Waarom is artikel 38 van belang? Waarom 'gedelegeerde handelingen' de nieuwe hartslag zijn van de cyberweerbaarheid van de EU
De compliance-manager van vandaag erft niet alleen regels, maar bereidt zich nu voor op regels die er nog niet eens zijn. Artikel 38 van Uitvoeringsverordening EU 2024-2690 lanceert de Europese Unie in een nieuw tijdperk van flexibel cybersecuritybestuur, waarbij de Europese Commissie via gedelegeerde handelingen de bevoegdheid krijgt om standaarden te ontwikkelen zonder de industriële rompslomp van volledige wetgevingscycli. Het gaat hierbij minder om technische wijzigingen en meer om een levend, ademend contract met het reële dreigingslandschap - een architectuur die is ontworpen om uw controles permanent relevant te houden, niet alleen formeel "in werking".
Voldoen aan de regels is niet langer een langzame dans met vaste regels. Het is een reflex die zich net zo snel aanpast als de dreiging.
Waar auditplanning ooit draaide om bekende, vaste tijdlijnen, betekenen de gedelegeerde handelingen van artikel 38 dat uw ISMS-controlekader gebaseerd moet zijn op anticipatie en voortdurende evaluatie. Het Europees Parlement en de Raad hebben het essentiële vetorecht – en de bevoegdheid om de delegatie volledig in te trekken – waardoor u institutionele bescherming krijgt tegen te ver doorgevoerde regelgeving zonder de snelheid te belemmeren die nodig is om vijandige actoren of wereldwijde incidenten aan te pakken.
Het resultaat? Leidinggevenden op het gebied van beveiliging en compliance moeten nu standaard horizonscanning uitvoeren, en niet langer gebruikmaken van luxe, veranderklare platforms. audittrajecten, en bijna realtime communicatie met belanghebbenden. Gedelegeerde handelingen vormen uw nieuwe compliance-"hartslag" - dus uw processen moeten evolueren van statische verplichtingen naar leefgewoonten.
Hoe wordt het regelboek geschreven? Binnen de consultatie en het toezicht, die elke gedelegeerde handeling bewaken
Als artikel 38 instellingen de motor geeft, is consultatie het stuur. Het proces voor gedelegeerde handelingen vraagt actief om input, niet alleen van nationale toezichthouders en sectorale autoriteiten, maar ook van de private sector – met name van degenen die complexe of grensoverschrijdende toeleveringsketens beheren (inclusief het mkb).
Als u niet zichtbaar bent tijdens een overleg, loopt u het risico dat u voor verrassingen komt te staan door eisen die specifiek voor de werkzaamheden van iemand anders zijn opgesteld.
Voor complianceteams is wachten op de aankondiging in het Publicatieblad als wachten op het brandalarm vóórdat ze een verzekering afsluiten: te laat, te reactief. Slimme organisaties stellen compliance officers aan om de feedbackverzoeken van ENISA te volgen, contact te leggen met lokale brancheorganisaties en vroegtijdige relaties op te bouwen met hun bevoegde autoriteiten. Dit is de praktische weg naar zowel vroegtijdige waarschuwing als directe beïnvloeding - cruciaal als de vertrouwde leverancier, authenticatieworkflow of sectorspecifieke risicoregister zal waarschijnlijk in een toekomstige wet worden vermeld.
Bij gedelegeerde handelingen is publicatie slechts het begin: uw complianceteam moet niet alleen de hoofdwet ontcijferen, maar ook de verborgen bijlageverwijzingen en sectorale overlappingen die op nationaal niveau zijn opgelegd. Zichtbaarheid is hier niet zozeer paraatheid, maar juist waakzaamheid.
Beheers NIS 2 zonder spreadsheetchaos
Centraliseer risico's, incidenten, leveranciers en bewijsmateriaal op één overzichtelijk platform.
Wat is de tijdlijn van Brussel tot de bestuurskamer? De compliancecyclus in kaart brengen voor praktische paraatheid
Het voorspellen van de stappen van ontwerp tot handhaving van de wet is nu een concurrentievoordeel. Naleving van artikel 38 wordt niet bereikt door de eerste die het Publicatieblad leest, maar door degenen die elke fase hebben geoperationaliseerd als een workflow, niet slechts als een beleidsnota.
De meeste bedrijven raken gehaast als de tijd dringt; leiders plannen de voorbereidingen al lang voordat de klok start.
