Waarom een vergelijking ISO 27001 en NIS2?
Veel organisaties die werken aan ISO 27001 certificering vragen zich af hoe dit zich verhoudt tot de NIS2-richtlijn (in Nederland: de Cyberbeveiligingswet). Andersom worstelen organisaties die onder NIS2 vallen met de vraag of ISO 27001 certificering voldoende is om aan de wettelijke eisen te voldoen. Het korte antwoord: er is significante overlap, maar ook wezenlijke verschillen.
De fundamentele verschillen
Aard van het framework: ISO 27001 is een vrijwillige internationale standaard die organisaties kunnen kiezen te implementeren en certificeren. NIS2 is EU-wetgeving die een wettelijke verplichting oplegt aan organisaties in aangewezen sectoren. Dit verschil is fundamenteel: bij ISO 27001 kiest u zelf de scope, bij NIS2 bepaalt de wetgever of u eronder valt.
Handhaving: ISO 27001-certificering wordt beoordeeld door een onafhankelijke certificerende instelling. Het ergste dat kan gebeuren bij non-compliance is verlies van uw certificaat. Bij NIS2 handhaaft de overheid (in Nederland het NCSC en sectorale toezichthouders) en kunnen boetes oplopen tot €10 miljoen of 2% van de mondiale jaaromzet. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld.
Scope: ISO 27001 is toepasbaar op iedere organisatie wereldwijd. NIS2 richt zich specifiek op essentiële en belangrijke entiteiten in 18 aangewezen sectoren binnen de EU. NIS2 stelt expliciet eisen aan incidentmelding (24 uur voor eerste melding) en ketenverantwoordelijkheid die ISO 27001 niet kent in dezelfde vorm.
De overlap: waar komen ze samen?
De risicogebaseerde aanpak is het hart van beide frameworks. ISO 27001 vereist een formele risicobeoordeling en -behandeling. NIS2 artikel 21 eist eveneens een risicogebaseerde aanpak voor cyberbeveiligingsmaatregelen. Een goed functionerend ISMS volgens ISO 27001 dekt circa 70–80% van de NIS2-eisen af.
Concrete overlappende gebieden zijn onder meer beleid en governance voor informatiebeveiliging, risicobeheer en risicobeoordeling, incidentbeheer en -respons, business continuity en crisismanagement, toegangsbeheer en authenticatie, leveranciersbeheer, training en bewustwording, en technische beveiligingsmaatregelen zoals encryptie en logging.
Wat vereist NIS2 bovenop ISO 27001?
De belangrijkste aanvullende NIS2-eisen die niet standaard in ISO 27001 zitten zijn de meldplicht voor incidenten (24 uur voor initiële waarschuwing, 72 uur voor volledige melding, 30 dagen voor eindrapport), de bestuurdersverantwoordelijkheid (bestuurders moeten cybersecuritymaatregelen goedkeuren en zijn persoonlijk aansprakelijk), specifieke eisen aan supply chain security (diepgaander dan ISO 27001 Annex A 5.19–5.23), en de verplichting tot het gebruik van Europese certificeringsschema's waar beschikbaar.
Strategische aanbeveling: combineer beide
Onze aanbeveling voor organisaties die onder NIS2 vallen: gebruik ISO 27001 als het fundament en vul de hiaten aan met NIS2-specifieke maatregelen. Dit biedt de beste combinatie van bewezen best practices (ISO 27001) en wettelijke compliance (NIS2). Organisaties die al ISO 27001-gecertificeerd zijn, hoeven doorgaans slechts 20–30% extra inspanning te leveren voor volledige NIS2-compliance.
Voor organisaties die nog niet gecertificeerd zijn, is het efficiënt om beide trajecten parallel te lopen. Het ISMS dat u opbouwt voor ISO 27001 vormt de backbone van uw NIS2-compliance. Ons GRC-platform ondersteunt beide frameworks vanuit één centraal dashboard, zodat dubbel werk wordt voorkomen.
Hoe helpt iso2700x.nl?
Onze consultants zijn zowel ISO 27001 Lead Auditor als NIS2-specialist. Wij begeleiden organisaties bij de gecombineerde aanpak, zodat u met één traject aan beide frameworks voldoet. Neem contact op voor een gratis adviesgesprek over de optimale strategie voor uw organisatie.