Demo aanvragenDemo
NIS2

Van ISO 27001 naar NIS2-compliant, wat je extra moet inrichten

Een ISO 27001-certificaat is een sterke startpositie voor NIS2, maar geen voldoende voorwaarde. Wat de wet bovenop het kader vraagt en hoe je de gap structureel dicht.
15 mei 2026 13 min leestijd
NIS2ISO 27001Cyberbeveiligingswet

Voor veel organisaties is ISO 27001 het meest volwassen onderdeel van hun security-huishouding. Beleid is geschreven, controls zijn geimplementeerd, jaarlijkse surveillance audits lopen, en het managementsysteem leeft. De vraag die we sinds 2024 wekelijks krijgen: “We zijn ISO 27001 gecertificeerd, betekent dat dat we ook NIS2-compliant zijn?”

Het korte antwoord is nee. Het langere antwoord is dat een ISO 27001-certificaat een hele sterke startpositie is, dat 70 tot 80% van de NIS2-eisen er al uit voortvloeit, maar dat NIS2 op een aantal specifieke onderdelen verder gaat dan het ISO-kader. En, belangrijker, dat NIS2 fundamenteel anders van karakter is: het is wetgeving, geen certificering. Dat verschil gaat verder dan semantiek en heeft impact op hoe je je ISMS inricht.

In dit artikel zetten we systematisch neer wat ISO 27001 al levert, waar NIS2 expliciet verder gaat, en hoe je vanuit een bestaande ISO 27001-basis een werkbare NIS2-implementatie bouwt zonder een tweede compliance-administratie te creeren.

Eerst het verschil in karakter

ISO 27001 is een internationale standaard waaraan je je vrijwillig kunt onderwerpen, met een certificaat als bewijs. NIS2 is een Europese richtlijn, in Nederland geimplementeerd in de Cyberbeveiligingswet (Cbw). De Tweede Kamer nam die in april 2026 aan; na instemming van de Eerste Kamer wordt inwerkingtreding medio 2026 verwacht, waarna de Cbw de Wbni vervangt. De wet legt voor specifieke sectoren rechtstreeks verplichtingen op. Het verschil heeft praktische gevolgen.

  • Toezicht. ISO 27001 wordt getoetst door een certificerende instelling die op afstand staat van de wet. NIS2 wordt gehandhaafd door een sectortoezichthouder (in Nederland onder meer de Rijksinspectie Digitale Infrastructuur, sectorspecifieke toezichthouders voor zorg, energie, transport, financien) met bevoegdheid tot last onder dwangsom en bestuursrechtelijke boetes.
  • Sancties. Een ontbrekend certificaat heeft geen directe geldelijke gevolgen. Een NIS2-overtreding kan tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet kosten (essentiele entiteiten), of EUR 7 miljoen of 1,4% (belangrijke entiteiten).
  • Persoonlijke aansprakelijkheid. ISO 27001 spreekt over directieverantwoordelijkheid in algemene termen. NIS2 artikel 20, en de Nederlandse Cbw, maken het persoonlijk: bestuurders kunnen aansprakelijk worden gesteld voor het niet treffen van passende maatregelen.
  • Inhoudelijke scope. ISO 27001 laat veel ruimte voor risk appetite en argumentatie. NIS2 noemt expliciet de minimale maatregelen die genomen moeten worden (artikel 21 lid 2), met minder ruimte voor “we hebben dat risico geaccepteerd”.

Het is dus geen kwestie van NIS2 als certificeringsupgrade behandelen. Het is een operationele en juridische bovenlaag die op je bestaande ISMS gelegd moet worden.

Wat ISO 27001 al voor je doet

Een gezond ISO 27001 ISMS levert direct een substantieel deel van de NIS2-verplichtingen. De vier grote categorieen waar ISO 27001 (en de bijbehorende ISO 27002:2022 control-set) recht door je NIS2-eisenpakket heen snijden:

1. Informatieveiligheidsbeleid en risicobeheer. ISO 27001 clause 5, 6 en 7 vragen om beleid, risk assessment en risk treatment. NIS2 artikel 21 lid 2(a) vraagt om “beleid voor risicoanalyse en informatiesysteembeveiliging”. Wie een actueel risk treatment plan heeft, levert die voor NIS2 zonder hertaling.