Zesstappenplan voor een gedelegeerde handeling:
| Stadium | Uw monitoringactie | Uitvoer/Trigger | Hulpmiddelen / Bewijs |
|---|---|---|---|
| Wet op de ontwerpcommissie | Activeer ENISA/Commissie-e-mailwaarschuwingen | Vroegtijdig nalevingssignaal (traceerbaar) | Regelgevende feed, intern waarschuwingslogboek |
| Raadpleging van deskundigen van de lidstaten | Deelnemen aan/toezicht houden op sectorgroepen | Let op het consultatievenster, de voorbereidingspositie | Notulen, vergaderagenda |
| Publicatie in het officiële tijdschrift | Tijdstempel, update belanghebbenden | Het aftellen naar naleving begint | Kennisgeving, ISMS.online change log |
| Bezwaarperiode (2-4 maanden) | Volg het vetovenster, geef indien nodig opdracht tot bevriezing | Voorwaardelijke stop op update | Kalender, schema wijzigen |
| Inwerkingtreding | Workflow starten, wijzigingstaken toewijzen | Beleids-/controle-update, personeelsopleiding, audit | Projectplan, beleidsversiebeheer |
| Intrekking of vervaldatum | Monitor via EC/ENISA/Parlement communicatie | Beleid/archief omkeren, controle terugdraaien | Beleidsplan, logboek voor versie-terugdraaiing |
Denk aan het voorbeeld van een cloudprovider die, na een gedelegeerde handeling die verbeterde cryptografie vereiste, de notificatieworkflow van ISMS.online gebruikte om gevoelige projectwijzigingen onmiddellijk te pauzeren, de risicoregisteren stuur bewijstaken door naar verspreide teams. Dit bracht het bedrijf van reactieve chaos naar een controleerbare, soepele uitvoering.
Hoe riskant is uitstel? De reële gevolgen van het missen van de compliance window
Gedelegeerde handelingen zijn niet hypothetisch. Mis je een datum, dan loop je het risico dat de audit mislukt. proces verbaaling, inbreuken op de toeleveringsketen en overheidsboetes. Naarmate de kloksnelheid van de regelgeving toeneemt – zoals blijkt uit kaders zoals DORA voor financiële dienstverlening – kan zelfs een korte vertraging in het aanpassen van controles of bewijsmateriaal lucratieve commerciële contracten verstoren (KPMG).
Als naleving een race is, is te laat finishen niet anders dan helemaal niet finishen.
Risicotabel: Triggers voor gedelegeerde handelingen en wat u moet loggen
| Trigger-gebeurtenis | Risico-update | Controle/SoA-koppeling | Bewijs geregistreerd |
|---|---|---|---|
| Gedelegeerde handeling gepubliceerd | Risico op niet-naleving | ISMS-beleid/controle bijwerken | Versiedatum, erkenning van de eigenaar |
| Bezwaar ingediend in het venster | Update in de wacht | Pauze-implementatie | Registreer notitie, meldingslogboek |
| Gedelegeerde handeling ingetrokken/verlopen | Terugdraaiactie nodig | Eerdere SoA/controls herstellen | Terugdraailogboek, auditbewijs |
Een voorbeeld: een transportbedrijf kreeg te maken met boetes toen een beveiligingsupdate voor de toeleveringsketen werd gemist vanwege een vertraagde juridische beoordeling. Na de inbreuk hebben ze geautomatiseerde mapping van elke handeling ingebouwd in wijzigingslogboeken en taakeigenaren, waardoor dubbel werk wordt verminderd en het vertrouwen van de toezichthouder wordt hersteld.
Wees vanaf dag één NIS 2-ready
Ga aan de slag met een bewezen werkruimte en sjablonen: pas ze aan, wijs ze toe en ga aan de slag.
Wie houdt de rem vast? Inzicht in het toezicht dat u beschermt tegen regelgevingswhiplash
Artikel 38 versnelt niet alleen de verandering, het voorziet ook in noodremmen. Zowel het Europees Parlement als de Raad kunnen gedelegeerde bevoegdheden blokkeren of onmiddellijk intrekken, waardoor de handhaving met onmiddellijke ingang wordt opgeschort. Voor compliance-architecten betekent dit dat change management niet alleen actie vereist, maar ook intrekking – en een controleerbaar systeem voor 'gepauzeerde' of beëindigde controles.
Leiders houden niet alleen veranderingen bij, ze registreren ook veranderingen en zorgen ervoor dat ze voortdurend toezicht houden.
