NIS2 vs ISO 27001: hoe je certificering de NIS2-eisen afdekt

NIS2 is een wettelijke verplichting voor 18 sectoren, ISO 27001 is een vrijwillig internationaal keurmerk voor informatiebeveiliging. Ze overlappen voor circa 70 procent: een ISO 27001-gecertificeerde organisatie heeft de meeste artikel 21-maatregelen al ingericht. Wat ISO 27001 niet afdekt: de specifieke NIS2-meldketen (24/72 uur naar CSIRT), de verplichte bestuurstraining, registratie bij de toezichthouder en aangescherpte toeleveringsketen-eisen. In dit artikel werken we de mapping per artikel 21-maatregel uit, vergelijken we beide raamwerken in een tabel en presenteren we een combinatie-strategie voor Nederlandse organisaties.

Snel overzicht: vijf verschillen op een rij

ISO 27001 als basis voor NIS2: wat dekt het wel

Een geldige ISO 27001:2022-certificering geeft directe dekking voor de meeste artikel 21-maatregelen. De ISMS-aanpak (Information Security Management System) overlapt sterk met NIS2’s risicogebaseerde, proportionele benadering. Annex A van ISO 27001:2022 bevat 93 controls verdeeld over vier thema’s: organisatorisch, personeel, fysiek en technologisch.

• Risicoanalyse en beleid (NIS2 #1): volledig gedekt door ISO 27001 clausules 6.1, 8.2, 8.3
• Incidentenbehandeling (NIS2 #2): gedekt door Annex A 5.24-5.28, behalve de specifieke NIS2-meldketen
• Bedrijfscontinuiteit (NIS2 #3): gedekt door Annex A 5.29-5.30 plus ISO 22301 voor verdieping
• Toeleveringsketen (NIS2 #4): gedekt door Annex A 5.19-5.23, mogelijk aanscherping nodig voor kritieke leveranciers
• Secure development (NIS2 #5): gedekt door Annex A 8.25-8.34
• Effectiviteitsbeoordeling (NIS2 #6): volledig gedekt door clausule 9 (interne audits, directiebeoordeling)
• Awareness en training (NIS2 #7): gedekt door clausule 7.2-7.3 en Annex A 6.3, aanvulling nodig voor bestuurstraining
• Cryptografie (NIS2 #8): gedekt door Annex A 8.24
• Toegangsbeheer en assets (NIS2 #9): gedekt door Annex A 5.9-5.18, 6.1-6.8, 8.2-8.5
• MFA en beveiligde communicatie (NIS2 #10): gedekt door Annex A 8.5, 5.14, mogelijk aanscherping naar phishing-resistant MFA

ISO 27001 als basis voor NIS2: wat dekt het NIET

Er zijn vijf specifieke NIS2-elementen die ISO 27001 standaard niet of niet volledig adresseert. Dit zijn de delta-onderwerpen waar je extra werk moet leveren bovenop je bestaande ISMS.

• Externe meldketen 24/72 uur/1 maand: NIS2 schrijft een strikte meldcadens voor naar het sectorale CSIRT en NCSC. ISO 27001 vereist intern incident management maar geen specifieke externe meldtermijnen aan overheidsinstanties
• Verplichte bestuurstraining: NIS2 artikel 20 legt expliciet aan bestuurders training-eisen op. ISO 27001 vraagt management commitment (clausule 5) maar geen specifieke training
• Registratieplicht: NIS2 verplicht entiteiten tot registratie bij de toezichthouder. ISO 27001 heeft geen overheids-registratie
• Toeleveringsketen-strenge eisen: NIS2 verlangt contractuele meldingseisen aan kritieke leveranciers. ISO 27001 is breder maar minder specifiek over CSIRT-meldketen-doorwerking
• Persoonlijke bestuursaansprakelijkheid: NIS2 verbindt het ISMS aan persoonlijke aansprakelijkheid. ISO 27001 kent geen vergelijkbare juridische doorwerking

Mappingtabel: 10 NIS2-maatregelen naar ISO 27001 Annex A

Combinatie-aanpak: ISO 27001 + NIS2-deltaproject

Voor organisaties die al ISO 27001-gecertificeerd zijn, is een NIS2-deltaproject van acht tot tien weken realistisch. De aanpak in vier fases:

1. Week 1-2: scope en gap-assessment tegen de tien artikel 21-maatregelen, met je bestaande ISMS-documentatie als basis
2. Week 3-5: delta-implementatie CSIRT-meldketen in incident response procedure, bestuurstraining opzetten en uitvoeren, leverancierscontracten aanpassen
3. Week 6-7: documentatie en governance registratie voorbereiden, risicoregister updaten met NIS2-specifieke risico’s, directiebeoordeling agenderen
4. Week 8-10: verificatie tabletop-oefening incident response, audit-rapport opstellen, eventueel externe gap-assessment

Voor organisaties zonder ISO 27001 is de keuze: tegelijk ISO 27001 en NIS2 implementeren (4-6 maanden, certificering ongeveer 9 maanden) of NIS2-only met ISO 27001 als latere stap. Onze ervaring: parallelle implementatie is efficienter, omdat dezelfde controls allebei dekken.

