ISO 27001-nalevingsbinder en NIS2-regelgevingsdocument op donker bureau met beveiligingslanyard.

Kun je met ISO 27001 tegelijk voldoen aan NIS2?

Ja, ISO 27001 en NIS2 kunnen goed samen worden toegepast, en een bestaande ISO 27001-certificering geeft je een stevige voorsprong bij het voldoen aan de NIS2-richtlijn. De twee frameworks overlappen op veel vlakken, maar zijn niet identiek. Wie alleen op ISO 27001 leunt, mist een aantal specifieke NIS2-verplichtingen die aanvullende aandacht vragen. Dit artikel beantwoordt de meest gestelde vragen over de combinatie van ISO 27001 en NIS2-compliance.

Wat zijn de belangrijkste overlappingen tussen ISO 27001 en NIS2?

ISO 27001 en NIS2 delen een gemeenschappelijke kern: beide richten zich op het beschermen van informatiesystemen via een risicogebaseerde aanpak. Organisaties die ISO 27001 hebben geïmplementeerd, hebben al een Information Security Management System (ISMS) ingericht dat veel van de NIS2-vereisten dekt. De overlap is inhoudelijk en structureel.

De meest directe raakvlakken zijn:

  • Risicoanalyse en risicobeheer: Zowel ISO 27001 als NIS2 vereisen een systematische beoordeling van beveiligingsrisico’s als basis voor maatregelen. De ISO 27001-risicomethodiek sluit direct aan op de zorgplicht onder de Cyberbeveiligingswet (Cbw).
  • Toegangsbeheer en authenticatie: ISO 27001 stelt eisen aan toegangscontrole en autorisatie. NIS2 schrijft expliciet multi-factorauthenticatie voor, wat in een volwassen ISO 27001-implementatie doorgaans al is opgenomen.
  • Cryptografie en encryptie: Beide frameworks vereisen beleid voor het gebruik van cryptografische maatregelen ter bescherming van gegevens.
  • Beveiliging van de toeleveringsketen: Supply chain security is een expliciet aandachtspunt in zowel ISO 27001 (Annex A) als NIS2.
  • Bedrijfscontinuïteit: ISO 27001 vereist een business continuity plan. NIS2 stelt vergelijkbare eisen aan crisisbeheer en herstelmaatregelen.
  • Personeelsbeveiliging en bewustwording: Beveiligingsmaatregelen voor personeel zijn in beide frameworks verplicht.

Het ministerie van BZK heeft samen met experts een mapping gepubliceerd die inzicht geeft in hoe NIS2-maatregelen zich verhouden tot de NEN-EN-ISO/IEC 27002, de bijbehorende beheersdoelstellingen van ISO 27001. Die mapping maakt duidelijk dat een goed ingericht ISO 27001-stelsel een solide vertrekpunt is voor NIS2-compliance.

Waar schiet ISO 27001 tekort ten opzichte van NIS2?

ISO 27001 is een breed toepasbare managementnorm voor informatiebeveiliging, maar NIS2 is een wettelijke verplichting met specifieke eisen die verder gaan dan wat een certificering afdekt. Op een aantal punten bestaat er een duidelijke kloof tussen de twee.

Wettelijke meldplicht voor cyberincidenten

ISO 27001 bevat geen verplichting om incidenten te melden bij een externe autoriteit. NIS2 wel. Significante cyberincidenten moeten binnen 24 uur worden gemeld bij het NCSC via een vroegtijdige waarschuwing, gevolgd door een aanvullende melding binnen 72 uur en een eindverslag binnen een maand. Dit is een operationeel proces dat buiten de scope van ISO 27001 valt en apart moet worden ingericht.

Bestuurlijke verantwoordelijkheid en trainingsplicht

NIS2 legt de verantwoordelijkheid voor cyberweerbaarheid expliciet bij het bestuur neer. Bestuurders zijn verplicht een training te volgen waarmee zij beveiligingsrisico’s leren identificeren en beoordelen. ISO 27001 vereist betrokkenheid van het management, maar stelt geen vergelijkbare individuele trainingsplicht voor bestuurders.

Registratieplicht

Organisaties die onder de Cyberbeveiligingswet vallen, zijn verplicht zich te registreren in het entiteitenregister van het NCSC. Dit is een administratieve verplichting die losstaat van ISO 27001 en geen equivalent kent binnen dat framework.

Sectorspecifieke normen

NIS2 werkt via ministeriële regelingen per sector, met sectorspecifieke drempelcriteria en invulling van de zorgplicht. Voor overheidsorganisaties geldt de Baseline Informatiebeveiliging Overheid 2 (BIO2) als normenkader. ISO 27001 is sectoronafhankelijk en dekt deze specifieke sectorvereisten niet automatisch af.

Welke extra stappen zijn nodig naast ISO 27001 voor NIS2?

Wie al ISO 27001-gecertificeerd is, hoeft niet opnieuw te beginnen, maar moet gerichte aanvullingen doorvoeren om volledig aan NIS2 te voldoen. De extra stappen zijn concreet en overzichtelijk.

