Selecteer wat geldt; hierboven zie je de actieve wetten, onderaan de checklists per wet.
1. NIS2 – Sector & Omvang
Is de Company actief in / levert zij diensten aan één of meer van de volgende sectoren?
2. AI Act – Activiteiten met AI
Ontwikkelt/verkoopt de Company AI-systemen, of integreert zij AI-features?
3. Data Act – Verbonden (IoT) / related services
Verkoopt de Company verbonden (IoT) producten of related services die gebruiksdata genereren?
4. DORA – Financiële sector
Is de Company actief in de financiële sector?
5. DSA – Gebruikerscontent / hosting
Laat de Company content van gebruikers opslaan/delen of fungeert zij als hosting/caching/mere conduit?
6. IT-dienstverlener
Is de Company een IT dienstverlener?
7. IT-dienstverlener – Dataverwerkingsdienst
Kwalificeert de Company als Dataverwerkingsdienst (SaaS/PaaS/IaaS/DBaaS/Public cloud)?
NIS2 – checklist
Kernverplichtingen
Registratie bij NCSC, zorgplicht (risicoanalyse/beleid/maatregelen), meldplicht significante incidenten.
Risico’s
Steekproefsgewijze controles. Toezicht sectoraal geregeld. Boetes tot €10.000.000 of 2% van de totale wereldwijde jaaromzet.
Waar op letten (DD)?
- Is de Company geregistreerd in het centraal register?
- Heeft de Company een cybersecurity-beleidsplan?
- Is er een gedegen risicokader en interne zelfbeoordeling?
- Heeft de Company een computer security incident response team (CSIRT)?
- Heeft de Company periodieke audits van haar cybersecurity-maatregelen?
- Worden alle incidenten bijgehouden en op tijd gemeld?
- Heeft de Company personeel getraind in cybersecurity-procedures?
- Zijn contracten met leveranciers beoordeeld?
- Voldoen schakels in de toeleveringsketen aan vereiste beveiligingsstandaarden?
DORA – checklist
Kernverplichtingen
ICT-risicobeheer (governance, detectie, respons, herstel, back-ups, awareness), incidentregistratie & melding, testen digitale weerbaarheid, beheer ICT-derden (strategie, informatieregister, beoordeling kritisch/belangrijk, beëindigingsmogelijkheid).
Risico’s
Kritieke derden: dwangsom tot 1% van wereldwijde gemiddelde dagomzet; financiële instellingen: nationale sancties; IT-leveranciers: opzegging klantcontracten, contractuele boetes, schadevergoeding.
Waar op letten (DD)?
- Governance- en controlekader voor ICT-risico aanwezig?
- Inventaris van informatie-/ICT-activa incl. derde afhankelijkheden?
- Beveiligingsbeleid + awareness/scholing medewerkers?
- Contracten met derde ICT-dienstverleners DORA-compliant (audit/exit/SLA/monitoring)?
- TLPT/pen-tests/stresstests uitgevoerd?
- Incident response plan en meldtermijnen ingericht?
- Informatieregister op orde en up-to-date?
- Regelmatige leveranciersbeoordelingen op compliance en risico’s?
DSA – checklist
Kernverplichtingen
Content-moderatie & meldmechanismen, melding strafbare feiten, transparantierapportage, advertentie-transparantie, risicobeoordelingen (VLOP/VLOSE), contactpunt, klachtenafhandeling.
Risico’s
Tot 6% wereldwijde omzet; 1% voor niet-verstrekken info; 5% dagelijkse dwangsom; toezicht o.a. door ACM/AP.
Waar op letten (DD)?
- Rol onder de DSA (hosting/online platform/VLOP/VLOSE) juist?
- Moderatiebeleid, notice-and-action en klachtenproces aanwezig?
- Advertentie-transparantie & traceerbaarheid aanbieders geborgd?
- Transparantierapportages gepubliceerd (indien verplicht)?
- Samenwerking met autoriteiten en meldkanalen duidelijk?
- Mechanismen om contentbeslissingen te betwisten aanwezig?
AI Act – checklist
Kernverplichtingen
Risicoclassificatie, data-governance, technische documentatie, transparantie, monitoring, QMS & CE (hoog risico), human oversight.
Risico’s
Boetes tot €35 mln of 7%; tot €15 mln of 3% voor overige verplichtingen; nationale handhaver + EU AI-comité.
Waar op letten (DD)?
- Rol (provider/deployer/importeur/distributeur) en risicokwalificatie per use-case kloppend?
- Datasets (kwaliteit/bias), logging, monitoring, human oversight ingericht?
- Technische documentatie & conformiteitsbeoordeling compleet (hoog risico)?
- Serieuze incidenten gemeld bij toezichthouders?
- Voor gen-AI: TDM-rechten/licenties & transparantie geborgd?
- Audits/ethische richtlijnen/klachtmechanismen aanwezig?
Data Act – checklist
Kernverplichtingen
Toegang & portabiliteit (art. 3–12), oneerlijke contractvoorwaarden (art. 13), dataverwerkingsdiensten & contracten (art. 23–31), overheidstoegang/transfer niet-persoonsgegevens (art. 32), interoperabiliteit (art. 33–36).
Risico’s
Nationale sancties; NL-voorstel: ACM-boete tot €1.030.000 of 10% jaaromzet (wat hoger is). Toepasselijk gefaseerd vanaf ca. september 2025.
Waar op letten (DD)?
- Rollen (data-houder/ontvanger/aanbieder dataverwerkingsdienst) correct bepaald?
- Proces/contracten voor beschikbaar stelling data aan gebruikers/derden/overheid?
- Bescherming bedrijfsgeheimen bij datadeling afgesproken?
- B2B-contracten: geen oneerlijke bedingen; switching & interoperabiliteit geregeld?
- Als dataverwerkingsdienst: art. 25–30 geïmplementeerd; binnen 2 maanden kunnen overstappen; (op termijn) geen overstapkosten?