NIS2 vs. ISO 27001: wat overlapt, wat niet, en wat je nog moet doen

Als je organisatie ISO 27001-gecertificeerd is, loop je voor op de meesten. Het informatiebeveiligingsmanagementsysteem (ISMS) dat je hebt opgebouwd dekt een groot deel van wat NIS2 vereist. Maar "een groot deel" is niet "alles."

NIS2 introduceert specifieke verplichtingen die ISO 27001 niet adresseert — en de gevolgen van het missen ervan zijn fors. Dit artikel geeft je een helder, praktisch overzicht zodat je precies weet waar je staat.

Het korte antwoord

NIS2 vs ISO 27001 — Vergelijking van vereisten
◈Alleen NIS2
Verplichte incidentmelding aan autoriteiten (24u / 72u)
Persoonlijke aansprakelijkheid op bestuursniveau voor cyberbeveiliging
Verplichtingen voor toeleveringsketenbeveiliging voor essentiële entiteiten
Sectorspecifieke regelgevingsverplichtingen
⬡Gedeelde vereisten
Risicobeheer voor informatiebeveiliging
Toegangsbeheer en identiteitsbeheer
Bedrijfscontinuïteit en herstel na rampen
Beveiligingsbewustzijn en -training
◇Alleen ISO 27001
Interne audit- en managementreviewcycli
Documentatie van de Verklaring van Toepasselijkheid (SoA)
Formele certificering en externe audit
◈Alleen NIS2
Verplichte incidentmelding aan autoriteiten (24u / 72u)
Persoonlijke aansprakelijkheid op bestuursniveau voor cyberbeveiliging
Verplichtingen voor toeleveringsketenbeveiliging voor essentiële entiteiten
Sectorspecifieke regelgevingsverplichtingen
⬡Gedeelde vereisten
Risicobeheer voor informatiebeveiliging
Toegangsbeheer en identiteitsbeheer
Bedrijfscontinuïteit en herstel na rampen
Beveiligingsbewustzijn en -training
◇Alleen ISO 27001
Interne audit- en managementreviewcycli
Documentatie van de Verklaring van Toepasselijkheid (SoA)
Formele certificering en externe audit
De middelste kolom toont vereisten die zowel NIS2 als ISO 27001 delen

ISO 27001 geeft je het managementsysteem. NIS2 voegt daar wettelijke verplichtingen aan toe — met harde deadlines, persoonlijke aansprakelijkheid en overheidsrapportages.

Gedetailleerde vergelijking: de 10 Artikel 21-maatregelen

#	NIS2 Artikel 21-maatregel	ISO 27001-dekking	Hiaat?
1	Risicoanalyse & beveiligingsbeleid	Volledig gedekt (clausule 6.1, 8.2, Annex A)	✅ Geen hiaat
2	Incidentafhandeling	Grotendeels gedekt (A.5.24-A.5.28)	⚠️ Hiaat: NIS2 vereist 24u-melding bij autoriteiten + 72u-vervolg + 1-maand eindrapport
3	Bedrijfscontinuïteit & crisisbeheer	Grotendeels gedekt (A.5.29-A.5.30)	⚠️ Hiaat: NIS2 benadrukt crisismanagementprocedures inclusief coördinatie met nationale CSIRT's
4	Ketenbeveiliging	Gedeeltelijk gedekt (A.5.19-A.5.23)	⚠️ Hiaat: NIS2 vereist specifieke beveiligingsbeoordelingen van elke directe leverancier
5	Veilige ontwikkeling & onderhoud	Gedekt (A.8.25-A.8.33)	✅ Klein hiaat
6	Effectiviteitsbeoordeling	Gedekt (clausule 9, interne audits)	✅ Geen hiaat
7	Cyberhygiëne & training	Gedekt (A.6.3)	⚠️ NIS2 verplicht bestuurstraining — niet in ISO 27001
8	Cryptografie & versleuteling	Gedekt (A.8.24)	✅ Geen hiaat
9	Personeelsbeveiliging & toegangscontrole	Gedekt (A.6.1-A.6.6, A.8.2-A.8.5)	✅ Geen hiaat
10	MFA & beveiligde communicatie	Gedeeltelijk gedekt (A.8.5)	⚠️ Hiaat: NIS2 verplicht MFA en beveiligde noodcommunicatie expliciet

De 6 kritieke hiaten

1. Verplichte incidentmelding bij autoriteiten

Het grootste operationele hiaat. Onder NIS2:

Binnen 24 uur: melding bij nationale toezichthouder en CSIRT
Binnen 72 uur: vervolgrapport met ernstbeoordeling
Binnen 1 maand: eindrapport met oorzaakanalyse

ISO 27001 vereist een incidentmanagementproces maar geen melding bij overheidsinstanties binnen specifieke termijnen.

