Veel organisaties die NIS2 in beeld krijgen, hebben al een werkend ISO 27001 framework. Goed nieuws: een aanzienlijk deel van de NIS2 zorgplichten overlapt met de Annex A controls van ISO 27001. Slecht nieuws: het is geen één op één relatie. NIS2 voegt specifieke punten toe die in ISO 27001 niet of lichter staan.
Waar de overlap zit
Risicobeheer (clausule 6 ISO 27001) sluit grotendeels aan op artikel 21 lid 2(a) van NIS2. Incident response, business continuity, toegangsbeheer, cryptografie en awareness training zijn in beide aanwezig en met enige inspanning te koppelen. Voor organisaties die ISO 27001 al hebben ingericht, scheelt dit zestig tot tachtig procent van de NIS2 implementatielast.
Waar de echte gaps zitten
Supply chain veiligheid is onder NIS2 strenger uitgewerkt dan in ISO 27001. De meldplichtprocedure in drie stappen (24 uur, 72 uur, één maand) is nieuw en vraagt apart proces. Bestuurdersaansprakelijkheid en de bijhorende rapportageritmes hoeven onder ISO 27001 niet vastgelegd te zijn op het niveau dat NIS2 verwacht. En voor sommige sectoren (digitale infrastructuur, MSP's) zijn er aanvullende specifieke verplichtingen.
Wat wij voor u doen
Wij maken een mappingdocument tussen uw bestaande ISO 27001 controls en NIS2 artikel 21. Per zorgplicht is duidelijk of u 'klaar', 'aanvullen' of 'nieuw inrichten' bent. Plus een actieplan dat alleen ingaat op de echte gaps, niet op wat u al heeft. Voor organisaties die parallel hun ISO 27001 certificering willen vernieuwen kunnen we beide trajecten in één lopen.
Plan een eerste gesprek via het formulier hieronder. Verwant: NIS2 en DORA voor finance, ISO 27001 consultant.
Verwant: ZZP NIS2 consultant, NIS2 voor transport en logistiek.