Adopteer een plank veranderen: een geïndexeerd archief van inactieve of teruggedraaide controles, met tijdstempels en bewijslogboeken. Gepauzeerd door een juridische uitdaging? Herstel uw eerdere SoA en controles binnen enkele seconden. Ingetrokken handeling? Bewijs direct de terugdraaiing of het veilige bewaarpatroon van uw beleid voor klanten en auditors. Dit verandert nalevingsterugdraaiingen van paniek naar het beschermen van bewijsmateriaal voor het bedrijfsleven, zelfs als de juridische wind draait.
ISMS.online en vergelijkbare platformen automatiseren dit nu, waardoor controles, documentatie en trainingen zowel vooruit als achteruit synchroon blijven.
Kan er sprake zijn van "één Europa"? Waarom dual mapping de realiteit is voor multinationale controle
Het model van gedelegeerde handelingen streeft naar uniformiteit; in de praktijk creëert het een spectrum van harmonisatie tot lappendeken. Nationale vertalingen, wetsoverlappingen, sectorale tijdschema's - dit alles compliceert de droom van "één platform, één update", vooral voor multinationals die opereren in uiteenlopende regelgevingsomgevingen.
Tabel: Geharmoniseerde versus patchwork-naleving in de praktijk
| Compliance-element | Geharmoniseerd (ideaal) | Patchwork (Reality) |
|---|---|---|
| Beleidsupdate | Eén enkele uitrol in de hele EU | Landspecifieke aanpassingen |
| Leveranciersbeheer | Uniforme eisen | Lokale aanpassing vereist |
| Controlespoor | Eén bewijsregister | Meerdere, kruislings gekoppelde logs |
| Incidentafhandeling | Eenvormig plan | Verdeeld over sector, rechtsgebied |
Bereid je voor op 'dubbele mapping': bewaar zowel de hoofdversie van de EC als eventuele lokale overlays. Dat betekent parallel beleid, in kaart gebrachte SoA's en het volgen van bewijsmateriaal over een matrix van rechtsgebieden. Vroegtijdige betrokkenheid bij consultaties op zowel Brussels als lokaal niveau kan veel van deze complexiteit voorkomen, waardoor unificatie zelfs in een gefragmenteerd landschap mogelijk wordt.
Al uw NIS 2, allemaal op één plek
Van artikelen 20-23 tot auditplannen: voer ze uit en bewijs dat ze van begin tot eind voldoen aan de regelgeving.
Hoe verandert artikel 38 de wet in levende controle? De mechanismen van het inbedden van verandering
In de moderne naleving betekent ‘wet’ niets tenzij het nauwgezet is gekoppeld aan platformworkflows, verantwoordelijke eigenaren en levend bewijs logs.
Een gedelegeerde handeling die niet binnen 7 dagen aan uw ISMS voldoet, vormt al een risico bij uw volgende audit.
Geautomatiseerde wijzigingsketen:
- Start workflow met EC act-trigger, wijs een duidelijke eigenaar toe en wijzig het tijdstempel.
- Werk de Verklaring van Toepasselijkheid (SoA) bij, met onderbouwing van de clausule en kruisverwijzing naar de wet.
- Voeg bewijsstukken toe: e-mails, trainingslogboeken, leveranciersovereenkomsten, beleidsupdates, allemaal met kruisverwijzingen en versienummers voor audits.
- Gebruik platformdashboards zodat alle belanghebbenden (IT, juridische zaken, inkoop) synchroon werken en er niets gemist wordt door communicatiebarrières.
ISMS.online maakt live afstemming mogelijk: een gedelegeerde handeling wordt op vrijdag uitgevoerd, meldingen en conceptupdates worden op maandag geactiveerd en bewijslogboeken koppelen acties aan deadlines, waardoor een audittrail ontstaat die zowel bijna realtime als van toezichthoudersniveau is (ISMS.online Audit DB).
Wat nu? Volgende stappen voor het opzetten van een veerkrachtig systeem voor gedelegeerde handelingen
De race om naleving wordt niet gewonnen door degenen die de wet het snelst lezen, maar door degenen die de kloof tussen verandering en wetgeving dichten. auditklaar bewijs met helderheid en automatisering.
Takeaway-acties:
- Wijs de bewaking van gedelegeerde handelingen toe aan een geplande rol: dagelijks of wekelijks, niet jaarlijks.
- Koppel elke wijziging aan een specifiek versiebeleid, proces, controle en SoA-clausule. Registreer wie er actie onderneemt en wanneer.
- Neem meldingsverplichtingen op in leverancierscontracten. Zorg er bovendien voor dat de naleving door uw partners controleerbaar is.
