Ict wetgeving: wat de nieuwe regels betekenen

26 september '25  |  Tech, Ict & Smart
Afbeelding

Zie je door alle nieuwe ICT regels de bomen door het bos niet meer? Je bent niet de enige. In 2025 schuiven meerdere grote EU regels de praktijk in. Dat raakt je security, je data, je leveranciers en je budget. Wie op tijd handelt, voorkomt boetes, versnelt audits en wint vertrouwen bij klanten. In dit stuk krijg je een heldere samenvatting, wat er concreet van je gevraagd wordt, alle relevante deadlines en een compact actieplan om direct te starten.

Lees dit als je binnen een uur duidelijkheid wilt. Ik neem je mee langs de belangrijkste wetten, vertaal ze naar praktische stappen en geef je een snelle check om te zien waar je staat. Klaar om orde te scheppen in de regeldruk en je organisatie toekomstbestendig te maken?

De grote regels die in 2025 op je radar horen

Overzicht in 30 seconden:

  • NIS2: strengere security en meldplichten voor essentiële en belangrijke organisaties. Meer sectoren vallen eronder.

  • DORA voor de financiële sector: vanaf 17 januari 2025 harde eisen aan ICT risico’s, testen en derde partijen.

  • EU AI Act: verboden AI praktijken gelden vanaf 2025. Transparantieverplichtingen voor generatieve AI. High risk eisen lopen gefaseerd door tot 2026.

  • Data Act: rechtvaardige data toegang en data deling. De meeste bepalingen gelden vanaf september 2025.

  • eIDAS 2.0: de Europese digitale identiteit, de EUDI Wallet, rolt uit. Kansen voor inloggen en ondertekenen in 2025 en 2026.

  • Cyber Resilience Act: product security eisen voor hardware en software komen eraan. Begin met je portfolio en software bill of materials.

Wat betekent dit concreet voor jouw organisatie

Leg de basis stevig. De meeste regels draaien om aantoonbare beheersing.

  • Governance en verantwoordelijkheid

  • Wijs een eigenaar aan zoals een CISO of Compliance Lead en leg taken vast op directieniveau.

  • Risicobeheer en security

  • Voer periodieke risicoanalyses uit, implementeer basismaatregelen en test je weerbaarheid.

  • Incidentmanagement

  • Richt meldprocessen en termijnen in. Oefen je respons met realistische scenario’s.

  • Leveranciers en contracten

  • Beoordeel kritieke ICT leveranciers. Leg beveiliging, audits en exit afspraken contractueel vast.

  • Data toegang en interoperabiliteit

  • Documenteer welke data je deelt, onder welke voorwaarden en hoe je portabiliteit regelt.

  • AI transparantie en documentatie

  • Breng AI gebruik en risico’s in kaart. Label generatieve output waar nodig en start met technische documentatie voor high risk toepassingen.

  • Training en bewustzijn

  • Korte rolgebaseerde trainingen voor teams, management en leverancierscontacten.

De belangrijkste deadlines en mijlpalen

  • Januari 2025: DORA is van kracht voor financiële instellingen en hun kritieke ICT leveranciers.

  • Februari 2025: AI Act. Verboden praktijken gelden en de eerste transparantie eisen worden van toepassing.

  • Door 2025: NIS2 handhaving start nationaal. Organisaties kunnen een status krijgen als essentieel of belangrijk.

  • September 2025: Data Act. Kernverplichtingen voor data toegang en data deling treden in werking.

  • 2026: AI Act. High risk verplichtingen gelden breed. Bereid technische dossiers en conformiteit voor.

  • Op komst: Cyber Resilience Act met een transitieperiode. Start nu met je product security inventarisatie.

Snelle compliance check in tien ja of nee vragen

  • Weet je of je onder NIS2 of DORA valt?

  • Heb je een actuele risicoanalyse en een vastgesteld securitybeleid?

  • Kun je binnen 24 tot 72 uur incidenten melden via de juiste route?

  • Zijn kritieke leveranciers geclassificeerd en contractueel geborgd met security, audit en exit?

  • Heb je je AI toepassingen en risico’s in kaart?

  • Lever je de vereiste AI transparantie met labels en disclaimers?

  • Weet je welke data je met klanten en partners deelt en onder welke voorwaarden volgens de Data Act?

