systemen, met gefaseerde verlengingen — 16 maanden voor nieuwe of wezenlijk gewijzigde Annex III-systemen, 12 maanden voor AI die onder EU-productveiligheidsregels valt. Ondanks deze verlengingen geldt de basisverplichting — het bijhouden van een inventaris van AI-systemen en risicoclassificaties — vanaf 2 augustus. Boetes voor niet-naleving kunnen oplopen tot 7% van de wereldwijde jaaromzet. Organisaties die hun AI-systemenaudit nog niet zijn gestart, lopen nu al achter.

Identificeer controles die alle drie de kaders gemeen hebben en implementeer deze één keer via een geïntegreerde architectuur. Toegangscontrole, versleutelde gegevensverwerking, incidentlogging en audittrails zijn door alle drie vereist in verschillende bewoordingen, maar via vergelijkbare technische maatregelen. Een platform dat deze controles één keer implementeert — met ABAC-handhaving, FIPS-gevalideerde encryptie en manipulatiebestendige logging — genereert het bewijs dat elk kader vereist vanuit één gezaghebbende bron. De data governance-positie die voor DORA’s ICT-risicobeheer is opgebouwd, voldoet ook aan de meldingsvereisten van NIS2 en de data governance-verplichtingen van de EU AI Act.

Begin met controles die het breedste bewijs opleveren: toegangslogging die elke contentuitwisseling met identiteitsattributie en tijdstempels vastlegt, versleutelde communicatie over alle gegevensuitwisselingskanalen, en een gedocumenteerd incidentresponsplan met geteste meldingsprocedures. Deze drie maatregelen leveren nalevingsrelevant bewijs voor de meldingsvereisten van NIS2, DORA’s ICT-incidentclassificatie en de operationele monitoringverplichtingen van de EU AI Act tegelijk. Inventarisatie van AI-systemen moet parallel lopen — weten welke AI zich in uw omgeving bevindt is de voorwaarde voor elke andere AI Act-verplichting.

Aanvullende Bronnen

  • Blog Post De touwtrekwedstrijd om uw data: hoe de CLOUD- en SHIELD-wetten beveiliging tegenover privacy plaatsen
  • Blog Post Beveilig gevoelige data door DSPM te koppelen aan uw nalevingsdoelen
  • Brief Top 3 FERPA-overtredingen en hoe u deze voorkomt
  • Blog Post Executive Order 14117: Bescherming van de bulk van gevoelige persoonsgegevens van Amerikanen
  • Blog Post NIS2-naleving nodig? Begin met ISO 27001

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks