Gids Naleving Cyberbeveiliging

NIS2 versus ISO 27001: heeft u beide nodig en waar begint u?

NIS2 is EU-wetgeving. ISO 27001 is een vrijwillige norm. Beide belanden op hetzelfde bureau van de compliance officer, vaak in dezelfde maand. De relatie begrijpen stelt u in staat één samenhangend systeem te bouwen dat aan beide voldoet, in plaats van twee parallelle programma's te draaien.

CT
Cyvra-team
Cyvra-advies
2 juni 2026
8 minuten lezen
Kernpunten
  • NIS2 is verplichte EU-wetgeving. ISO 27001 is een vrijwillige internationale norm. Het zijn verschillende instrumenten met verschillende doeleinden.
  • ISO 27001 heeft betrekking op alle 10 NIS2 artikel 21-beveiligingsmaatregelen, waardoor het een effectief middel is voor NIS2-naleving
  • Een ISO 27001-gecertificeerde organisatie heeft nog steeds NIS2-specifieke lacunes: meldingstermijnen voor incidenten, aansprakelijkheid van het management en registratieverplichtingen
  • Als u van nul begint, is een lacuneanalyse de juiste eerste stap, niet kiezen voor één kader en het andere uitstellen
  • De meest efficiënte aanpak is het opbouwen van één geïntegreerd programma in plaats van twee afzonderlijke nalevingsprojecten

Twee kaders, één postvak

Compliance officers bij middelgrote en grote Europese bedrijven krijgen tegelijkertijd vragen over NIS2 en ISO 27001. Het is begrijpelijk dat teams de twee door elkaar halen: beide gaan over cyberbeveiliging, beide vereisen risicobeoordelingen en gedocumenteerde controles, en beide leiden tot audits. Maar het zijn fundamenteel andere instrumenten, en ze als uitwisselbaar behandelen laat echte nalevingslacunes open.

NIS2 (Richtlijn 2022/2555) is EU-wetgeving. Als uw organisatie actief is in een van de 18 kritieke sectoren en aan de omvangsdrempel voldoet, valt u in het toepassingsgebied en moet u naleven. Er is geen opt-out. Niet-naleving is handhaafbaar door nationale autoriteiten en leidt tot boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten. NIS2 is van kracht sinds oktober 2024.

ISO/IEC 27001:2022 is een internationale norm voor informatiebeveiligingsbeheersystemen (ISMS). Certificering is vrijwillig. Elke organisatie kan deze nastreven, in elke sector, op elke schaal. De norm schrijft niet precies voor welke beveiligingscontroles u moet implementeren; ze vraagt u een risicogebaseerd beheersysteem te bouwen dat systematisch bedreigingen identificeert, proportionele controles selecteert en continu verbetert. Onafhankelijke certificeringsinstanties beoordelen u aan de hand van de norm en geven een certificaat af.

160.000
entiteiten onder NIS2 in de hele EU, in 18 sectoren
93
controles in ISO 27001:2022 bijlage A, in 4 controledomein
10
verplichte beveiligingsmaatregelen onder NIS2 artikel 21

Waar ze overlappen

NIS2 artikel 21 specificeert 10 verplichte beveiligingsmaatregelen. ISO 27001 bijlage A bevat 93 controles in vier domeinen. Alle 10 NIS2-maatregelen komen overeen met ISO 27001-controlegebieden:

Risicoanalyse en beveiligingsbeleid
Volledige dekking ISO 27001 clausule 6.1 vereist formele risicobeoordeling; bijlage A.5 behandelt informatiebeveiligingsbeleid uitgebreid.
Incidentafhandeling
Volledige dekking Bijlage A.5.24-5.28 behandelt incidentbeheer, inclusief detectie, classificatie, respons en geleerde lessen.
Bedrijfscontinuïteit, back-up en noodherstel
Volledige dekking Bijlage A.5.29 (ICT-gereedheid voor bedrijfscontinuïteit) en A.8.13 (informatieback-up) dekken zowel geteste back-ups als herstelplanning.
Beveiliging van de toeleveringsketen
Volledige dekking Bijlage A.5.19-5.23 vereist beoordeling van leveranciersbeveiliging, contractuele verplichtingen en voortdurende monitoring van risico's bij derden.
Beveiliging bij systeemaankoop en -ontwikkeling
Volledige dekking Bijlage A.8.25-8.34 behandelt veilige ontwikkelingspraktijken, openbaarmaking van kwetsbaarheden en patchbeheer.
Beleid om effectiviteit te beoordelen
Volledige dekking ISO 27001 clausule 9.2 verplicht interne audits; bijlage A.5.35-5.36 vereist onafhankelijke beoordeling en naleving van beleid.
Cyberhygiëne en training
Volledige dekking Bijlage A.6.3 (bewustzijn) en A.8.8 (kwetsbaarheidsbeheer) dekken personeelstraining en basishygiënecontroles rechtstreeks.
Cryptografie en encryptie
Volledige dekking Bijlage A.8.24 vereist gedocumenteerd cryptografiebeleid voor gegevens in rust, onderweg en sleutelbeheer.
HR-beveiliging, toegangscontrole en activabeheer
Volledige dekking Bijlage A.6 (personeelscontroles) en A.8.1-8.12 dekken in- en uitdiensttreding, toegang met minste privileges en activainventaris volledig.
MFA en veilige communicatie
Gedeeltelijk Bijlage A.8.5 behandelt beheer van bevoorrechte toegang en A.8.20 netwerkbeveiliging, maar MFA is niet zo expliciet verplicht als in NIS2.

Een organisatie met een volwassen, goed gedocumenteerd ISO 27001-ISMS heeft voor negen van de tien NIS2 artikel 21-vereisten controles op zijn plaats. Het tiende punt (MFA) vereist slechts een gerichte aanvulling. ISO 27001 is het efficiëntste middel om NIS2-conforme beveiligingscontroles te bouwen.

Waar ze van elkaar afwijken

De overlap kent echte beperkingen. ISO 27001 is ontworpen als een managementsysteemnorm, niet als een regelgevend nalevingskader, en NIS2 gaat op drie gebieden verder.

Onderwerp
NIS2
ISO 27001
Wettelijke verplichting
Verplicht voor entiteiten in het toepassingsgebied; niet-naleving is handhaafbaar
Vrijwillig; geen wettelijke verplichting om te certificeren
Op wie van toepassing
Middelgrote en grote organisaties in 18 gedefinieerde sectoren in de EU
Elke organisatie, elke sector, elke omvang, overal
Incidentmelding
Verplicht: 24u vroegtijdige waarschuwing, 72u melding, eindrapport na 1 maand aan nationale autoriteit
Geen externe meldingstermijnen; alleen intern incidentbeheer
Aansprakelijkheid management
Artikel 20: bestuurders persoonlijk aansprakelijk; kunnen verbod krijgen op uitoefening leidinggevende verantwoordelijkheden
Geen persoonlijke aansprakelijkheidsbepalingen
Registratieverplichting
Entiteiten in het toepassingsgebied moeten zich registreren bij de nationale bevoegde autoriteit
Geen registratieverplichting
Audit / certificeringsinstantie
Nationale toezichthoudende autoriteiten (NCSC en sectortoezichthouders in NL)
Geaccrediteerde externe certificeringsinstantie (bijv. BSI, Bureau Veritas, DNV)
Specificiteit van controles
10 voorgeschreven maatregelen, inclusief expliciete MFA-verplichting
93 controles, risicogebaseerde selectie; niet alle gelden voor elke organisatie
Boetes bij niet-naleving
Tot €10 miljoen of 2% van de wereldwijde omzet (essentiële entiteiten)
Verlies van certificering; geen financiële sancties vanuit de norm zelf

De drie lacunes die in de praktijk het meeste tellen zijn incidentmelding, aansprakelijkheid van het management en registratie. ISO 27001 zegt niets over het binnen 24 uur melden aan een overheidsinstantie na ontdekking van een incident. Het zegt niets over het persoonlijk verantwoordelijk houden van uw bestuur voor cyberbeveiligingsbeleid. En het vereist geen registratie bij een nationaal orgaan. Dit zijn NIS2-specifieke verplichtingen die een ISO 27001-programma, hoe volwassen ook, niet afdekt.

Veel voorkomende fout

Veel organisaties gaan ervan uit dat ISO 27001-certificering NIS2-naleving betekent. Dat is niet zo. Toezichthouders zoeken naar gedocumenteerde procedures voor incidentmelding, bewijs van managementtraining, door het bestuur goedgekeurde cyberbeveiligingsrisicomaatregelen en registratie. Een ISO 27001-certificaat alleen voldoet niet bij een audit op deze punten.