  • Is data portabiliteit en interoperabiliteit praktisch geregeld?

  • Krijgt je bestuur periodiek rapportages over ICT risico’s?

  • Is je team getraind op nieuwe processen en meldplichten?

Tel je nee antwoorden. Bij twee of meer heb je direct werk aan de winkel.

Actieplan voor 30 60 en 90 dagen

0 tot 30 dagen:

  • Bepaal de scope. Val je onder NIS2, DORA, AI Act of de Data Act.

  • Maak een systeem en datakaart en wijs een eindverantwoordelijke aan.

  • Start een gap analyse ten opzichte van bestaande controls.

31 tot 60 dagen:

  • Werk beleid en procedures bij voor incidentmelding, derde partijen en AI transparantie.

  • Heronderhandel sleutelcontracten met leveranciers. Voeg security en auditclausules toe.

  • Plan tests. Doe een tabletop incidentoefening. Start met een pen test of ICT weerbaarheidstest indien vereist.

61 tot 90 dagen:

  • Implementeer quick wins zoals multifactor authenticatie, logging, back ups, EDR en kwetsbaarheidbeheer.

  • Lanceer microtrainingen voor teams en publiceer een intern meldpad.

  • Stel KPI’s en rapportages op voor directie en audittrail.

Handige tools en bronnen

  • Officiële richtsnoeren: nationale CSIRT en toezichthouders, ENISA, EBA ESMA EIOPA voor DORA, Europese Commissie voor AI Act en Data Act.

  • Templates: risico register, incident runbook, leveranciersbeoordeling en AI inventaris.

  • Monitoring: wetgevingsupdates, brancheorganisaties en security advisories.

Veelgemaakte fouten en hoe je ze voorkomt

  • Denken dat je niet onder NIS2 of DORA valt. Laat de scope toetsen. Aannames kosten later tijd en geld.

  • Alles bij IT neerleggen. Betrek Legal, Inkoop en Business Owners vanaf dag één.

  • Wachten op honderd procent duidelijkheid. Begin met no regret maatregelen en stuur bij.

  • Contracten overslaan. Zonder clausules sta je zwak bij audits en incidenten.

  • Te technisch communiceren. Vertaal risico’s naar impact, kosten en deadlines.

Zo krijg je draagvlak en tempo

  • Gebruik een korte pitch voor het bestuur. Wat, waarom, risico, kosten en deadline in twee minuten.

  • Rapporteer volgens een vaste cadans. Maandelijkse status en een kwartaalreview op KPI’s en gaps.

  • Publiceer een interne FAQ. Korte vragen en antwoorden voor teams over wat er verandert en waarom.

Wat je vooral moet onthouden

2025 brengt tastbare verplichtingen met NIS2, DORA, de AI Act en de Data Act. Focus op governance, leveranciers, incidenten, datarechten en transparantie. Met een plan voor 30 60 en 90 dagen maak je snelle en zichtbare voortgang. Begin vandaag met je scopebepaling en een simpele gap analyse. Elke stap verkleint risico’s en auditstress.

Advertentie
Odido Google
Rob Verdijk

26 september 2025
Gepubliceerd door: Rob Verdijk

Rob Verdijk is eigenaar van In Business Network

Gerelateerde berichten

Bericht afbeelding
De kracht van ICT en smart technologie in 2025: waarom het belangrijk is om bij te blijven
24 september '25  |  Tech, Ict & Smart
Bericht afbeelding
Nederlandse maakindustrie steeds kwetsbaarder voor ernstige cyberaanvallen
23 september '25  |  Tech, Ict & Smart
Bericht afbeelding
Ai en verzekeringen: de maatschappelijke impact van datagedreven premies onthuld
18 september '25  |  Financieel & Juridisch, Tech, Ict & Smart
Bericht afbeelding
De rol van technisch tekenaars in moderne productieprocessen
17 september '25  |  Nederland In Business, Tech, Ict & Smart, Innovatie & Duurzaamheid
Bericht afbeelding
Miljoenen Nederlanders getroffen door stijgende online criminaliteit: ben jij voorbereid?
10 september '25  |  Tech, Ict & Smart
In Business Network
Producten
Partners
Website door Wedentify