Wat NEN 7510 hieraan toevoegt voor de zorg

NEN 7510:2024 is de Nederlandse norm voor informatiebeveiliging in de zorg. Het bouwt voort op ISO 27001 met specifieke aanvullingen voor patientgegevens, medische apparatuur en zorginhoudelijke continuiteit. Voor zorginstellingen die onder NIS2 vallen geldt:

• NEN 7510 dekt nog meer NIS2-eisen dan ISO 27001 alleen, met name op het gebied van patient-impact in incident management
• Combinatie NEN 7510 + NIS2: 80-85 procent overlap, deltaproject typisch 6-8 weken
• IGJ als toezichthouder: de IGJ houdt toezicht op zorgaanbieders onder NIS2, parallel aan haar toezicht onder NEN 7510 en de Wkkgz

Dxfferent begeleidt zorginstellingen al meer dan tien jaar bij NEN 7510 en heeft een dedicated NIS2-zorgaanpak ontwikkeld voor ziekenhuizen, GGZ-instellingen en zorgleveranciers.

Volgorde-advies: eerst ISO, dan NIS2, of parallel?

Drie scenario’s, drie adviezen:

• Je hebt al ISO 27001: doe een NIS2-deltaproject van 8-10 weken. Behoud ISO als basis voor je ISMS
• Je hebt geen ISO 27001 en NIS2-deadline staat onder druk: implementeer parallel. De gedeelde controls verkleinen het werk per traject. Reken op 4-6 maanden voor werkbaar NIS2 + ISO 27001-klaar zijn
• Je hebt geen ISO 27001 en wilt eerst NIS2 op orde: NIS2-only is mogelijk, maar mist het externe keurmerk en de structurele ISMS-discipline. Aan te raden om binnen 12 maanden alsnog ISO 27001 te certificeren

De parallel-aanpak heeft een onderschat voordeel: ISO 27001-certificering door een geaccrediteerde auditor levert objectief bewijs van volwassenheid dat bij NIS2-toezicht meeweegt als verzachtende omstandigheid.

NIS2-deltaproject in vier concrete fases

Een gestructureerd deltaproject vanaf ISO 27001 doorloopt vier fases. Voor middelgrote Nederlandse organisaties (50-250 FTE) is dit doorgaans haalbaar binnen acht tot tien weken, met een gemiddelde interne inspanning van 250-400 uur en 15.000-30.000 euro externe begeleidingskosten.

1. Fase 1 (week 1-2): gap-assessment tegen artikel 21. Mapping bestaande ISMS-documentatie tegen NIS2-eisen, identificatie delta-onderwerpen, opstellen prioriteitenplan met effort-inschatting
2. Fase 2 (week 3-5): implementatie CSIRT-meldketen integreren in incident response procedure, bestuurstraining ontwerpen en uitvoeren, contractuele aanpassingen voor kritieke leveranciers, eventueel aanscherping MFA op admin-accounts
3. Fase 3 (week 6-7): documentatie en governance risicoregister updaten met NIS2-specifieke risico’s, registratie-dossier voorbereiden, beleid en procedures publiceren, directiebeoordeling agenderen
4. Fase 4 (week 8-10): verificatie tabletop-oefening incident response op NIS2-scenario, hersteltest backups, interne audit-rapport tegen artikel 21, eventueel externe assurance

Hoe dxfferent ISO 27001-klanten naar NIS2-compliance brengt

Onze NIS2-deltaprojecten voor ISO 27001-gecertificeerde organisaties volgen een gestandaardiseerd 8-weken-traject. We brengen de mapping in kaart, voeren de delta-implementatie uit, leveren een audit-rapport voor je bestuur en je toezichthouder, en blijven beschikbaar voor incidentmelding en doorlopend onderhoud.

Voor organisaties die parallel willen: ISO 27001-implementatietraject van 6 maanden inclusief NIS2-delta, gevolgd door externe certificering door een geaccrediteerd certificeringsinstituut. Plan een vrijblijvende intake van 30 minuten via onze contactpagina.

