Organisaties die worden geconfronteerd met NIS2 stellen dikwijls dezelfde vraag: “We zijn al ISO 27001-gecertificeerd — moeten we dan nog veel extra doen?” Het antwoord is genuanceerd. ISO 27001 en NIS2 overlappen sterk, maar zijn niet identiek. Wie de overeenkomsten en verschillen begrijpt, kan zijn bestaande ISMS efficiënt uitbouwen tot een NIS2-compliant beveiligingsraamwerk — zonder dubbel werk. In dit artikel vergelijken we beide kaders en bieden we een praktische routekaart voor gecertificeerde organisaties.
Wat zijn ISO 27001 en NIS2 in essentie?
ISO 27001 is een internationale norm voor informatiebeveiligingsbeheersystemen (ISMS). De norm beschrijft een risicogebaseerde aanpak: je identificeert informatieveiligheidsrisico’s, implementeert passende beheersmaatregelen (Annex A) en verbetert het systeem continu. Certificering door een geaccrediteerde certificatie-instelling toont aan dat je ISMS aan de norm voldoet.
NIS2 (EU 2022/2555) is Europese wetgeving die specifieke sectoren verplicht tot het treffen van cybersecuritymaatregelen en het melden van incidenten. Waar ISO 27001 een vrijwillige norm is, is NIS2-naleving verplicht voor aangewezen entiteiten en afdwingbaar door nationale toezichthouders.
Het fundamentele onderscheid: ISO 27001 is een “hoe”-kader — het beschrijft hoe je een ISMS bouwt. NIS2 is een “wat”-verplichting — het schrijft voor welke maatregelgebieden je moet afdekken. Samen vormen ze een krachtige combinatie.
De overlappende gebieden
De overlap is aanzienlijk. Wie ISO 27001 implementeert, dekt een groot deel van de NIS2-zorgplicht reeds af:
| NIS2 maatregelengebied | ISO 27001 dekking |
|---|---|
| Risicoanalyse en beveiligingsbeleid | Clausule 6.1 + Annex A 5.1–5.2 |
| Incidentafhandeling | Annex A 5.24–5.28 |
| Bedrijfscontinuïteit | Annex A 5.29–5.30 |
| Beveiliging toeleveringsketen | Annex A 5.19–5.22 |
| Toegangsbeheer | Annex A 8.2–8.6 |
| Gebruik van cryptografie | Annex A 8.24 |
| Bewustwording en training | Annex A 6.3 |
| Netwerk- en systeembeveiliging | Annex A 8.20–8.22 |
Een ISO 27001-gecertificeerde organisatie heeft al een ISMS-structuur met beleid, risicobeheer, interne audits en directiebeoordeling — allemaal elementen die ook voor NIS2 relevant zijn.
De belangrijkste verschillen
Ondanks de brede overlap zijn er materiële verschillen die extra aandacht vragen.
Meldplicht — ISO 27001 kent geen wettelijke meldplicht. NIS2 verplicht melding van significante incidenten binnen 24 uur bij de bevoegde autoriteit. Dit vereist specifieke procedures en een vooraf aangewezen meldingsfunctionaris die ISO 27001 niet standaard afdwingt.
Bestuursverantwoordelijkheid — NIS2 is expliciet over de verantwoordelijkheid van het topmanagement: bestuurders dienen NIS2-training te volgen en zijn persoonlijk aansprakelijk bij grove nalatigheid. ISO 27001 vraagt om “leiderschap en commitment” (clausule 5.1), maar legt geen persoonlijke bestuurdersaansprakelijkheid vast.
Scope en sector — ISO 27001 kun je toepassen op elke organisatie en scope naar keuze. NIS2 geldt voor specifieke sectoren en bepaalt de scope op basis van de dienstverlening.
Handhaving — ISO 27001-naleving wordt gecontroleerd door private certificatie-instellingen. NIS2 wordt gehandhaafd door nationale toezichthouders met bevoegdheid tot boetes, bevelen en — in uiterste gevallen — schorsing van bestuurders.