2. Persoonlijke bestuurdersaansprakelijkheid

Onder NIS2 Artikel 20 kunnen individuele bestuurders persoonlijk aansprakelijk worden gesteld. ISO 27001 vereist "betrokkenheid van het topmanagement" maar creëert geen persoonlijke wettelijke aansprakelijkheid.

3. Verplichte bestuurlijke cybersecurity-\ntraining

NIS2 vereist expliciet dat bestuursleden training volgen. ISO 27001 richt zich op alle medewerkers maar niet specifiek op bestuursniveau.

4. Registratie bij nationale autoriteit

Een puur regelgevende verplichting die niet bestaat in ISO 27001.

5. Specifieke eisen ketenbeveiliging

NIS2 gaat verder dan ISO 27001 door te eisen dat je de cybersecuritypraktijken van elke directe leverancier beoordeelt en EU-niveau ketenrisico-beoordelingen meeweegt.

6. Expliciete MFA- en noodcommunicatieverplichting

NIS2 verplicht multifactorauthenticatie en beveiligde noodcommunicatiesystemen expliciet. ISO 27001 behandelt MFA als een controleoptie, niet als een verplichting.

Waar ISO 27001 wél helpt

Ondanks de hiaten geeft ISO 27001 je een significant voordeel:

Risicomanagementraamwerk — je ISMS biedt de gestructureerde aanpak die NIS2 verwacht
Documentatiecultuur — NIS2 vereist aantoonbare naleving, en ISO 27001-organisaties zijn gewend aan het bijhouden van bewijs
Intern auditproces — mapt direct naar de effectiviteitsbeoordeling van NIS2
Continue verbetercyclus — Plan-Do-Check-Act sluit goed aan bij NIS2

Schattingen suggereren dat organisaties met ISO 27001 al 60-70% van de NIS2-eisen dekken. De overige 30-40% vraagt gerichte inspanning.

Praktisch stappenplan: van ISO 27001 naar NIS2

Fase 1: Meldingshiaat dichten (hoge prioriteit)

Bouw een incidentmeldproces dat de 24u / 72u / 1-maand NIS2-termijnen haalt
Identificeer je nationale bevoegde autoriteit en CSIRT
Maak rapportsjablonen en oefen met een tabletop-exercise

Fase 2: Bestuursgovernance adresseren (hoge prioriteit)

Informeer je bestuur over hun persoonlijke aansprakelijkheid
Plan bestuurlijke cybersecurity-\ntraining
Stel regelmatige bestuursrapportages in
Documenteer bestuursgoedkeuringen van risicobeheermaatregelen

Fase 3: Ketenbeveiliging versterken (middelhoge prioriteit)

Voer cybersecuritybeoordelingen van directe leveranciers uit
Voeg NIS2-specifieke clausules toe aan leverancierscontracten

Fase 4: Technische maatregelen (middelhoge prioriteit)

Implementeer MFA op alle kritieke systemen
Richt beveiligde noodcommunicatiekanalen in

Fase 5: Registratie en documentatie

Registreer bij je nationale autoriteit
Stel je NIS2-compliancedossier samen

Veelgestelde vragen

"Geldt ISO 27001-certificering als bewijs van NIS2-compliance?"

Niet direct. ISO 27001 toont een sterk beveiligingsniveau aan, maar je moet nog steeds de specifieke hiaten adresseren.

"Hoe lang duurt het om van ISO 27001 naar NIS2-compliance te komen?"

Met ISO 27001 op zijn plek kunnen de meeste organisaties de hiaten in 3-6 maanden dichten. Zonder ISO 27001: reken op 6-12 maanden.

Ontdek precies waar jouw hiaten zitten

Onze gratis NIS2-quickscan brengt je huidige situatie in kaart tegenover alle 10 Artikel 21-maatregelcategorieën. Als je al ISO 27001 hebt, laat de scan precies zien waar de NIS2-specifieke hiaten zitten.