Voldoet je met ISO 27001 al aan NIS2?
Met ISO 27001 voldoet u niet automatisch aan NIS2, maar u bent wel een heel eind op weg. Een gecertificeerd ISO 27001-ISMS dekt het grootste deel van de NIS2-zorgplicht al af: risicomanagement, technische en organisatorische beveiligingsmaatregelen, bedrijfscontinuïteit en leveranciersbeheer. Wat NIS2 (in Nederland de Cyberbeveiligingswet) daar wettelijk bovenop legt, zijn vooral procesplichten: het melden van significante incidenten binnen strakke termijnen, aantoonbare bestuurlijke verantwoordelijkheid en het meewerken aan toezicht door de RDI. De snelste route is daarom een gap-analyse die uw bestaande ISMS afzet tegen de NIS2-eisen, zodat u alleen de openstaande punten hoeft in te vullen. Hieronder leest u wat overlapt, wat u nog mist en hoe u het aanpakt.
Wat dekt ISO 27001 al af voor NIS2?
De NIS2-zorgplicht vraagt "passende en evenredige" maatregelen. Een werkend ISO 27001-ISMS vult daarvan een groot deel in:
- Risicobeoordeling en -behandeling
- Toegangsbeveiliging, encryptie, logging en monitoring
- Incidentbehandeling (intern proces)
- Bedrijfscontinuïteit en back-up
- Beveiliging van de toeleveringsketen
- Bewustwording en training van medewerkers
Zie ook de technische NIS2-implementatiegids van ENISA.
Wat eist NIS2 extra (bovenop ISO 27001)?
De wettelijke plichten die niet vanzelf in een ISO 27001-certificaat zitten:
- Meldplicht — significante incidenten melden binnen de gestelde termijnen bij de bevoegde autoriteit.
- Bestuurlijke verantwoordelijkheid — bestuurders zijn aansprakelijk en moeten aantoonbaar betrokken zijn. Zie RDI over bestuurlijke verantwoordelijkheid.
- Registratie en toezicht — meewerken aan toezicht door de RDI.
Hoe pakt u het aan? De gap-analyse
Doe niet dubbel werk. Een gap-analyse zet uw bestaande ISMS naast de NIS2-eisen en laat precies zien wat al is afgedekt en wat nog ontbreekt. Wilt u eerst het onderscheid begrijpen? Lees ISO 27001 vs NIS2. Voor de volledige aanpak: NIS2, AVG & cybersecurity-compliance.
Val ik onder NIS2?
NIS2 geldt voor aangewezen essentiële en belangrijke organisaties in specifieke sectoren, boven bepaalde omvangsdrempels. Controleer dit via de Cyberbeveiligingswet-informatie van Digitale Overheid of laat het toetsen tijdens een intake.
Veelgestelde vragen
Korte, directe antwoorden op de meestgestelde vragen.
Niet automatisch, maar u bent een heel eind. ISO 27001 dekt het grootste deel van de NIS2-zorgplicht af: risicomanagement, beveiligingsmaatregelen, continuïteit en leveranciersbeheer. NIS2 voegt daar specifieke wettelijke plichten aan toe, zoals de meldplicht en bestuurlijke verantwoordelijkheid. Een gap-analyse maakt het verschil concreet.
Vooral de wettelijke procesplichten: het melden van significante incidenten binnen de gestelde termijnen bij de bevoegde autoriteit, aantoonbare bestuurlijke betrokkenheid en het meewerken aan toezicht. Deze zijn niet als zodanig onderdeel van een ISO 27001-certificaat en moeten apart worden ingeregeld.
Begin met een gap-analyse die uw bestaande ISO 27001-ISMS afzet tegen de NIS2-eisen. Zo ziet u precies welk deel al is afgedekt en welke aanvullende maatregelen (meldproces, governance) nog nodig zijn, zonder dubbel werk te doen.
NIS2 geldt voor aangewezen essentiële en belangrijke organisaties in specifieke sectoren, boven bepaalde omvangsdrempels. Of u eronder valt, hangt af van sector en grootte. Raadpleeg de officiële bronnen van de RDI en de Rijksoverheid, of laat het toetsen tijdens een intake.
Weten wat u nog mist voor NIS2?
Plan een NIS2-scan. We zetten uw ISO 27001-ISMS af tegen de zorgplicht en leveren een concreet actieplan voor de openstaande punten.