Tip: Voer een NIS2-specifieke gap-analyse uit op basis van je ISO 27001-implementatie. Focus daarbij met name op de meldplichtprocedures, bestuurdersopleidingen en de uitgebreidere eisen rondom supply chain security. Dat zijn de gebieden waar ISO 27001 alleen onvoldoende NIS2-dekking biedt.
Hoe gebruikt je ISO 27001 als springplank?
Voor gecertificeerde organisaties is de aanbevolen aanpak als volgt:
Stap 1 — Scoping — Bevestig dat je organisatie onder NIS2 valt en in welke categorie (essentieel of belangrijk). Dit bepaalt de strengheid van de eisen en de hoogte van mogelijke boetes.
Stap 2 — Gap-analyse — Vergelijk je huidige ISO 27001-implementatie met de tien NIS2-maatregelengebieden. Gebruik de tabel hierboven als startpunt. Let specifiek op de gebieden die ISO 27001 niet volledig dekt: meldplicht, bestuurdersverantwoordelijkheid en supply chain governance.
Stap 3 — Aanvullen — Implementeer de ontbrekende elementen. Dit omvat minimaal een NIS2-meldplichtprocedure, een bestuurdersprogramma voor cybersecuritybewustwording en een uitgebreid leveranciersbeoordelingsproces.
Stap 4 — Documenteren — NIS2-toezichthouders verwachten aantoonbaar bewijs. Integreer NIS2-compliance in je bestaande ISMS-documentatie en auditprogramma. Zo benut je maximaal de synergie tussen beide kaders en vermijdt je duplicatie.
Veelgestelde vragen
Volstaat ISO 27001-certificering als bewijs van NIS2-compliance? Nee, maar het helpt aanzienlijk. ISO 27001-certificering toont aan dat je een volwassen ISMS heeft, maar dekt niet de NIS2-specifieke eisen zoals de meldplicht en bestuurdersaansprakelijkheid. Toezichthouders kunnen certificaten meewegen, maar beoordelen naleving uiteindelijk op basis van de nationale wetgeving.
Moet ik mijn ISMS-scope uitbreiden voor NIS2? Mogelijk wel. Als je huidige ISO 27001-scope niet alle NIS2-relevante diensten omvat, dient je de scope aan te passen. Bespreek dit met je certificatie-instelling bij de volgende surveillance- of hercertificeringsaudit.
Kunnen we NIS2 en ISO 27001 samen implementeren zonder extra kosten? Met de juiste aanpak is de overlap zo groot dat NIS2-compliance voor een gecertificeerde organisatie relatief beperkte extra inspanning vraagt. De grootste additionele investeringen zitten in de meldplichtinfrastructuur, bestuurstraining en eventuele uitbreiding van supply chain audits.
Wat als we nog geen ISO 27001 hebben en NIS2-compliant moeten worden? Dan is een gecombineerde implementatie van ISO 27001 en NIS2 de meest efficiënte route. Je bouwt in één traject een ISMS dat aan beide voldoet, in plaats van sequentieel twee afzonderlijke trajecten te doorlopen.
Wil je weten hoe Control One je helpt bij de gecombineerde aanpak van NIS2 en ISO 27001? Bekijk onze diensten op onze prijzenpagina.
Compliant aan NIS2, AVG of DORA?
Control One koppelt wettelijke verplichtingen aan je ISO-controls, beleid en risicoanalyse. Eén platform voor zowel ISO als wetgeving.
Gerelateerde artikelen
AVG datalekken melden: procedure en verplichting
Een datalek melden bij de AP — wanneer verplicht, binnen welke termijn en wat vermeldt je?
NIS2 en leveranciersketen: hoe beheert je ketenrisico's?
NIS2 verplicht aandacht voor supply chain security. Hoe beheert je risico's in je leveranciersketen?
NIS2 boetes en sancties: wat riskeert je?
NIS2 kent boetes tot €10 miljoen of 2% omzet. Wanneer worden ze opgelegd en hoe voorkomt je ze?
NIS2 zorgplicht: concrete maatregelen voor je organisatie
De NIS2 zorgplicht vertaalt zich naar 10 concrete maatregelengebieden. Wat moet je implementeren?