Het is een van de meest gehoorde uitspraken in boardrooms en bij IT-managers: "Wij zijn ISO 27001-gecertificeerd, dus NIS2 is voor ons geen probleem." Het klinkt logisch. U heeft geïnvesteerd in een erkende beveiligingsstandaard, audits doorlopen en een certificaat aan de muur hangen. Maar de realiteit is genuanceerder — en die nuance kan u duur komen te staan.
Het korte antwoord: Nee, ISO 27001 maakt u niet automatisch NIS2-compliant. ISO 27001 is een uitstekend fundament, maar NIS2 stelt aanvullende eisen die uw ISMS waarschijnlijk niet afdekt.
Waarom de aanname zo verleidelijk is
ISO 27001 en NIS2 delen inderdaad veel gemeenschappelijke grond: risicomanagement, toegangsbeheer, incidentmanagement en continue verbetering. Daarom is de verwarring begrijpelijk. Maar NIS2 is geen norm — het is wetgeving. En wetgeving stelt eisen die verder gaan dan wat een managementsysteem voorschrijft.
De 6 gaps die uw ISO 27001-certificaat niet afdekt
1 Meldplicht binnen 24 uur
NIS2 vereist dat significante incidenten binnen 24 uur worden gemeld bij de toezichthouder, gevolgd door een volledig rapport binnen 72 uur. ISO 27001 schrijft voor dat u een incidentprocedure heeft, maar stelt geen specifieke meldtermijnen aan externe partijen.
2 Supply chain security
NIS2 eist dat u de cybersecurity-risico's van uw gehele toeleveringsketen beoordeelt en beheert. ISO 27001 Annex A raakt leveranciersbeheer aan, maar niet met de diepgang die NIS2 vereist — inclusief contractuele beveiligingseisen en regelmatige beoordeling van leveranciers.
3 Bestuurdersaansprakelijkheid
NIS2 maakt bestuurders persoonlijk aansprakelijk voor cybersecurity. Zij moeten aantoonbaar betrokken zijn bij risicobeoordeling en het goedkeuren van maatregelen. ISO 27001 vereist "management commitment" maar legt geen persoonlijke juridische aansprakelijkheid vast.
4 OT-omgevingen in scope
Veel ISO 27001-certificeringen zijn beperkt tot de IT-omgeving. NIS2 maakt geen onderscheid: als uw operationele technologie (OT) essentieel is voor uw dienstverlening, valt die binnen scope. SCADA-systemen, PLC's en productieomgevingen moeten mee in uw risicobeoordeling.
5 Business continuity en crisismanagement
NIS2 stelt expliciete eisen aan bedrijfscontinuiteit, back-upbeheer en disaster recovery. ISO 27001 behandelt dit via Annex A, maar de NIS2-eisen zijn specifieker en verplichten operationele testen van uw herstelplannen.
6 Actief toezicht en handhaving
ISO 27001 is een vrijwillige certificering. NIS2 wordt actief gehandhaafd door nationale toezichthouders met de bevoegdheid om audits uit te voeren, bindende aanwijzingen te geven en boetes op te leggen tot 10 miljoen euro of 2% van de wereldwijde omzet.
Wat ISO 27001 u wél biedt
Laat er geen misverstand over bestaan: ISO 27001 is een uitstekend startpunt. Organisaties met een volwassen ISMS hebben een enorme voorsprong bij NIS2-compliance. U heeft al:
- Een systematische risicoaanpak
- Gedocumenteerde procedures en beleid
- Een PDCA-cyclus voor continue verbetering
- Beheersmaatregelen op het gebied van toegang, encryptie en logging
Het gaat er niet om uw ISO 27001 te vervangen — het gaat erom de gaps te dichten die NIS2 specifiek vereist.
Wat moet u nu doen?
- Gap-analyse uitvoeren — vergelijk uw huidige ISMS-scope en maatregelen met de NIS2-vereisten
- Scope uitbreiden — neem OT-omgevingen, supply chain en bedrijfscontinuïteit expliciet op
- Meldprocedure inrichten — zorg dat u binnen 24 uur kunt melden bij de toezichthouder
- Bestuurders betrekken — formaliseer hun rol in cybersecurity-governance
- Documenteer en test — NIS2 vereist aantoonbare implementatie, niet alleen beleid op papier
Tip: Begin met een NIS2-gap-analyse op basis van uw bestaande ISO 27001-documentatie. Zo identificeert u snel waar de aanvullende inspanning zit — vaak minder dan u denkt.
Wilt u weten waar uw gaps zitten?
Resotech voert NIS2-gap-analyses uit voor ISO 27001-gecertificeerde organisaties. Wij kennen beide kaders van binnenuit en helpen u gericht de ontbrekende punten aan te pakken.
Plan een gesprek