  1. Bepaal of je onder de wet valt: Gebruik de NIS2 Zelfevaluatietool of de Flowchart Registratieplicht van het NCSC om vast te stellen of jouw organisatie als essentiële of belangrijke entiteit wordt aangemerkt.
  2. Registreer je bij het NCSC: Meld je organisatie aan in het entiteitenregister. Essentiële en belangrijke entiteiten kunnen zich al vrijwillig registreren via het NCSC-portaal.
  3. Richt een incidentmeldproces in: Zorg voor een intern proces dat vroegtijdige waarschuwingen, vervolgmeldingen en eindverslagen tijdig en correct afhandelt. Dit vraagt om heldere interne escalatiepaden en contactpersonen.
  4. Train het bestuur: Organiseer een training voor alle bestuurders die voldoet aan de eisen van het Cyberbeveiligingsbesluit. Er zijn geen eisen aan de opleider, waardoor je de training kunt afstemmen op de eigen context.
  5. Voer een gap-analyse uit: Vergelijk je bestaande ISMS met de specifieke NIS2-vereisten en de sectorspecifieke ministeriële regeling die op jouw organisatie van toepassing is. Zo breng je precies in kaart wat er nog ontbreekt.
  6. Actualiseer supply chain beleid: NIS2 stelt expliciete eisen aan beveiliging van de toeleveringsketen. Controleer of je leveranciersbeheersprocessen voldoende zijn uitgewerkt en gedocumenteerd.

Voor organisaties die ook willen weten hoe hun beveiliging in de praktijk standhoudt, biedt een penetratietest of red team oefening aanvullend inzicht in technische kwetsbaarheden die beleidsmatige maatregelen niet altijd zichtbaar maken.

Moet je ISO 27001 gecertificeerd zijn om aan NIS2 te voldoen?

Nee, een ISO 27001-certificering is geen vereiste voor NIS2-compliance. De Cyberbeveiligingswet schrijft geen specifieke certificering voor. Wat telt, is dat je aantoonbaar passende en evenredige technische en organisatorische maatregelen hebt genomen op basis van een gedegen risicobeoordeling.

ISO 27001 is een erkend en internationaal gerespecteerd framework dat goed aansluit op de risicogebaseerde benadering van NIS2. Een certificering maakt het eenvoudiger om aan te tonen dat je informatiebeveiliging serieus neemt en systematisch hebt ingericht. Het is daarmee een waardevol hulpmiddel, maar geen wettelijke voorwaarde.

Voor overheidsorganisaties geldt bovendien dat de BIO2 als normatieve invulling van de NIS2-zorgplicht fungeert. Naleving van de BIO2 is voor die organisaties het logische en meest directe startpunt, los van een eventuele ISO 27001-certificering. Beide kunnen naast elkaar bestaan en versterken elkaar, maar geen van beide is op zichzelf voldoende zonder de specifieke NIS2-verplichtingen zoals de meld- en registratieplicht.

Hoe beoordelen toezichthouders de combinatie van ISO 27001 en NIS2?

Toezichthouders beoordelen niet of een organisatie ISO 27001-gecertificeerd is, maar of zij voldoet aan de verplichtingen uit de Cyberbeveiligingswet. Een ISO 27001-certificering kan wel als bewijs dienen van een volwassen beveiligingspraktijk, maar vervangt de toezichtsvereisten niet.

Voor de sector overheid is de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder, met uitzondering van waterschappen waarvoor de Inspectie Leefomgeving en Transport (ILT) verantwoordelijk is. De RDI maakt zoveel mogelijk gebruik van bestaande verantwoordingsstructuren, zoals de ENSIA-methodiek voor gemeenten, om de administratieve lasten te beperken.

Wat toezichthouders concreet beoordelen:

  • Of de organisatie is geregistreerd in het entiteitenregister van het NCSC
  • Of significante incidenten tijdig en correct zijn gemeld
  • Of er aantoonbaar beleid is voor risicoanalyse, toegangsbeheer, cryptografie en bedrijfscontinuïteit
  • Of bestuurders hun trainingsplicht hebben vervuld
  • Of de zorgplicht evenredig en risicogericht is ingevuld

Een ISO 27001-certificering ondersteunt al deze punten indirect. Het toont aan dat er een gestructureerd managementsysteem is ingericht, dat risico’s periodiek worden beoordeeld en dat maatregelen worden gemonitord en verbeterd. Toezichthouders zullen dat positief wegen, maar de specifieke NIS2-verplichtingen moeten los daarvan aantoonbaar zijn nageleefd. Naarmate organisaties volwassener zijn in hun informatiebeveiligingspraktijk, is de verwachting dat minder intensief toezicht nodig zal zijn.

Hoe Q-Cyber helpt met ISO 27001 en NIS2

De combinatie van ISO 27001 en NIS2 vraagt om zowel technische als beleidsmatige expertise. Q-Cyber begeleidt organisaties door dit traject met een pragmatische en onafhankelijke aanpak. Wat we concreet bieden:

  • Gap-analyse: We brengen in kaart waar je bestaande ISO 27001-implementatie aansluit op NIS2 en waar aanvullingen nodig zijn.
  • Beleid op maat: We schrijven beleidsdocumenten die aansluiten op jouw specifieke risicoprofiel en de toepasselijke sectorvereisten.
  • Bestuurstraining: We verzorgen trainingen voor bestuurders die voldoen aan de trainingsplicht onder de Cyberbeveiligingswet.
  • Incidentmeldproces: We helpen bij het inrichten van een werkend proces voor tijdige melding van significante cyberincidenten.
  • Virtuele CISO: Via Continuous-Q® bieden we doorlopende begeleiding door een team van specialisten, zonder dat je een fulltime CISO hoeft aan te nemen.
  • Onafhankelijk advies: We zijn niet gebonden aan softwarepartijen of andere toeleveranciers, waardoor ons advies altijd in jouw belang is.

Wil je weten waar jouw organisatie nu staat en welke stappen nodig zijn om aan NIS2 te voldoen? Neem contact op en we kijken samen wat het meest passend is voor jouw situatie.