Praktijkvoorbeeld: van ISO 27001 naar NIS2 in 9 weken

Een Nederlandse MSP (110 FTE, 18 miljoen euro omzet, essentiele entiteit) had eind 2024 een geldige ISO 27001:2022-certificering en wilde NIS2-klaar zijn voor inwerkingtreding Cyberbeveiligingswet. Het traject duurde 9 weken en zag er als volgt uit:

• Week 1-2: NIS2-gap-assessment, mapping bestaande ISMS-documentatie tegen artikel 21. Resultaat: 11 echte gaps, 6 documentatie-aanvullingen
• Week 3-4: CSIRT-meldketen in incident response procedure verankerd, contactgegevens RDI/NCSC vastgelegd, escalatie-flow getekend
• Week 4-5: bestuurstraining over NIS2 (4 uur, met externe trainer), gedocumenteerd in trainingsregister
• Week 5-7: top-10 leveranciers herzien, nieuwe contractclausules opgesteld, addenda verstuurd naar 28 leveranciers
• Week 7-8: tabletop-oefening incident response uitgevoerd op realistisch ransomware-scenario
• Week 8-9: directiebeoordeling, audit-rapport opgesteld, klaar voor RDI-registratie

Totale kosten interne uren: ongeveer 320 uur projectteam plus 40 uur bestuur. Externe begeleidingskosten: 22.000 euro. Geen extra tooling nodig dankzij bestaande ISMS-infrastructuur.

Wanneer ISO 27001 onvoldoende is

Niet elke ISO 27001-certificering is gelijkwaardig. Drie signalen dat je certificering meer aanpassing nodig heeft dan een standaard deltaproject:

• Scope-mismatch: je ISO 27001-scope dekt alleen een deel van de organisatie. Voor NIS2 moet je scope alle kritieke processen omvatten
• Verouderde Annex A versie: ISO 27001:2013 is verouderd; voor NIS2-compliance werk je beter met de 2022-versie die moderne controls heeft (cloud security, threat intelligence, secure development)
• ISMS op papier: als de certificering minimaal is uitgevoerd zonder echte verankering in operatie, ben je formeel wel maar materieel niet ISO 27001-volwassen. NIS2-toezicht kijkt door dit heen

Veelgestelde vragen over NIS2 vs ISO 27001

Vervangt ISO 27001 NIS2?

Nee. ISO 27001 is een keurmerk; NIS2 is wettelijke verplichting. Een ISO 27001-certificaat ontslaat je niet van NIS2-verplichtingen, maar dekt wel 70 procent van de inhoudelijke eisen af.

Kan ik NIS2-compliant zijn zonder ISO 27001?

Ja. NIS2 schrijft geen certificering voor. Maar zonder een gestructureerd ISMS is NIS2-compliance moeilijker aantoonbaar bij toezicht.

Wordt mijn ISO 27001-audit ook NIS2-audit?

Nee. ISO 27001 audits worden uitgevoerd door geaccrediteerde certificeringsinstituten (zoals BSI, DNV, Lloyd’s Register). NIS2-toezicht ligt bij overheidstoezichthouders zoals RDI of IGJ. Dit zijn gescheiden circuits.

Helpt mijn ISO 27001-certificaat tegen NIS2-boetes?

Indirect ja. Een geldig ISO 27001-certificaat is bewijs van volwassenheid en weegt mee als verzachtende omstandigheid bij boete-bepaling. Het is echter geen vrijwaring.

Wat is duurder: NIS2 of ISO 27001?

ISO 27001-traject inclusief externe certificering kost typisch 35.000 tot 75.000 euro voor MKB-organisaties. NIS2-deltaproject vanaf ISO 27001 ligt rond 15.000 tot 30.000 euro. Beide tegelijk parallel kost 45.000 tot 85.000 euro maar levert tweemaal de waarde.

NIS2 controls gemapt op ISO 27001 (per proces-gebied)

Onderstaande mapping toont per NIS2 procesgebied welke ISO 27001:2023 controls de eisen afdekken. Wat we in audits zien: organisaties met een werkend ISMS hebben gemiddeld 70-80% van de NIS2-eisen al afgedekt — het is meer een hermapping dan een nieuw traject.

Beleid & Governance

Organisatie & HR

Toegangsbeheer & Accounts

Leveranciers & Cloud

Incidentmanagement

Bewustwording & Training

Fysieke Beveiliging & Apparatuur

Technische IT-beveiliging

De resterende 20-30% zit vooral in twee gebieden: incident reporting (24/72-uurs notificatieplicht aan RDI/NCSC) en supply chain security. Voor MSP’s zit daar het meeste werk in het hermappen van bestaande SLA-eisen op leveranciers.