- Kies een ISMS dat waarschuwingen, versiebeheer, bewijsverzameling en synchronisatie tussen teams automatiseert, zodat geen enkele handeling, pauze of terugdraaiing wordt gemist.
De complianceleider van vandaag wordt niet alleen afgemeten aan de snelheid van updates, maar ook aan de duidelijkheid en betrouwbaarheid van de sporen die ze achterlaten. In dit tijdperk van levende wetgeving moet uw audit trail de juridische kalender overtreffen en moet uw platform gedelegeerde handelingen transformeren van risico naar concurrentiebewijs.
De toekomst van cybercompliance in Europa ligt niet in vooraf vastgestelde maatregelen, maar in veerkrachtige teams, controleerbare verandering en bewijs van aanpassingsvermogen op elk vlak.
Veelgestelde Vragen / FAQ
Wie oefent uiteindelijk de bevoegdheden uit, houdt er toezicht op en kan deze bevoegdheden intrekken die zijn gedelegeerd op grond van artikel 38 van NIS 2?
Artikel 38 van NIS 2 geeft de Europese Commissie de bevoegdheid om gedelegeerde handelingen vast te stellen, maar plaatst die bevoegdheid onder direct en voortdurend toezicht van zowel het Europees Parlement als de Raad. De rol van de Commissie is het uitvaardigen van gedelegeerde handelingen waarmee technische details van de richtlijn – zoals beveiligingseisen of sectorspecifieke verduidelijkingen – snel kunnen worden aangepast. De Commissie kan echter niet eenzijdig optreden. Elk ontwerp moet formeel worden geraadpleegd door technische deskundigen uit alle EU-lidstaten, doorgaans gecoördineerd via ENISA of sectorale deskundigengroepen, waarbij rekening wordt gehouden met nationale prioriteiten en technische realiteiten.
Zodra een gedelegeerde handeling is vastgesteld, worden zowel het Parlement als de Raad onmiddellijk op de hoogte gebracht. Beide instellingen – niet slechts één – kunnen bezwaar maken, waardoor de handeling geen rechtskracht meer heeft. Bovendien kunnen beide instellingen de bevoegdheid van de Commissie om gedelegeerde handelingen uit te vaardigen te allen tijde intrekken, met inwerkingtreding de dag na de bekendmaking van hun besluit. Dit "dubbele veto" zorgt ervoor dat technische flexibiliteit de democratische controle nooit in de weg staat.
Tabel met gedelegeerde bevoegdheden en toezicht
| Fase | Rol van de Commissie | Toezicht door Parlement/Raad | Deskundige input via ENISA/Sectoraal |
|---|---|---|---|
| Ontwerp gedelegeerde handeling | Ontwerpen/adopteren | Onmiddellijke melding | Verplichte technische feedback |
| Na de adoptie | 2 (+2) maanden bezwaartermijn | ||
| Intrekking van gedelegeerde bevoegdheid | Werkt op elk moment direct |
Referenties:
Welke strikte termijnen en kennisgevingen gelden voor de uitoefening of intrekking van gedelegeerde bevoegdheden op grond van artikel 38?
De bevoegdheden die op grond van artikel 38 zijn gedelegeerd, gelden voor een vaste cyclus van vijf jaar en worden automatisch verlengd, tenzij het Parlement of de Raad ingrijpt. Wanneer de Europese Commissie een gedelegeerde handeling vaststelt, moet zij zowel het Parlement als de Raad onmiddellijk op de hoogte stellen. Er gaat dan een bezwaartermijn van twee maanden in (die met nog eens twee maanden kan worden verlengd indien formeel verzocht). Een gedelegeerde handeling treedt pas in werking als beide instellingen de termijn zonder bezwaar laten sluiten. Intrekking van de bevoegdheden van de Commissie – indien het Parlement of de Raad van oordeel is dat deze misbruikt zijn – wordt van kracht de dag na de openbare kennisgeving, tenzij anders vermeld.
Negen maanden vóór het einde van de vijfjaarlijkse cyclus moet de Commissie verslag uitbrengen over het gebruik van haar gedelegeerde bevoegdheden, zodat het Parlement en de Raad voldoende tijd hebben om de bevoegdheid te beoordelen, er bezwaar tegen te maken of automatische verlenging toe te staan. Wetgeving die al van kracht was op het moment van intrekking, blijft over het algemeen van kracht, tenzij deze specifiek wordt vernietigd.