2. Toegangsbeheer en identiteitsmanagement. ISO 27002:2022 5.15 t/m 5.18 dekken access control, identity management, authentication information en access rights. NIS2 artikel 21 lid 2(i) en 2(j) dekken dit terrein vrijwel identiek.

3. Incidentafhandeling en bedrijfscontinuiteit. ISO 27002:2022 5.24 t/m 5.30 (incident management cycle, ICT readiness for BC) en NIS2 artikel 21 lid 2(b) en 2(c) (incident handling, business continuity) overlappen substantieel.

4. Leveranciersrelaties. ISO 27002:2022 5.19 t/m 5.23 (supplier relationships, addressing security in supplier agreements, monitoring supplier services, cloud services) sluiten aan op NIS2 artikel 21 lid 2(d).

Maar binnen elk van deze vier overlappende gebieden zitten accentverschillen, en daar gaat het mis als je aanneemt dat ISO 27001 voldoende is. Hieronder per gebied wat je moet aanvullen, plus de gebieden die NIS2 echt nieuw introduceert.

Vier accentverschillen die je moet adresseren

1. Bestuurlijke betrokkenheid van ondertekening naar sturing

Onder ISO 27001 ondertekent de directie het informatiebeveiligingsbeleid en het Statement of Applicability. Dat is voldoende voor het certificaat. Onder NIS2 wordt verwacht dat de leiding actief bij de cybersecurity-besluitvorming betrokken is. Concreet:

  • Cybersecurity moet een vast agendapunt zijn in de governance-cyclus.
  • Het bestuur moet aantoonbare training hebben gehad over cybersecurity-risico’s en passende maatregelen.
  • Het bestuur moet de risicoanalyse en het risicobehandelplan actief goedkeuren, niet alleen achteraf ondertekenen.
  • Materiele cybersecurity-investeringen moeten bestuurlijk worden afgewogen.

In de praktijk zien we dat dit het lastigste onderdeel is om in te halen. Niet omdat training onmogelijk te organiseren is, maar omdat het een cultuuromslag vraagt. Een RvB die cybersecurity altijd heeft gedelegeerd aan de CISO of CIO, moet ineens zelf vragen kunnen beantwoorden over risk appetite, supply chain afhankelijkheden, en incident response readiness.

Concrete actie: voeg cybersecurity toe als vast kwartaalpunt op de bestuursagenda, organiseer een tabletop-oefening voor het bestuur (twee uur, met een realistisch scenario), en leg toezicht-eigenaarschap binnen de RvB bij een specifieke bestuurder vast.

2. Incident management van proces naar wettelijke meldplicht

ISO 27001 vraagt om een werkend incident management proces. NIS2 voegt daar een keiharde meldplicht aan toe in drie stappen.

  • 24 uur: early warning. Onverwijld na bekendwording. Beperkt tot wat je weet: er is een incident, dit is de impact zoals we hem nu zien, dit is wat we doen.
  • 72 uur: incident notification. Met initiele beoordeling van aard, ernst, impact en eventuele cross-border effecten.
  • 1 maand: final report. Met root cause, getroffen maatregelen en lessons learned.

Operationeel betekent dit dat je incident management proces drie verschillende meldpaden moet ondersteunen, vanuit dezelfde event-record. Wie alleen een 72-uurs meldproces heeft (zoals onder de AVG voor datalekken), mist de 24-uurs trigger structureel.

Daarnaast: meld je bij het juiste meldpunt. In Nederland zijn het NCSC en CSIRT-DSP sinds begin 2025 samengevoegd, en is per januari 2026 ook het Digital Trust Center daarin opgegaan, tot één nationaal CSIRT en meldpunt (NCSC). Sectortoezichthouders kunnen aanvullende meldplichten opleggen.

