Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Analyse

DORA of NIS2: welke geldt voor mijn (logistieke) organisatie?

Vastgesteld 2026-06-16 · ≈ 2 min lezen · Dirk Baaijen

Een logistieke organisatie valt in de regel onder NIS2 (transport is een essentiële sector), niet onder DORA. DORA geldt voor financiële entiteiten. Bent u beide, dan gaat DORA als lex specialis voor.

Kort antwoord: Voor een logistieke organisatie is NIS2 vrijwel altijd het relevante kader, niet DORA. NIS2 noemt transport (lucht, spoor, weg, water) uitdrukkelijk als essentiële sector. DORA geldt alleen voor financiële entiteiten. Bent u beide tegelijk — bijvoorbeeld een vervoerder met een betaalvergunning — dan gaat DORA voor dat onderdeel als specifiekere regel voor.

Twee kaders met verschillend toepassingsgebied

DORA (Verordening (EU) 2022/2554) en NIS2 (Richtlijn (EU) 2022/2555) regelen allebei digitale weerbaarheid, maar voor verschillende doelgroepen. DORA richt zich op een limitatief opgesomde lijst van financiële entiteiten: banken, verzekeraars, beleggingsondernemingen, betaalinstellingen, instellingen voor elektronisch geld en hun kritieke ICT-dienstverleners. De verordening is van toepassing sinds 17 januari 2025. Een logistieke onderneming valt niet onder die opsomming en valt dus niet onder DORA — tenzij zij zelf een gereguleerde financiële activiteit uitoefent.

NIS2 hanteert een sectorale en omvanggebaseerde insteek. De richtlijn bestrijkt achttien sectoren, waaronder transport, dat als essentiële sector is aangemerkt. Voor een logistieke organisatie is de vraag dus niet of de sector binnen het bereik valt, maar of de onderneming groot genoeg is. Middelgrote en grote ondernemingen (in de regel vanaf circa 50 werknemers) vallen doorgaans onder NIS2; micro- en kleine ondernemingen meestal niet, met uitzonderingen voor kritieke partijen.

Wat als beide van toepassing lijken?

Een organisatie kan in theorie onder beide kaders vallen, bijvoorbeeld wanneer een logistieke groep een eigen betaal- of financieringsentiteit heeft. NIS2 anticipeert hierop. De richtlijn bepaalt dat waar een sectorspecifieke Uniehandeling eisen stelt die ten minste gelijkwaardig zijn aan die van NIS2, die specifiekere handeling voorrang heeft. DORA wordt in dat verband uitdrukkelijk als zo'n lex specialis voor de financiële sector behandeld. Voor het financiële onderdeel gelden dan de DORA-verplichtingen voor ICT-risicobeheer, incidentmelding en oversight van derde-ICT-dienstverleners; voor de niet-financiële onderdelen blijven de NIS2-verplichtingen het uitgangspunt. Toetst u dit per entiteit en per activiteit, want de afbakening volgt de gereguleerde activiteit, niet de naam van het concern.

Nationale omzetting bepaalt de details

DORA is een verordening en werkt rechtstreeks in alle lidstaten, met uniforme verplichtingen. NIS2 is een richtlijn en moet in nationaal recht worden omgezet; in Nederland gebeurt dat via de Cyberbeveiligingswet. De omzettingstermijn liep af op 17 oktober 2024 en de implementatie verschilt per lidstaat. De precieze drempels, sectorafbakening en uitzonderingen voor uw situatie staan daarom in de nationale wetgeving van het land waar u actief bent. Bepaal eerst uw type entiteit en activiteit, en raadpleeg vervolgens de toepasselijke nationale wet voor de exacte verplichtingen en termijnen.

Lees ook: Transport & Logistiek. Doe de scan.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
    Verordening (EU) 2022/2554 (DORA), authentieke tekst; van toepassing sinds 17 januari 2025; toepassingsgebied financiële entiteiten.
  2. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlijn (EU) 2022/2555 (NIS2): transport als essentiële sector; verhouding tot sectorspecifieke Uniehandelingen.
  3. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
    Europese Commissie — NIS2: toepassingsgebied (18 sectoren, waaronder transport) en entiteitscategorieën.

Deel op LinkedIn

Lees ook

W

DORA-wegwijzer: valt mijn instelling eronder en wat moet ik regelen?

DORA (Verordening (EU) 2022/2554) geldt sinds 17 januari 2025 voor financiële entiteiten en hun kritieke ICT-dienstverleners. Vijf pijlers: ICT-risicobeheer, incidentmelding, weerbaarheidstesten, derden-ICT-risico en informatiedeling. Deze wegwijzer wijst per pijler de weg.

A

AI beveiligen in kritieke infrastructuur: waar AI Act, Cyber Resilience Act en NIS2 samenkomen

Eén AI-systeem in een haven valt vaak onder drie kaders tegelijk: de AI Act (art. 15) beveiligt het AI-systeem zelf, de Cyber Resilience Act het product, en NIS2 verplicht de exploitant als essentiële entiteit. Dit stuk legt uit hoe ze samenkomen en wie waarvoor verantwoordelijk is.

U

Dekt mijn ISO 27001-certificering de zorgplicht onder NIS2?

ISO 27001 dekt een groot deel van de NIS2-risicobeheermaatregelen, maar is geen automatische compliance. Meldplicht, bestuursverantwoordelijkheid, ketenrisico en registratie moet je apart afdekken.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

Maandelijkse Transport & Logistiek-signalering

Eén keer per maand: de EU-ontwikkelingen die transport en logistiek raken, kort geduid — met bron. Geen spam, uitschrijven kan altijd.

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.