Artikel 38 Tijdlijn Snel overzicht
| Sleutelmoment | Tijdlijn/Venster | Verantwoordelijke belanghebbende |
|---|---|---|
| Verleende bevoegdheden | Vijf jaar (vanaf januari 2023) | Commissie, Parlement, Raad |
| Kennisgeving van nieuwe aangenomen wet | Onmiddellijk | Commissie aan beide instellingen |
| Standaard bezwaarvenster | 2 (+2) maanden | Parlement of Raad |
| Melden vóór verlenging | 9 maanden voor de vervaldatum | Commissie |
| Herroepingsactie | Altijd; de volgende dag | Parlement of Raad |
Referenties:
Hoe verandert het bevoegdheidsdelegatieregime van Artikel 38 het dagelijkse nalevingsbeheer voor gereguleerde organisaties?
Artikel 38 verschuift van het uitvoeren van periodieke controlelijsten naar toezicht op naleving in realtime. Elke gedelegeerde technische verplichting kan nu worden gewijzigd – met slechts twee tot vier maanden opzegtermijn – als de Commissie een nieuwe wet uitvaardigt. Voor organisaties creëert dit zowel flexibiliteit als risico. Compliancemanagers (of ISMS-platformeigenaren) moeten:
- Monitor voor nieuwe gedelegeerde handelingen (Publicatieblad, ENISA-communiqués, persberichten van de EC)
- Werk de risico- en controleregisters onmiddellijk bij wanneer een gedelegeerde handeling van kracht wordt, of wanneer een bezwaar een wijziging blokkeert of ongedaan maakt.
- Breng relevante teams en partners in de toeleveringsketen op de hoogte van wijzigingen of terugdraaiingen, vooral wanneer een wet wordt ingetrokken of er bezwaar tegen wordt gemaakt nadat de lokale implementatie is begonnen.
- Controlebewijs loopt vaak achter, omdat ontbrekende of verouderde controles die gekoppeld zijn aan een nieuw afgedwongen (of ingetrokken) gedelegeerde handeling de organisatie blootstellen aan auditgaten, contractrisico's of zelfs regelgevende maatregelen
Moderne naleving wordt niet langer gemeten aan de hand van de erkenning van de wet, maar aan de snelheid en het vertrouwen waarmee uw team de omslag maakt van beleidswijzigingen naar auditklaar bewijs.
Bedrijven die geautomatiseerde complianceplatforms met traceerbaarheidsfuncties (zoals ISMS.online) kunnen ze de toewijzing van gedelegeerde handelingen centraliseren, handmatig toezicht minimaliseren en aan auditors laten zien dat ze snel wet- en regelgevingslacunes dichten.
Referenties:
- AuditBoard: NIS2-naleving traceerbaarheid
- ISMS.online: Mapping van gedelegeerde handelingen
Welke raadplegingen en procedures moeten plaatsvinden voordat de Commissie een gedelegeerde handeling vaststelt?
Voordat een gedelegeerde handeling definitief wordt vastgesteld, is deskundig technisch overleg verplicht. De Commissie raadpleegt genomineerde deskundigen uit elke lidstaat, meestal via gespecialiseerde groepen die door ENISA of sectorspecifieke instanties worden georganiseerd. Deze raadplegingen vergroten de technische nauwkeurigheid en zorgen ervoor dat de prioriteiten van de lidstaten worden weerspiegeld. Een bredere betrokkenheid van de industrie, het maatschappelijk middenveld of toezichthouders is niet wettelijk verplicht, maar wordt steeds vaker nagestreefd. Organisaties die om input vragen, kunnen besluitvormers vaak bereiken via ENISA of nationale werkgroepen. Na technische beoordeling wordt het ontwerp gepubliceerd en krijgen het Parlement en de Raad een termijn van twee (+2) maanden om bezwaar aan te tekenen.
Tabel voor de goedkeuring van gedelegeerde handelingen
| Fase | Coördinatieleider | Verplichte consultatie |
|---|---|---|
| Het opstellen van | Commissie | ENISA + technische vertegenwoordigers van de lidstaten |
| Expertbeoordeling | genomineerden van de lidstaten | Notulen worden bijgehouden; uitkomsten vaak openbaar |
| Input van niet-deskundigen | Optioneel (industrie/NGO) | Niet vereist, maar aanbevolen |
| Kennisgeving | Commissie | Parlement, Raad, Publicatieblad |
Referenties:
- Coalitie van het Centrum voor Cyberbeveiligingsbeleid
Welke protocollen moeten organisaties activeren als het Parlement of de Raad een gedelegeerde handeling of de bevoegdheden van de Commissie blokkeert of intrekt?