Concrete actie: pas je incident classificatie aan zodat NIS2-meldwaardigheid een expliciete trigger is, definieer per categorie de melder en goedkeurder, en oefen een 24-uurs early warning in een tabletop. Zonder oefening lukt het in een echte crisis niet.

3. Supply chain risk management

Hier ligt een van de grootste praktische gaps. ISO 27002:2022 5.19 t/m 5.21 gaan over leveranciersbeheer, vooral contractueel. NIS2 artikel 21 lid 2(d) vraagt om “beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten betreffende de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners”.

Dat betekent:

  • Actief risk management van kritische leveranciers, niet eenmalige due diligence.
  • Beoordeling van de cyberbeveiligingsmaatregelen van de leverancier zelf, niet alleen contractuele toezeggingen.
  • Doorlopende monitoring van veranderingen (overnames, datalekken bij de leverancier, certificering die wegvalt).
  • Compensating controls voor risico’s die contractueel niet zijn af te dekken.
  • Documentatie van de keten: weet je wie de sub-leveranciers van je kritische leveranciers zijn?

De ENISA-richtlijnen NIS2 maken duidelijk dat de Coordination Group, samen met de Commissie, gecoordineerde risicobeoordelingen van kritieke toeleveringsketens kan uitvoeren. Dat betekent dat je in je eigen risicoanalyse rekening moet houden met sector-brede afhankelijkheden, niet alleen je eigen vendor list.

Concrete actie: classificeer leveranciers op kriticiteit (impact bij uitval, toegang tot data, integratie met kritieke systemen), maak voor de top-X (afhankelijk van omvang, vaak 20 tot 50) een dieper risicodossier, en bouw een doorlopend monitoring-ritme. Quarterly review voor de top-10, jaarlijks voor de rest.

4. Cyber hygiene en multi-factor authentication

NIS2 artikel 21 lid 2(g) noemt expliciet “basismaatregelen voor cyberhygiene en cybersecuritytraining”. Lid 2(j) noemt “het gebruik van multi-factor authentication of continuous authentication-oplossingen, beveiligde stem-, video- en tekstcommunicatie en, indien van toepassing, beveiligde noodcommunicatiesystemen binnen de entiteit”.

ISO 27001 raakt deze onderwerpen wel, maar minder dwingend. Onder NIS2 zijn dit minimale verplichtingen, geen optionele controls.

Cyber hygiene betekent in de praktijk dat de basis op orde moet zijn: patch management, secure configuration, anti-malware, awareness, password policy, MFA. Niet als losse maatregelen, maar als geintegreerd hygiene-pakket waarvan je kunt aantonen dat het werkt.

Multi-factor authentication is onder NIS2 effectief verplicht voor alle privileged accounts en in toenemende mate voor alle accounts. Wie nu MFA alleen heeft voor admins en VPN, moet uitbreiding naar reguliere medewerkers plannen.

Concrete actie: voer een hygiene-audit uit (patch latency, configuratie-drift, awareness-coverage, MFA-coverage) en bouw daaruit een hygiene-baseline met meetbare doelen.

Wat NIS2 verder echt nieuw introduceert

Naast de accentverschillen zijn er gebieden waar NIS2 onderwerpen op tafel legt die in ISO 27001 niet of nauwelijks aan bod komen.

Cryptografie- en encryptiebeleid (artikel 21 lid 2(h)). ISO 27002:2022 8.24 raakt cryptografie, maar NIS2 vraagt om een expliciet beleid voor het gebruik van cryptografie en, waar relevant, encryptie. Voor veel organisaties betekent dit het schrijven van een aparte cryptografie-policy met scope (waar wel/niet), algoritme-keuzes, key management, en lifecycle.