Als u al ISO 27001-certificering heeft

U staat er sterk voor, maar u bent er nog niet. Op basis van waar de meeste gecertificeerde organisaties staan, vallen de resterende NIS2-specifieke lacunes doorgaans in vier categorieën:

  • Procedure voor incidentmelding. Uw incidentresponsplan omvat vrijwel zeker niet de drietraps NIS2-meldingsvolgorde. U moet een stap voor regelgevende melding toevoegen met benoemde personen die verantwoordelijk zijn voor de vroegtijdige waarschuwing binnen 24 uur, en dit in een table-top oefening testen.
  • Managementtraining en documentatie. NIS2 artikel 20 vereist training op bestuursniveau over identificatie van cyberbeveiligingsrisico's en de impact ervan op bedrijfsvoering. Notulen van het bestuur en gestructureerde trainingsregistraties moeten dit expliciet aantonen.
  • Registratie. Entiteiten in het toepassingsgebied moeten zich registreren bij de relevante nationale bevoegde autoriteit. In Nederland coördineert het NCSC dit proces. ISO 27001 vraagt niet om deze stap.
  • MFA-toepassing. ISO 27001 bijlage A behandelt beheer van bevoorrechte toegang maar verplicht MFA niet zo expliciet als NIS2 artikel 21. Bekijk uw Verklaring van Toepasselijkheid en sluit de lacune als MFA nog geen gedocumenteerde controle is.

Voor een gecertificeerde organisatie is het dichten van deze lacunes een gerichte taak, geen transformatieproject. Een gefocuste lacuneanalyse kan binnen enkele weken precies aanwijzen wat er ontbreekt en een herstelplan opleveren.

Als u van nul begint

Uw instinct kan zijn om één kader te kiezen, dat af te ronden en dan het andere aan te pakken. Die volgorde verspilt substantiële inspanning. De documentatie, risicobeoordelingen, beleidsregels en controlebewijs die u voor NIS2 bouwt, zijn direct van toepassing op ISO 27001. Ze als afzonderlijke projecten draaien betekent hetzelfde werk twee keer doen.

In de praktijk

ISO 27001-certificering bovenop een goed gestructureerd NIS2-programma toevoegen kost ongeveer 20-30% meer inspanning. Ze als twee afzonderlijke programma's van nul starten verdubbelt dit doorgaans: u bouwt dezelfde risicobeoordelingen, beleidsregels en controlebewijs twee keer.

Als u in het toepassingsgebied van NIS2 valt, is die verplichting al actief. Begin daar. Maar structureer uw NIS2-programma van de eerste dag af aan via de managementsysteemaanpak van ISO 27001: een gedefinieerd toepassingsgebied, een formele risicobeoordeling, een Verklaring van Toepasselijkheid die uw controles in kaart brengt, en een gedocumenteerde verbeteringscyclus. Deze aanpak zorgt ervoor dat wanneer u klaar bent om ISO 27001-certificering na te streven, de certificeringsinstantie een programma beoordeelt dat al in volwassen vorm bestaat.

Een ISO 27001-programma gebouwd zonder NIS2 in gedachten laat nalevingslacunes open die herwerk vereisen. NIS2-eerst bouwen, met een ISO 27001-conforme structuur van het begin af, voorkomt dat.

Waar te beginnen: de lacuneanalyse

De eerste stap voor elke organisatie, ongeacht of ze bestaande controles, bestaande certificeringen of niets heeft, is een gestructureerde lacuneanalyse. Zonder één maakt u beslissingen op basis van aannames over uw eigen positie die zelden kloppen.

Een goede lacuneanalyse dekt drie zaken:

  1. Bevestiging van toepassingsgebied. Valt u binnen het bereik van NIS2? Welke categorie bent u (essentieel of belangrijk)? Heeft u zich geregistreerd bij de relevante nationale autoriteit? Dit is niet altijd vanzelfsprekend, met name voor gediversifieerde groepen die in meerdere sectoren actief zijn.
  2. Controle-mapping. Waar sluiten uw huidige controles, documentatie en processen aan op NIS2 artikel 21 en ISO 27001 bijlage A? Dit geeft een duidelijk beeld van wat u heeft, wat geformaliseerd moet worden en wat van de grond af moet worden gebouwd.
  3. Geprioriteerde herstelroadmap. Niet alles hoeft tegelijk te gebeuren. De lacuneanalyse moet een risicogesorteerde lijst van acties opleveren, met realistische tijdlijnen en resourceramingen, zodat u weloverwogen beslissingen kunt nemen over de volgorde.

