Een ISO 27001 gecertificeerde organisatie dekt naar schatting zeventig procent van de NIS2-maatregelen al af. Dat is een goede basis, maar zeventig procent is geen compliance. De gaten zitten op drie specifieke domeinen waar veel CISO's verrast door worden: de incidentmeldtermijnen van 24 en 72 uur, de inhoudelijke supply chain risicobeoordeling en de persoonlijke bestuurdersaansprakelijkheid. Dit artikel zet beide kaders naast elkaar, mapt de tien maatregelen van artikel 21 NIS2 op de Annex A controls van ISO 27001:2022, en eindigt met een concreet stappenplan om de gap te overbruggen.
~70%
overlap tussen ISO 27001:2022 en NIS2 artikel 21
3
NIS2 maatregelen waar ISO 27001 onvoldoende dekkend is
2-3 mnd
typische gap-bridge doorlooptijd bij ISO-gecertificeerde organisaties
Bron: vergelijking artikel 21 NIS2 met ISO/IEC 27001:2022 Annex A door consultant.nl praktijk
Kort antwoord
NIS2 is een Europese wet, ISO 27001 is een vrijwillige internationale norm. Ze versterken elkaar: een gecertificeerd ISMS dekt ongeveer zeventig procent van artikel 21 NIS2 af, maar laat drie gaten open. Supply chain risicobeoordeling (artikel 21 lid 2d), incidentmeldtermijnen (24 uur waarschuwing, 72 uur melding) en aantoonbare bestuurdersbetrokkenheid (artikel 20) vereisen extra invulling. ISO 27001 biedt op zijn beurt structuur (Statement of Applicability, jaarlijkse surveillance audits, certificatie) die NIS2 niet voorschrijft maar die het toezicht door autoriteiten wel veel makkelijker maakt.
De fundamentele opzet: wet versus norm
Het verschil is niet semantisch. NIS2 is sinds januari 2023 geldend EU-recht (Richtlijn (EU) 2022/2555) en wordt afgedwongen door nationale toezichthouders met bestuursrechtelijke sancties. Niet voldoen is niet legaal. ISO/IEC 27001:2022 is een internationale norm uitgegeven door ISO en IEC, certificering is vrijwillig, en de prikkel om te voldoen is commercieel en contractueel (klanten eisen het, RFPs vragen het).
Dat verschil heeft directe gevolgen voor scope, bewijslast en handhaving. NIS2 stelt vast voor wie het geldt via objectieve criteria (sector + omvang). ISO 27001 laat de organisatie zelf de scope van het ISMS bepalen. Bij NIS2 toetst een toezichthouder. Bij ISO 27001 toetst een geaccrediteerde certificerende instelling die jij betaalt. Een ISO 27001 certificaat is geen vrijbrief, een ISO 27001 audit-trail is wel een sterk uitgangspunt als de toezichthouder langskomt.
| Dimensie | ISO 27001:2022 | NIS2 |
|---|---|---|
| Type | Internationale norm (ISO/IEC) | EU-richtlijn 2022/2555 |
| Verplicht? | Vrijwillig, contractueel | Ja, voor entiteiten in scope |
| Scope | Door organisatie zelf bepaald | EU-uniform via sector + omvang |
| Certificering | Door geaccrediteerde CI | Geen certificering, wel handhaving |
| Toezicht | CI + jaarlijkse surveillance | Nationale autoriteit (DTC, RDI, sectoraal) |
| Sancties | Verlies certificaat | Boete tot 10 mln of 2% jaaromzet, bestuursverbod |
| Incidentmelding | Intern proces, geen termijn | 24u waarschuwing, 72u melding, 1 mnd eindrapport |
| Supply chain | A.5.19-A.5.23 (proces-georienteerd) | Artikel 21 lid 2d (inhoudelijke risicobeoordeling) |
| Bestuursbetrokkenheid | Top management commitment | Persoonlijk aansprakelijk, verplichte training |
Mapping artikel 21 NIS2 op Annex A controls
De praktische vraag voor iedere ISO 27001 gecertificeerde CISO: welke artikel 21 maatregelen heb ik al gedekt en welke niet? De onderstaande mapping is gebaseerd op de letterlijke tekst van artikel 21 lid 2 Richtlijn (EU) 2022/2555 en Annex A van ISO/IEC 27001:2022.
