De laatste jaren is er een hardnekkige neiging ontstaan om Europese cyber- en weerbaarheidsregelgeving te reduceren tot variaties op een bekend thema. NIS2, DORA, ISO/IEC 27001 — het wordt soms voorgesteld als één familie, één logica, één soort verplichting. Wie het verschil nuanceert, zou zich verliezen in detail. Wie het gelijkstelt, zou “de essentie” begrijpen.
Die redenering is comfortabel maar onstaat vooral uit gemakzucht. Mensen veranderen niet graag komen niet graag uit hun comfortzone en vooral is dezeredenering gewoon fundamenteel onjuist.
ISO/IEC 27001 is in essentie een managementsysteemnorm. Zij structureert beleidsbeheersing rond risicoanalyse, controlemaatregelen en continue verbetering. Het normatieve karakter is generiek: zij creëert een kader waarin organisaties zelf hun informatiebeveiliging organiseren, monitoren en verfijnen. De kracht van ISO 27001 ligt in haar systematiek. Zij dwingt tot nadenken, structureren en aantonen. Maar zij blijft een semi-vrijwillige certificeerbare standaard die in de eerste plaats governance en beheersing adresseert.
DORA daarentegen is geen managementsysteem. Het is financiële wetgeving. Haar doel is niet louter beveiliging, maar operationele weerbaarheid in functie van financiële stabiliteit. De Europese wetgever heeft hier niet gekozen voor een kader dat organisaties naar eigen inzicht invullen, maar voor een regime dat prudentieel toezicht mogelijk maakt. DORA spreekt niet enkel over risico’s; zij operationaliseert verplichtingen. Zij veronderstelt aantoonbare redundantie van kritieke ICT-systemen, diepgaande controle op uitbestedingsrelaties, contractuele clausules met afdwingbare gevolgen en een testregime dat verder reikt dan klassieke penetratietests.
Het verschil is niet semantisch, maar structureel. Waar ISO 27001 organisaties leert hoe zij hun beleid kunnen organiseren, bepaalt DORA onder welke voorwaarden zij operationeel mogen functioneren binnen de financiële sector. “ISO is een kompas; DORA is een wetboek.” Wie dat onderscheid niet erkent, reduceert toezicht tot symboliek.
Ook de vergelijking met NIS2 vereist precisie. NIS2 versterkt de cyberweerbaarheid van essentiële en belangrijke entiteiten binnen de Europese Unie. Zij creëert zorgplichten, meldingsverplichtingen en bestuurlijke aansprakelijkheid. Maar NIS2 blijft horizontaal van aard. DORA is verticaal, sectorspecifiek en doordrongen van prudentiële logica. NIS2 vraagt weerbaarheid; DORA eist aantoonbare beheersing van systeemrisico’s binnen een financieel ecosysteem.
Dat verschil manifesteert zich het scherpst in de praktijk. Leveranciersbeheer onder DORA is geen administratieve oefening. Het impliceert diepgaande due diligence, omvangrijke vragenlijsten, contractuele heronderhandeling en permanente monitoring. Een security addendum is geen bijlage die men terloops valideert; het veronderstelt juridische interpretatie, technische vertaling en organisatorische implementatie.
“Compliance without comprehension is liability in disguise.”
Hetzelfde geldt voor testvereisten. Waar ISO 27001 ruimte laat voor proportionele invulling, en NIS2 risicogebaseerde maatregelen voorschrijft, integreert DORA geavanceerde testregimes zoals threat-led penetration testing binnen een toezichtskader. Hier wordt niet enkel gekeken naar de aanwezigheid van controles, maar naar de aantoonbare weerbaarheid onder gesimuleerde reële dreiging.
“Testing under DORA is not about proving effort; it is about proving survival.”
Waarom blijft dan toch de reflex bestaan om deze kaders als uitwisselbaar te beschouwen? Mogelijk omdat overlapping in terminologie — risico, controle, governance — de indruk wekt van inhoudelijke gelijkheid. Maar gedeelde woorden betekenen geen gedeelde architectuur. Een managementsysteem en een prudentiële verordening kunnen dezelfde ingrediënten gebruiken, zonder ooit hetzelfde gerecht te worden.
Misschien was het in 2016, het Jaar van de Aap, nog verkoopbaar om deze nuances te negeren en alles onder één noemer te plaatsen. De markt was jonger, de regelgeving minder verfijnd, het toezicht minder uitgekristalliseerd. Maar de huidige realiteit verdraagt geen simplificaties meer. Wie vandaag beweert dat NIS2 en DORA slechts variaties zijn op ISO 27001, miskent de juridische, operationele en systemische implicaties van Europese regelgeving.
“Regulation is not branding. It is architecture.”
Wie architectuur reduceert tot marketing, bouwt op drijfzand.
Conclusie
NIS2 ≠ DORA
NIS2 focust op cyberweerbaarheid in essentiële en belangrijke entiteiten. DORA focust op financiële stabiliteit via ICT-weerbaarheid.
Overlapping? Zeker. Identiek? Alleen in het Jaar van de Aap.En dat was dus in 2016.
In 2028 komt er een nieuw Jaar van de Aap.
Tegen dan hoop ik dat de vergelijkers hun cursus DORA hebben gevolgd en begrijpen dat regelgeving geen PowerPoint-slide is, maar een architectuur van verantwoordelijkheid, sancties en toezicht.
Stop met alles ISO te noemen. Stop met alles op één hoop te gooien. Groei op in compliance of zorg ten minste voor DORA opleiding voor jou en je bedrijf zodat je het ten minste probeerde.