Met die roadmap in handen kunt u één geïntegreerd programma bouwen dat u gelijktijdig naar zowel NIS2-naleving als ISO 27001-certificering beweegt, zonder inspanning te dupliceren of conflicterende documentatie te creëren.

Organisaties die met een voltooide lacuneanalyse en een gedocumenteerd herstelplan bij een NIS2-regelgevingsaudit komen, staan fundamenteel anders dan organisaties die zonder iets komen. Toezichthouders zoeken naar bewijs dat het management de verplichtingen serieus neemt. Een geloofwaardige roadmap is precies dat bewijs.

Veelgestelde vragen

Is NIS2 hetzelfde als ISO 27001?

Nee. NIS2 is een EU-richtlijn, een wettelijke verplichting die automatisch van toepassing is op organisaties in 18 sectoren. ISO 27001 is een internationale norm voor informatiebeveiligingsbeheersystemen (ISMS) die elke organisatie vrijwillig kan nastreven. NIS2 zegt wat u moet bereiken; ISO 27001 geeft u een gestructureerd systeem om dit te bereiken en aan te tonen.

Voldoet ISO 27001-certificering aan NIS2-naleving?

Niet volledig, maar het dekt het grootste deel van het terrein. ISO 27001 heeft betrekking op alle 10 artikel 21-beveiligingsmaatregelen. ISO 27001 omvat echter niet de specifieke 24-uurs meldingsvereiste van NIS2, de bepalingen voor persoonlijke aansprakelijkheid van het management of sectorspecifieke registratieverplichtingen. Een ISO 27001-gecertificeerde organisatie zit doorgaans 70-80% van de weg naar NIS2-naleving en heeft gerichte lacunewerk nodig om de resterende afstand te overbruggen.

Wat moeten we als eerste doen: NIS2 of ISO 27001?

Als u onder het bereik van NIS2 valt, is die verplichting al actief. Ze kan niet wachten. De meest efficiënte weg voor de meeste organisaties is om eerst NIS2-naleving na te streven, met behulp van een ISO 27001-conforme structuur van het begin af aan. Op deze manier wordt het werk dat u voor NIS2 doet de basis van uw ISO 27001-certificering, in plaats van twee parallelle programma's te draaien.

Moeten mkb-bedrijven zich zorgen maken over NIS2?

Organisaties met minder dan 50 medewerkers en minder dan €10 miljoen jaaromzet zijn in het algemeen vrijgesteld van de directe vereisten van NIS2. Grotere, onder NIS2 vallende bedrijven zijn echter verplicht de beveiliging van hun toeleveringsketen te beoordelen en te beheren. Dit betekent dat mkb-bedrijven die aan deze bedrijven leveren, via contracten beveiligingsvereisten zullen krijgen, zelfs zonder direct gereguleerd te worden.

Hoe lang duurt ISO 27001-certificering?

De meeste middelgrote organisaties doen er 9 tot 18 maanden over om voor het eerst ISO 27001-certificering te behalen. De tijdlijn hangt af van de volwassenheid van uw bestaande beveiligingscontroles, de reikwijdte van het ISMS en hoe snel uw team processen en bewijsstukken kan documenteren. Een ervaren adviesbureau kan deze tijdlijn aanzienlijk verkorten door veelgemaakte fouten te vermijden en het programma efficiënt te structureren.

Lacuneanalyse-workshop

Weet u niet waar uw NIS2- of ISO 27001-lacunes zitten?

Onze lacuneanalyse-workshop geeft u een duidelijk, geprioriteerd beeld van wat u heeft, wat u mist en de snelste weg naar naleving.

Workshop boeken Onze nalevingsdiensten

Vrijwaring: Dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie over de nauwkeurigheid of volledigheid van deze inhoud, die mogelijk niet de meest recente regelgevende ontwikkelingen weerspiegelt. Lezers dienen onafhankelijk juridisch en regelgevend advies in te winnen dat geschikt is voor hun specifieke omstandigheden. Cyvra aanvaardt geen aansprakelijkheid voor enig verlies dat voortvloeit uit het vertrouwen op deze inhoud.