Als er bezwaar wordt gemaakt, moeten organisaties de nalevingsactiviteiten die verband houden met de bestreden handeling stopzetten en indien nodig terugdraaien. Dit betekent dat de implementatie moet worden bevroor, audit- en leveranciersgegevens moeten worden bijgewerkt en de reden voor wijzigingen in alle bewijs- en controlelogboeken moet worden gedocumenteerd ("bezwaar ingediend" of "delegatie ingetrokken"). Als het Parlement of de Raad de bevoegdheden van de Commissie volledig intrekt, kunnen er geen nieuwe gedelegeerde handelingen worden uitgevaardigd, maar blijven bestaande handelingen doorgaans van kracht, tenzij ze formeel worden ingetrokken. Volwaardige complianceteams "bevriezen" controles in hun laatste geldige status, onderhouden nauwe communicatie met interne en externe partners en bereiden een zichtbare bewijsketen voor voor latere audit of juridische beoordeling.
Succesvolle compliance-leiders behandelen elk bezwaar tegen regelgeving niet als chaos, maar als routine. Het is een test van hun paraatheid, niet van hun reflex om meteen te haasten.
Tabel met nalevingsreacties
| Triggergebeurtenis | Organisatorische actie | Documentatie vereist |
|---|---|---|
| Bezwaar van Parlement/Raad | Pauzeer/draai de bediening om; informeer personeel/leveranciers | Vastleggen in bewijsmateriaal/auditlogboeken |
| Algemene intrekking van de macht | Stop met het voorbereiden op nieuwe daden | Register/logboek bijwerken; teams waarschuwen |
| Bestaande wet blijft van kracht | Controleer op wijzigingen; zorg voor uitlijning | Controlelogboeken bewaren, status noteren |
Referenties:
- Pinsent Masons – Implementatie van de NIS2-wet
Hoe verschillen de gedelegeerde bevoegdheden onder artikel 38 van de DORA of de AVG, en wat moeten organisaties die onder kruisregulering vallen, doen?
Artikel 38 van de NIS 2 hanteert een unieke, brede en snelle aanpak, waarbij zowel het Parlement als de Raad besluiten kunnen blokkeren of intrekken, en een duidelijk mandaat voor technisch overleg. DORA (financiële sector) en de AVG (privacy) hebben smallere procedures: DORA beperkt bezwaren tot het Parlement, legt openbare raadplegingen op en sluit de bezwaartermijn eerder; de implementatie van de AVG verschilt per lidstaat en is soms minder transparant of langzamer.
Organisaties die onder kruisregulering vallen, moeten:
- Volg meerdere bezwaarvensters (NIS2 = 2+2 maanden, DORA = 1–2 maanden, GDPR = zeer variabel)
- Houd duidelijke, afzonderlijke nalevingskaarten/logboeken bij voor de gedelegeerde handeling van elk regime, waarbij overlappingen worden bijgehouden en in elk systeem onafhankelijk op intrekkingen wordt gereageerd.
- Blijf alert op tegenstrijdigheden die voortvloeien uit nationale ‘gold-plating’, waarbij lokale regelgeving de EU-basislijn overschrijdt of ervan afwijkt.
- Zorg ervoor dat compliance-/juridische teams zijn uitgerust voor een doorlopende, raamwerkoverschrijdende horizonscanning, en dat ze niet voor alles op één enkele ‘compliancekalender’ vertrouwen.
EU-regelgeving belooft harmonisatie, maar naleving in de praktijk is een lappendeken van veranderingen. Organisaties overleven niet door elke handeling te voorspellen, maar door elke verandering die voor hen van belang is, bij te houden.
Gedelegeerde bevoegdheden: vergelijking van EU-regimes
| regime | Wie kan blokkeren? | Consultatietype | Bezwaar/Tijdlijn | Business Impact |
|---|---|---|---|---|
| NIS 2 | Parlement/Raad | ENISA + MS-experts | 2 (+2) maanden | Pan-sectorale, brede verplichtingen |
| DORA | Parliament | Openbaar, korter venster | 1 + maanden | Alleen financiële sector, technisch |
| GDPR | Parlement (hoofd) | Verschilt, meestal lokaal | Veranderlijk | Gefragmenteerd per lidstaat |
Referenties:
- ENISA NIS2 officiële gids (PDF)
- Briefing van het Britse parlement: DORA/GDPR
