De NIS2-richtlijn heeft de lat voor cybersecurity in Europa significant hoger gelegd. Voor Nederlandse MKB-bedrijven die in aangewezen sectoren opereren, zijn de verplichtingen niet langer vrijblijvend. Tegelijkertijd bestaat er een krachtige combinatie die je in staat stelt twee vliegen in één klap te slaan: wie ISO 27001 implementeert, legt daarmee direct het fundament voor NIS2-compliance. Dit artikel laat zien hoe die overlap werkt en waar de verschillen zitten.
Wat verplicht NIS2 voor MKB?
NIS2 is de opvolger van de NIS-richtlijn uit 2016 en is in Nederland geïmplementeerd via de Cyberbeveiligingswet. De richtlijn onderscheidt essentiële entiteiten (grote organisaties in kritieke sectoren) en belangrijke entiteiten (middelgrote organisaties in aangewezen sectoren). Veel MKB-bedrijven vallen in de tweede categorie.
De verplichtingen omvatten onder meer:
- Risicobeheer voor informatiesystemen
- Meldplicht bij significante incidenten (binnen 24 uur een eerste melding)
- Beleid voor toegangsbeheer en authenticatie
- Beveiliging van de toeleveringsketen
- Continuïteitsmanagement en crisisbeheersing
- Opleiding en bewustwording van medewerkers
Dit zijn exact de gebieden die ook in ISO 27001 worden geadresseerd. De overlap is geen toeval: NIS2 is mede gebaseerd op internationale normen zoals ISO 27001.
De overlap tussen ISO 27001 en NIS2
Wanneer je de NIS2-vereisten naast de ISO 27001-norm legt, valt op dat de meeste NIS2-maatregelen al gedekt worden door een goed ingericht ISMS. De onderstaande tabel geeft een overzicht van de belangrijkste overlappende gebieden.
| NIS2-vereiste | ISO 27001-dekking |
|---|---|
| Risicoanalyse en risicobeleid | Hoofdstuk 6.1 + Bijlage A 5.1–5.7 |
| Incidentdetectie en -meldplicht | Bijlage A 5.24–5.28 |
| Continuïteitsmanagement | Bijlage A 5.29–5.30 |
| Toegangsbeheer en authenticatie | Bijlage A 5.15–5.18 |
| Beveiligde softwareontwikkeling | Bijlage A 8.25–8.31 |
| Leveranciersbeveiliging | Bijlage A 5.19–5.22 |
| Bewustwording en training | Bijlage A 6.3 |
| Cryptografie | Bijlage A 8.24 |
De overlap bedraagt, afhankelijk van de sectorspecifieke NIS2-eisen, zo’n 75 tot 85 procent. Dat betekent dat je met een ISO 27001-implementatie het leeuwendeel van je NIS2-compliance al invult.
Waar zitten de verschillen?
Het is belangrijk om ook de punten te kennen waar NIS2 verder gaat dan ISO 27001, of juist anders.
Meldplicht. NIS2 schrijft concrete termijnen voor: een eerste melding bij een significante verstoring binnen 24 uur bij de bevoegde autoriteit (in Nederland: het NCSC of de sectorale toezichthouder). ISO 27001 vereist dat je een incidentprocedure heeft, maar geeft geen wettelijke meldtermijnen. Je dient je ISO 27001-incidentprocedure aan te vullen met de specifieke NIS2-meldroutes en -termijnen.
Persoonlijke aansprakelijkheid. NIS2 introduceert aansprakelijkheid voor bestuurders bij ernstige nalatigheid. Dit is een juridisch element dat buiten de scope van ISO 27001 valt, maar waarvoor je ISMS-documentatie wel als bewijs van zorgvuldig handelen kan dienen.
Sectorspecifieke verplichtingen. Sommige sectoren (energie, water, financiën, gezondheidszorg) kennen aanvullende technische eisen die verder gaan dan wat ISO 27001 standaard voorschrijft. Controleer wat je sectorale toezichthouder aanvullend eist.
Tip: Voer een expliciete NIS2-gapanalyse uit naast je ISO 27001-implementatie. Breng in kaart welke NIS2-verplichtingen al zijn afgedekt door je ISMS en voor welke je aanvullende maatregelen nodig heeft. Dit voorkomt verrassingen bij toezicht.
Hoe implementeer je beide tegelijk?
De meest efficiënte aanpak is om ISO 27001 als structuur te gebruiken en NIS2-specifieke verplichtingen daarin te integreren. Concreet betekent dit:
Stap 1: Start met ISO 27001 als raamwerk. Stel je scope vast, voer een risicoanalyse uit en kies de relevante Bijlage A-maatregelen. Dit dekt direct het grootste deel van NIS2.
Stap 2: Voeg NIS2-specifieke elementen toe. Breid je incidentprocedure uit met de wettelijke meldroutes. Stel een procedure op voor directiemelding bij grote incidenten. Documenteer de sectorale toezichthouder en meldplichtige drempelwaarden.
Stap 3: Documenteer de mapping. Leg in je ISMS vast welke documenten en maatregelen ook de NIS2-verplichtingen afdekken. Dit maak je compliance aantoonbaar richting toezichthouders.
Stap 4: Train je directie. NIS2 vereist dat het bestuur actief betrokken is bij cybersecurity. Organiseer een bewustwordingssessie specifiek gericht op NIS2-verplichtingen en bestuurlijke aansprakelijkheid.
Wat zijn de sancties bij niet-naleving?
NIS2 heeft tanden. Voor belangrijke entiteiten kunnen boetes oplopen tot 7 miljoen euro of 1,4 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor essentiële entiteiten liggen de maxima nog hoger: 10 miljoen euro of 2 procent van de wereldwijde jaaromzet.
Naast financiële sancties kan de toezichthouder corrigerende maatregelen opleggen, tijdelijke schorsingen van diensten gelasten of bestuurders persoonlijk aansprakelijk stellen. Een goed gedocumenteerd en aantoonbaar werkend ISMS is je sterkste verweer.
Veelgestelde vragen
Moet ik ISO 27001 gecertificeerd zijn om NIS2-compliant te zijn? Nee, een certificaat is niet wettelijk vereist voor NIS2. Maar een ISO 27001-certificaat is het sterkste bewijs dat je beschikt over een werkend beveiligingsbeheersysteem. Toezichthouders zien certificering als een serieus signaal van zorgvuldig handelen.
Valt mijn bedrijf onder NIS2? NIS2 geldt voor organisaties in aangewezen sectoren (energie, transport, gezondheidszorg, digitale infrastructuur, financiën, drinkwater, afvalwater, overheidsdiensten, ruimtevaart, post en koeriers, voedsel, chemie en onderzoek) met meer dan 50 medewerkers of een jaaromzet boven 10 miljoen euro. Controleer via de website van het NCSC of je organisatie binnen scope valt.
Wanneer treedt de handhaving in Nederland in werking? De Nederlandse Cyberbeveiligingswet is in 2025 in werking getreden. Toezichthouders beginnen actief te handhaven; het is dus zaak om zo snel mogelijk je compliance te documenteren en aantoonbaar te maken.
Klaar om te starten? Control One begeleidt je door het volledige implementatieproces.
Klaar om te starten met ISO 27001?
Control One begeleidt je stap voor stap door het volledige implementatieproces. Van gap-analyse tot certificeringsaudit — inclusief alle templates en werkstromen.