Kwetsbaarhedenafhandeling en disclosure (artikel 21 lid 2(e)). ISO 27002:2022 8.8 raakt dit, maar NIS2 vraagt om een gestructureerd proces inclusief responsible disclosure voor externe melders. Een publiek meldkanaal (security.txt, contactadres), interne triage, en SLA’s per ernst-categorie.

Cybersecurity-training voor het bestuur (artikel 20). Dit is geen ISO-onderwerp en moet apart worden ingericht.

Sector-specifieke verplichtingen. Per sector kan de toezichthouder aanvullende eisen stellen. Voor financien is dat nauw verweven met DORA. Voor zorg met NEN 7510. Voor energie met sectorale richtlijnen. Een ISO 27001-certificaat dekt geen sector-specifieke NIS2-eisen automatisch.

Wat ISO 27002:2022 nieuw toevoegt dat NIS2 helpt

Een opmerkelijk pluspunt: de revisie van ISO 27002 in 2022 heeft elf nieuwe controls toegevoegd die direct aansluiten op NIS2. Wie de oude ISO 27002:2013 nog hanteert, mist deze. Drie zijn het noemen waard:

  • 5.7 Threat intelligence: actief monitoren van dreigingsinformatie. NIS2 vraagt impliciet om risicogebaseerd handelen op basis van actuele dreigingen.
  • 5.23 Information security for use of cloud services: gestructureerd cloud-risk management. NIS2 supply chain raakt hieraan.
  • 5.30 ICT readiness for business continuity: expliciete ICT-component in BCM. NIS2 artikel 21 lid 2(c) vraagt hierom.

Wie nog op de oude versie van ISO 27002 zit (wat na 2024 niet meer zou moeten), heeft een dubbele inhaalslag: eerst naar ISO 27002:2022, dan naar NIS2.

Een gap-analyse aanpak die werkt

Wij zien drie aanpakken in de markt, met heel verschillende uitkomsten.

Aanpak A: NIS2 als project naast ISO. Aparte projectleider, aparte spreadsheet, aparte werkgroep. Resultaat: dubbele administratie, ongelijke evidence, en na een jaar onhoudbaar.

Aanpak B: NIS2 als checklist binnen ISO. De CISO neemt artikel 21 erbij, vinkt af wat al gedekt is, en plant acties voor de gaps. Beter dan aanpak A, maar mist de governance-laag en de wettelijke implicaties.

Aanpak C: NIS2-gap binnen het bestaande risk-first model. Risico’s, domeinen en processen blijven leidend. NIS2 wordt als kader-mapping aan het model gekoppeld, naast ISO 27001 en alle andere relevante normen. Controls dekken meerdere kaders tegelijk. Bewijs hangt aan controls, niet aan kaders.

Aanpak C is de enige die in onze ervaring schaalbaar werkt. De stappen:

  1. Trek het bestaande ISO 27001 risk treatment plan erbij en evalueer per risico of de NIS2-verplichtingen voldoende zijn afgedekt. Dat doe je per domein, niet per artikel.
  2. Map elke NIS2-eis (artikel 21 lid 2 a t/m j, plus artikel 20, plus artikel 23 meldplicht) tegen je bestaande controls. Dit is geen klein werk, maar het is eenmalig. Markeer per eis: volledig gedekt, gedeeltelijk gedekt, niet gedekt.
  3. Voor “gedeeltelijk” en “niet gedekt”: definieer een actie. Gebruik de methodiek uit ons artikel over actieplannen: risico, domein, control, eigenaar, bewijs.
  4. Voeg governance-acties toe los van de controls. Bestuurstraining, agendapunt-discipline, oefening 24-uurs early warning, leveranciersclassificatie.
  5. Documenteer het mapping-bestand en houd het levend. Bij elke wijziging in NIS2-uitwerking (richtsnoeren ENISA, sectorale uitwerking) update je de mapping, niet de controls.

In een goed ingericht risk-first platform is dit aanzienlijk lichter werk dan in spreadsheets. De mapping van artikel 21 naar ISO 27002:2022 staat dan al vooringevuld, en je hoeft alleen de organisatie-specifieke risico’s en bewijs te verbinden.