| Artikel 21 NIS2 | Annex A controls 27001:2022 | Dekking | Extra werk voor NIS2 |
|---|---|---|---|
| a. Risicoanalyse en beleid | Clause 6.1, A.5.1 | Volledig | Geen |
| b. Incidentbehandeling | A.5.24-A.5.28 | Gedeeltelijk | 24u/72u meldproces naar autoriteit toevoegen |
| c. Bedrijfscontinuïteit | A.5.29-A.5.30 | Volledig | Geen |
| d. Supply chain security | A.5.19-A.5.23 | Beperkt | Inhoudelijke risicobeoordeling per kritieke leverancier |
| e. Veilig ontwikkelen en onderhouden | A.8.25-A.8.28 | Volledig | Geen |
| f. Effectiviteit beoordelen | Clause 9 | Volledig | Geen |
| g. Cyberhygiëne en training | A.6.3 | Beperkt | Verplichte bestuurstraining + inhoudelijke toets |
| h. Cryptografie | A.8.24 | Volledig | Geen |
| i. Personeel en toegang | A.6, A.5.9-A.5.12 | Volledig | Geen |
| j. MFA en beveiligde communicatie | A.8.5 | Volledig | Geen |
Mapping op basis van artikel 21 lid 2 Richtlijn (EU) 2022/2555 en Annex A ISO/IEC 27001:2022. Niet bedoeld als juridisch advies.
Uit de praktijk
CISO's denken vaak dat hun A.5.19 supplier policy NIS2-supply-chain-conform is. Dat klopt niet. ISO 27001 vraagt een proces, NIS2 vraagt inhoudelijk geprioriteerd risicomanagement per kritieke leverancier inclusief contractuele eisen die je kan handhaven. Een vragenlijst rondsturen is geen risicobeoordeling.
Wat ISO 27001 niet vraagt maar NIS2 wel
De drie domeinen waar zelfs een goed geïmplementeerd ISMS doorgaans tekort schiet:
- 24u/72u incidentmeldtermijnen aan de autoriteit. ISO 27001 vereist een incidentmeldproces (A.5.24-A.5.25) maar geen externe meldtermijn. NIS2 artikel 23 vereist een vroege waarschuwing binnen 24 uur en een uitgebreidere melding binnen 72 uur na detectie. De klok loopt vanaf detectie, niet vanaf escalatie naar het management. Dit raakt detection engineering, communicatie en juridisch tegelijk.
- Inhoudelijke supply chain risicobeoordeling. Annex A.5.19-A.5.23 vraagt beleid en evaluatie van leveranciers. Artikel 21 lid 2d vraagt aanvullend een inhoudelijke risicoanalyse die kwetsbaarheden in de keten identificeert en mitigerende maatregelen contractueel afdwingt. Het verschil is de diepte: vragenlijsten versus pen-test resultaten en architectuurreviews bij kritieke leveranciers.
- Bestuurdersaansprakelijkheid en verplichte training. ISO 27001 vraagt top management commitment (clause 5.1). Artikel 20 NIS2 maakt bestuurders persoonlijk aansprakelijk voor de uitvoering van risicomaatregelen en verplicht inhoudelijke training. Een handtekening onder het ISMS-beleid is niet hetzelfde als aantoonbare kennis van cyberrisico's en uitvoeringstoezicht.
Wat ISO 27001 wel biedt boven NIS2
De omgekeerde vraag is even belangrijk. NIS2 zegt nergens dat je een Statement of Applicability moet maken, jaarlijkse interne audits moet plannen of een certificaat moet behalen. Maar als de toezichthouder vraagt om bewijs van implementatie, helpt elke ISO-discipline. Wat ISO 27001 brengt en NIS2 niet voorschrijft:
- Statement of Applicability (SoA). Documenteert welke Annex A controls toepasbaar zijn, welke uitgesloten, en waarom. Goede SoA = goede audit-voorbereiding voor NIS2.
- Jaarlijkse surveillance audit door geaccrediteerde CI. Onafhankelijke toets, geeft management assurance. Toezichthouder waardeert dit als sterk signaal.
- Internal audit programme (clause 9.2). Verplicht jaarlijks. NIS2 vraagt zelfbeoordeling maar specificeert geen frequentie of methode.
- Risk treatment plan met expliciete acceptatie. Gedocumenteerde keuzes per risico, ondertekend door risk owner.
- Continual improvement (clause 10). Structurele PDCA-loop. NIS2 vraagt "passende maatregelen" maar geen verbeterprogramma.
Beslismodel: ik heb X, wat heb ik nog nodig?
-
Situatie 1. Geen ISO 27001, geen NIS2-implementatie
Begin met de NIS2 verplichtingen als prioriteit. Bouw daarbij parallel een ISMS-structuur volgens ISO 27001:2022. De NIS2 maatregelen zijn dan automatisch je SoA-basis. Doorlooptijd: zes tot negen maanden tot werkbaar niveau.
-
Situatie 2. ISO 27001 gecertificeerd, NIS2 nog niet
Voer een gap-analyse uit op de drie domeinen (supply chain, incidentmelding, bestuurstraining). Pas je ISMS aan, geen herstructurering nodig. Doorlooptijd: twee tot drie maanden.
-
Situatie 3. NIS2 geïmplementeerd, geen ISO 27001
Je hebt een sterke basis. ISO 27001 certificatie kost vooral werk in documentatie (SoA, beleidsdocumenten, interne audit programme). Doorlooptijd tot Stage 2 audit: drie tot zes maanden.
