Information Security

NIS2 & ISO 27001: de overlap, verschillen én hoe je organisatie compliant wordt

NIS2 & ISO 27001: de overlap, verschillen én hoe je organisatie compliant wordt
De invoering van de NIS2-richtlijn heeft de lat voor informatiebeveiliging binnen Europa aanzienlijk hoger gelegd. Organisaties die al werken met ISO 27001 vragen zich logischerwijs af: hoe verhouden NIS2 en ISO 27001 zich tot elkaar? Is onze huidige certificering voldoende? Of moeten we aanvullende maatregelen nemen? In dit blog beantwoorden we die vragen op basis van praktijkervaring én inhoudelijke kennis van de ISO 27001:2022-norm en de NIS2-wetgeving.
This article was last updated on
16/5/2025

En goed nieuws: we hebben alle belangrijke inzichten gebundeld in de whitepaper “ISO 27001 & NIS2: de verschillen en overeenkomsten” – perfect als je nog dieper wilt duiken.

NIS2 & ISO 27001: een gedeelde basis

Zowel NIS2 als ISO 27001 hebben een helder doel: organisaties beschermen tegen cyberdreigingen, datalekken en verstoringen. Beide hanteren een risicogestuurde aanpak en benadrukken het belang van continue verbetering. Denk aan:

 

  • Risicoanalyses
  • Incidentmanagement
  • Toegangsbeheer
  • Informatiebeveiligingsbeleid
  • Continuïteitsplan

 

Toch zijn er ook aanzienlijke verschillen – en juist die bepalen dat je ISO 27001-certificering nog niet voldoende is om NIS2-compliant te zijn.

De belangrijkste verschillen tussen NIS2 en ISO 27001

Verplichting versus vrijwillige norm

  • NIS2 is Europese wetgeving. Bepaalde organisaties zijn wettelijk verplicht maatregelen te treffen.
  • ISO 27001 is een vrijwillige norm voor informatiebeveiliging. Certificering toont aan dat je serieus werk maakt van security, maar is op zichzelf geen juridisch vereiste.

Bestuurlijke verantwoordelijkheid

NIS2 kijkt niet alleen naar techniek, maar stelt ook expliciet eisen aan het bestuur. Bestuurders kunnen aansprakelijk zijn bij nalatigheid. De ISO 27001-norm doet hier geen harde uitspraken over.

Leveranciers en ketenverantwoordelijkheid

Een NIS2-organisatie is niet alleen verantwoordelijk voor de eigen beveiliging, maar ook die van leveranciers. ISO 27001 benoemt leveranciersbeheer wel, maar NIS2 gaat een stap verder: leveranciers van NIS2 organisaties moeten bijvoorbeeld door een informatiebeveiligingsbeleid of het NIS2 Quality Mark kunnen aantonen dat ze informatieveilig werken.

Incidentmelding: strikter onder NIS2

Bij NIS2 geldt een meldplicht: de melding moet je doen binnen 24 tot 72 uur bij CISR in het geval van een beveiligingsincident. ISO 27001 eist registratie en evaluatie van incidenten, maar kent géén harde deadlines.

Crisismanagement en continuïteit

NIS2 eist duidelijke procedures voor back-upbeheer, crisiscommunicatie en business continuity. Waar ISO 27001 vooral beleidsmatig blijft, vereist NIS2 ook praktische uitvoering en toetsing.

Zero Trust als norm

NIS2 benoemt expliciet Zero Trust-principes zoals microsegmentatie, least privilege access en continue authenticatie. Kort gezegd gaat Zero Trust uit van het idee: "Vertrouw nooit zomaar, verifieer altijd".

 

Drie belangrijke onderdelen hiervan zijn:

 

  • Microsegmentatie: hierbij verdeel je je netwerk in kleine stukjes (segmenten). Daardoor kan een aanvaller, zelfs als hij binnenkomt, niet zomaar overal bij; hij blijft ‘vastzitten’ in een klein deel van het netwerk.
  • Least privilege access: gebruikers en systemen krijgen alleen toegang tot wat ze écht nodig hebben, en niets meer. Zo beperk je schade als er iets misgaat.
  • Continue authenticatie: in plaats van één keer inloggen, wordt voortdurend gecontroleerd of de gebruiker nog steeds is wie hij zegt te zijn. Bijvoorbeeld door gedrag, locatie of apparaatherkenning.

ISO 27001 biedt wel kaders, maar minder gedetailleerd en normatief.

ISO 27001 als opstap naar NIS2-compliance

Ben je al ISO 27001-gecertificeerd? Dan heb je een goed fundament. Maar: ISO 27001 is niet voldoende om volledig aan NIS2 te voldoen. Er zijn aanvullende maatregelen nodig, zoals:

 

  • Bestuurlijke verankering van security
  • Uitgebreide ketenanalyse
  • Inrichting van incidentresponse en meldprocedures
  • Voldoen aan strengere documentatie- en rapportage-eisen

 

NIS2 & ISO 27001 combineren? Download de whitepaper

Wil je weten hoe je ISO 27001 slim inzet als basis voor je NIS2-implementatie? Download dan onze uitgebreide whitepaper:

👉 https://www.fendix.nl/form/download-nis2-vs-iso-27001

 

In de whitepaper vind je onder andere:

  • Een praktische mapping tussen NIS2 en ISO 27001:2022
  • Voorbeelden van maatregelen
  • Een overzichtelijke NIS2 checklist

 

NIS2-compliance zonder ISO 27001?

Je kunt er uiteraard ook voor kiezen om zonder de ISO 27001 te starten met een NIS2 implementatie. Via onze NIS2 GAP-analyse brengen we concreet in kaart waar je nu staat en welke stappen je nog moet zetten.

 

Tot slot: wacht niet te lang

De deadline voor NIS2 komt snel dichterbij. Door nú te starten met een integrale aanpak voorkom je paniekvoetbal en verklein je het risico op boetes of imagoschade.

Laat ons je helpen met een heldere aanpak zonder onnodige complexiteit. Neem contact op voor een vrijblijvend adviesgesprek. 🚀

NIS2 & ISO 27001: overeenkomsten, verschillen & wat dit betekent voor jouw organisatie

Ontdek in één overzicht waar NIS2 en ISO 27001 elkaar overlappen en waar de verschillen zitten. Deze praktische whitepaper helpt je snel te bepalen wat je al goed geregeld hebt – en wat er nog moet gebeuren.

Download free whitepaper
Kilian Houthuijzen
Commercieel Manager
085 773 60 05
To news overview

Related articles

Customer case
Klantcase: Heras behaalt ISO 27001-certificering binnen één jaar met ontzorgende implementatie
read more
News
Why an AVG scan is important for your organization
read more
KAM Certifications is now Fendix

We are a partner of

SGS
BSI
TUV
DEKRA
KIWA
Brand Compliance
LRQA
DNV
Digitrust