Martin Maas CISO
26 augustus 2025

Compliance in 2025: huidige wetgeving en praktische stappen op een rij

De digitale wereld ontwikkelt zich razendsnel en dat merk je direct aan het toenemende belang van compliance. In 2025 zijn niet alleen de bekende privacyregels van de AVG (GDPR) bepalend, maar gelden ook DORA en aangescherpte eisen rondom cloud en IT-leveranciers. Vergeet daarnaast niet de implementatie van de NIS2-richtlijn in de Cyberbeveiligingswet. Het grote aantal wetgeving en regels vraagt om een proactieve aanpak, continu inzicht en slimme tools om je organisatie aantoonbaar compliant te houden.

Compliance in 2025: waarom is het belangrijker dan ooit?

De afgelopen jaren zijn cyberdreigingen fors toegenomen. Toezichthouders zoals de Autoriteit Persoonsgegevens (AP) en de European Data Protection Board zijn daarnaast strenger gaan handhaven, met in 2024 recordboetes van ruim 10 miljoen euro voor organisaties die hun beveiliging niet op orde hadden. 

Ook wordt binnenkort de NIS2-richtlijn geïmplementeerd in de Cyberbeveiligingswet. Als onderdeel hiervan moeten alle organisaties in essentiële en belangrijke sectoren kunnen aantonen dat ze hun digitale weerbaarheid structureel op orde hebben. Voor bedrijven in de financiële sector is de DORA-verordening niet meer weg te denken. Dit vereist diepgaand risicomanagement en controle over alle IT-partners en cloudleveranciers.

De meest recente wet- en regelgeving op een rij

1. AVG (GDPR)

De Algemene Verordening Gegevensbescherming (AVG) blijft de basis voor privacybescherming. Vanaf 2025 zijn de eisen voor registratie van datalekken en meldingsplicht verder aangescherpt. Ook wordt er strenger gecontroleerd op de verwerking van persoonsgegevens door AI-toepassingen.

2. NIS2

De NIS2-richtlijn is een Europese maatregel die via de Cyberbeveiligingswet wordt vertaald naar Nederlandse wetgeving. Het heeft als doel de digitale weerbaarheid van essentiële diensten te vergroten. De richtlijn stelt strengere eisen aan cyberbeveiliging en verplicht organisaties tot: 

  • het uitvoeren van risicobeoordelingen; 
  • het nemen van passende beveiligingsmaatregelen; 
  • het snel melden van incidenten. 

De NIS2-richtlijn verplicht organisaties expliciet om niet alleen hun eigen netwerk- en informatiesystemen te beveiligen, maar ook kritisch te kijken naar de beveiligingsmaatregelen van hun leveranciers en dienstverleners binnen de toeleveringsketen. 

Eerder schreven wij een artikel over het verschil tussen de Baseline Informatiebeveiliging Overheid (BIO) en de Europese NIS2-richtlijn

Wie vallen er onder de NIS2-richtlijn?

Onder NIS2 vallen zeer kritieke sectoren zoals energie, transport, bankwezen, infrastructuur financiële markt, digitale infrastructuur en beheerders van ICT-diensten.  

Ook overheidsorganisaties, waaronder centrale en lokale overheden, vallen onder deze richtlijn. Hier gelden wel enkele uitzonderingen voor instanties die zich richten op nationale veiligheid, defensie of politie. Ontdek met de NIS2 zelfevaluatie-tool of jouw organisatie onder deze richtlijn valt. 

3. DORA (voor financiële organisaties)

De Digital Operational Resilience Act (DORA) geldt vanaf januari 2025 voor banken, verzekeraars en andere financiële instellingen in Europa. De regels zijn onder andere: 

  • Strikte controle over IT-leveranciers en hoe weerbaar zij zijn 
  • Verplichte regelmatige pentests en scenario-oefeningen 
  • Verplicht melden van een IT-incident zoals een datalek of cyberaanval 

Daarnaast maakt DORA het mogelijk voor financiële ondernemingen om informatie over IT-incidenten te delen. 

Praktische stappen om compliant te blijven in 2025

1. Breng je risico’s in kaart

Voer minimaal jaarlijks, maar bij voorkeur doorlopend, een risicoanalyse uit. Let extra op ketenrisico’s en cloud-toepassingen. 

2. Implementeer geautomatiseerde monitoring

Gebruik moderne tools voor real-time monitoring van compliance en security, zoals SIEM en compliance dashboards. Automatiseer waar mogelijk je rapportages. 

3. Leg alles zorgvuldig vast

Zorg voor actueel beleid, logboeken van incidenten en een duidelijke verantwoording van genomen maatregelen. Dit is een essentieel onderdeel van audits en controles.

4. Train je medewerkers

Bewustwording is cruciaal: organiseer regelmatig trainingen en geef updates bij nieuwe dreigingen of regels. 

5. Werk samen met partners die compliant zijn

Kies voor leveranciers die kunnen aantonen dat ze voldoen aan NIS2, DORA en AVG. Vraag naar certificeringen zoals ISO 27001 en controleer regelmatig de status.

6. Bereid je voor op incidenten

Zorg voor een up-to-date incident response plan. Test regelmatig of je organisatie snel en effectief kan reageren op datalekken of cyberaanvallen.

Compliance als basis voor digitale groei

Het voldoen aan wet- en regelgeving in 2025 is geen eenmalig project, maar een continu proces. Door compliance goed op orde te hebben, bescherm je niet alleen je organisatie tegen boetes en reputatieschade, maar bouw je ook aan vertrouwen bij klanten en partners. Bovendien geeft het je ruimte om veilig te innoveren met bijvoorbeeld clouddiensten en secure managed AI

Meer weten over compliance en IT-beheer?

Solvinity ondersteunt organisaties met slimme oplossingen voor compliance, security en cloudbeheer. Als organisatie zijn wij volledig ISO-gecertificeerd en voldoen wij aan de huidige wetgeving. Wil je weten wat wij voor jouw organisatie kunnen betekenen? Neem vrijblijvend contact met ons op. 

Benieuwd wat Solvinity voor jou kan betekenen?

Neem vandaag nog contact op en ontdek de mogelijkheden.

Lees ook

Meer berichten

Meer