Roadmap: zes en twaalf maanden

Een realistische tijdslijn voor een organisatie met een werkend ISO 27001 ISMS:

Maand 0 tot 3. Gap-analyse afronden. Bestuurstraining inplannen en eerste sessie houden. Incident management proces aanpassen voor 24-uurs early warning. Leveranciersclassificatie afronden voor top-10.

Maand 3 tot 6. Cryptografie-policy schrijven en goedkeuren. Vulnerability disclosure proces opzetten met publiek meldkanaal. MFA uitrol naar alle accounts plannen en starten. Risico-acties uit de gap-analyse aanvliegen.

Maand 6 tot 9. Tabletop-oefening 24-uurs early warning met bestuur en CSIRT. Eerste cyclus periodieke leveranciers-review uitvoeren. Bewijs van bestuurstraining en bestuurlijke betrokkenheid documenteren.

Maand 9 tot 12. Externe gap-assessment laten uitvoeren ter validatie. Resterende minor-acties afronden. Operationele rust en cyclisch onderhoud.

Wie sneller wil, kan dit comprimeren tot zes maanden, maar dan onder hoge druk en met de governance-laag als kwetsbaarheid. We adviseren niet om te knippen op de bestuurstraining of de tabletop-oefening, omdat juist dat de elementen zijn die in een echt toezichtonderzoek het verschil maken.

Vijf veelgemaakte fouten

Fout 1: aannemen dat ISO-certificering NIS2 dekt. Het dekt veel, niet alles, en zeker niet de governance- en meldplicht-eisen.

Fout 2: NIS2 alleen bij de CISO neerleggen. Bestuurlijke aansprakelijkheid betekent bestuurlijke betrokkenheid. Een CISO kan dat niet alleen organiseren.

Fout 3: supply chain reduceren tot het versturen van een vragenlijst. Een ingevuld SIG-formulier is een startpunt, geen aanwijzing van risico-acceptatie.

Fout 4: cryptografie-policy oversimplificeren tot “wij gebruiken AES-256”. Een werkbare policy gaat over key management, lifecycle, beperkingen, en escape-paden.

Fout 5: de meldplicht alleen op papier oefenen. Een 24-uurs early warning vergt operationele snelheid die je niet kunt aanleren tijdens een echte crisis. Oefen het.

Hoe wij ernaar kijken

Onze stelling: NIS2 is voor goed gerunde ISO 27001-organisaties geen revolutie maar een verzwaring met scherpe randen. De inhoudelijke controls zijn grotendeels herkenbaar. Wat nieuw is, is dat de wet ze afdwingt, dat het bestuur erop wordt aangekeken, en dat de toezichthouder concrete bewijslast wil zien voor onderwerpen die in een ISO-audit nog onder “interpretatie van het ISMS” konden vallen.

Voor organisaties die hun security en compliance verkokerd hebben (ISO-audit hier, juridische compliance daar, incident management bij IT), wordt NIS2 een painpoint. Voor organisaties die risk-first werken, met een geintegreerd model waarin controls aan meerdere kaders tegelijk gekoppeld zijn, is NIS2 een uitbreiding van de mapping, niet van het werkpakket.

Dat is in de kern wat we al jaren predikten en wat NIS2 nu wettelijk afdwingt: stop met administreren per kader, begin met sturen op risico. ISO 27001 helpt je het managementsysteem te bouwen. NIS2 maakt duidelijk dat dat managementsysteem ook in de praktijk moet werken, en dat het bestuur daar persoonlijk op aanspreekbaar is. Die discipline is de echte opbrengst van een goed gerunde NIS2-implementatie, los van het feit dat de wet het afdwingt.

Heb je vragen over dit onderwerp?

Plan een gesprek met een Pulse-consultant. Concreet, met je eigen situatie als uitgangspunt.

Plan een gesprek Naar Kennisbank