-
Situatie 4. ISO 27001 in voorbereiding
Integreer NIS2 direct in scope-bepaling en SoA. Een gecombineerd traject is sneller dan twee aparte trajecten, niet andersom. Wijs een lead aan die beide kaders kent.
60-dagen gap-bridge voor ISO-gecertificeerde organisaties
Week 1-2
Scope check + gap audit
Bevestig val je onder NIS2 (essentiëel of belangrijk). Map huidige ISMS controls op artikel 21. Identificeer concreet wat je niet kunt aantonen voor de drie gap-domeinen.
Week 3-6
Bouw de drie ontbrekende stukken
Supply chain risicodossier voor top-10 kritieke leveranciers. Incident-meldproces met geoefend 24/72 uur regime. Bestuurstraining programma met aantoonbare opvolging.
Week 7-8
Tabletop + management review
Loop een ransomware-scenario door tot eerste meldroute, time-out na 24 uur en 72 uur. Bespreek uitkomst in management review, formaliseer registratie-intentie bij sectorale autoriteit.
Vijf valkuilen bij NIS2-bovenop-ISO 27001 trajecten
- SoA als bewijs van NIS2-compliance gebruiken. De SoA toont welke controls toepasbaar zijn, niet of artikel 21 NIS2 maatregelen aantoonbaar werken. Bouw een aparte traceability matrix van artikel 21 naar bewijsstukken.
- De jaarlijkse surveillance audit als NIS2-audit beschouwen. Een ISO-auditor toetst de norm, niet de wet. Verwacht dat de toezichthouder eigen onderzoek doet, op andere accenten.
- Incidentmelding pas regelen na een incident. Detectiebronnen moeten zodanig gekoppeld zijn aan een meldroute dat 24 uur haalbaar is. Veel SIEM-implementaties detecteren wel, maar escalatie naar CISO en juridisch loopt te traag.
- Supply chain afhandelen via een 1-page leveranciersvragenlijst. Voor top-10 kritieke leveranciers verwacht NIS2 inhoudelijke analyse: certificaten, pen-test resultaten, architectuurreviews, contractuele afspraken met SLA en recht op audit.
- Bestuurstraining outsourcen aan compliance team. Artikel 20 vraagt dat bestuurders zelf voldoende kennis hebben om cyberrisico's te beoordelen. Een e-learning van 30 minuten kwalificeert niet.
Wil je deze gap-bridge laten leiden door iemand die beide kaders kent? Onze ISO 27001 consultant-pagina toont specialisten met ervaring in zowel norm als wet. Voor zuiver NIS2 implementatietrajecten met sectorervaring is er de NIS2 consultant-pagina.
Veelgestelde vragen
Is ISO 27001 certificering verplicht onder NIS2?
Nee. NIS2 schrijft maatregelen voor, geen certificatie-route. ISO 27001 is een efficiënte manier om die maatregelen te organiseren, maar je kunt aan NIS2 voldoen zonder certificaat. Sommige lidstaten kunnen voor specifieke sectoren wel certificering eisen, controleer dit bij de sectorale toezichthouder.
Welke gap-domeinen zijn het grootst voor ISO 27001 organisaties?
In volgorde van inspanning: supply chain (artikel 21 lid 2d), externe incidentmeldtermijnen (artikel 23) en bestuurdersbetrokkenheid (artikel 20). De technische controls zoals MFA en encryptie zijn meestal al op orde via Annex A.8.5 en A.8.24.
Kan een ISO 27001 auditor mij NIS2 toetsen?
Niet formeel. Een geaccrediteerde CI toetst de norm in de context van jouw ISMS-scope. NIS2 wordt door nationale autoriteiten getoetst tegen de wet. Wel kan een ISO-auditor de NIS2-aspecten in scope nemen als je dat afspreekt, maar het oordeel is dan informeel.
Wat is de beste integratiestrategie?
Maak NIS2-artikel 21 mappping onderdeel van je SoA. Voeg een tabel toe waarin je per artikel 21 maatregel verwijst naar de relevante Annex A controls plus extra bewijsstukken. Hou interne audit programme planning af op NIS2-domeinen die geen 1:1 mapping hebben.
Geldt ISO 27001:2022 of mag ik ISO 27001:2013 nog gebruiken?
De transitieperiode naar ISO 27001:2022 liep tot oktober 2025. Certificaten op basis van de 2013 versie zijn na die datum niet meer geldig. Voor de NIS2 mapping gebruik je sowieso de 2022 controls (93 stuks ipv 114 in 2013).
Werkt dezelfde strategie ook voor SOC 2 of NEN 7510?
Voor SOC 2 (type 2): de Trust Service Criteria overlappen voor circa zestig procent met artikel 21. NEN 7510 voor de zorg overlapt voor circa vijfenzestig procent. In beide gevallen geldt: technische overlap is groot, NIS2-specifieke onderwerpen (supply chain diepte, externe meldtermijn, bestuur) vragen apart werk.
