NIS2 en ISO 27001: Wat betekent dit voor uw organisatie?

6 juni 2025

Wetgeving

Door: Max Westerouen van Meeteren

De digitale dreigingen voor organisaties nemen in hoog tempo toe. De NIS2-richtlijn is inmiddels in werking getreden, en in Nederland volgt de nieuwe Cyberbeveiligingswet (Cbw) om deze verplichtingen in nationale wetgeving te verankeren. Tegelijkertijd blijft ISO 27001 wereldwijd dé standaard voor informatiebeveiliging. Veel organisaties vragen zich af: hoe verhouden deze kaders zich tot elkaar vallen wij hier onder? En als ja, wat moet u nu concreet doen om aan de wet te voldoen en uw weerbaarheid te vergroten?

Bij TT3P helpen we organisaties dagelijks om deze vragen te beantwoorden en om compliance te combineren met praktische, werkbare beveiligingsmaatregelen.

Wanneer is een organisatie NIS2-plichtig?

De NIS2-richtlijn, welke geïmplementeerd zal worden in Nederland via de Cyberbeveiligingswet (Cbw), is van toepassing op organisaties die worden aangemerkt als 'essentiële' of 'belangrijke' entiteiten. Deze classificatie is afhankelijk van de sector waarin de organisatie actief is en de omvang van de organisatie.

Essentiële entiteiten

  • Organisaties worden als essentiële entiteiten beschouwd als zij:
    Actief zijn in sectoren die als zeer kritisch worden aangemerkt, zoals energie, vervoer, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur, afvalwater, overheidsdiensten en ruimtevaart.
  • Grote ondernemingen zijn, gedefinieerd als:
    • Minimaal 250 werknemers, of
    • Een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

Daarnaast worden bepaalde organisaties, ongeacht hun omvang, automatisch als essentiële entiteiten aangemerkt, zoals:

  • Aanbieders van openbare elektronische communicatienetwerken en -diensten.
  • Gekwalificeerde aanbieders van vertrouwensdiensten.
  • Registers voor topleveldomeinnamen en aanbieders van domeinnaamregistratiediensten.

Belangrijke entiteiten

Organisaties worden als belangrijke entiteiten beschouwd als zij:

  • Actief zijn in sectoren die als belangrijk worden aangemerkt, zoals post- en koeriersdiensten, afvalbeheer, chemische industrie, voedselproductie, productie, digitale infrastructuur, online marktplaatsen, online zoekmachines en cloud computing-diensten.
  • Middelgrote of grote ondernemingen zijn, gedefinieerd als:
    • Minimaal 50 werknemers, of
    • Een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Uitzonderingen

Kleine en micro-ondernemingen (minder dan 50 werknemers en een jaaromzet of balanstotaal van minder dan 10 miljoen euro) vallen in principe buiten de reikwijdte van de NIS2-richtlijn, tenzij zij specifieke diensten leveren die van cruciaal belang zijn voor de samenleving of economie.

Het is belangrijk voor organisaties om te beoordelen of zij onder de NIS2-richtlijn vallen, aangezien dit gevolgen heeft voor hun verplichtingen op het gebied van cyberbeveiliging. De Rijksinspectie Digitale Infrastructuur (RDI) zal een zelfevaluatietool beschikbaar stellen waarmee organisaties kunnen nagaan of zij onder de wet vallen.

Van norm naar wet: ISO 27001 en NIS2 vergeleken

ISO/IEC 27001 is een internationaal erkende norm voor het systematisch inrichten van informatiebeveiliging. Wie deze norm toepast, werkt met een formeel managementsysteem (ISMS) en legt de basis voor een solide beveiligingscultuur. ISO 27001 is formeel vrijwillig, maar in veel sectoren de facto een professionele standaard.

NIS2 daarentegen is juridisch dwingend. De Europese richtlijn stelt minimumvereisten voor risicobeheer, rapportage, supply chain-beveiliging en bestuurlijke verantwoordelijkheid. In Nederland wordt dit vertaald naar de Cbw. Wie NIS2-plichtig is, kan niet volstaan met vrijwillige normen alleen. Toezichthouders mogen naleving handhaven en sancties opleggen.

De Nederlandse Cyberbeveiligingswet (Cbw)

De Cbw vervangt de bestaande Wbni en legt extra nadruk op meldplicht, supply chain security en bestuurlijke aansprakelijkheid. Hoewel de Europese richtlijn sinds oktober 2024 geldt, wordt de Cbw naar verwachting pas in de tweede helft van 2025 van kracht. Dit biedt organisaties nog even tijd om zich goed voor te bereiden, en dat is hard nodig.

Voor organisaties die al ISO 27001 gecertificeerd zijn, vormt deze norm een solide basis. Maar ISO 27001 alleen is niet voldoende. NIS2 stelt aanvullende eisen die niet in de ISO-norm zijn opgenomen, zoals de juridische meldplicht en procedures voor ketensamenwerking.

Bestuurlijke verantwoordelijkheid en risicobeheersing

Een opvallend verschil tussen beide kaders ligt in de rol van het bestuur. ISO 27001 vereist weliswaar betrokkenheid van het management, maar NIS2 gaat verder: het bestuur moet toezicht houden, maatregelen goedkeuren en zich actief laten trainen. Bij ernstige nalatigheid kan zelfs persoonlijke aansprakelijkheid ontstaan.

Ook op het vlak van risicobeheersing en maatregelen (NIS2 artikel 21) zijn er verschillen. ISO 27001 vertrouwt op een risicogebaseerde benadering; NIS2 eist daarnaast “state of the art” maatregelen, afgestemd op sector, dreiging en schaal. Bovendien vereist NIS2 expliciete aandacht voor supply chain-assessments en coordinated vulnerability disclosure, zaken die in ISO 27001 beperkt aan bod komen.

Incidentmelding en rapportageverplichtingen

Een ander belangrijk aandachtspunt is de meldplicht (NIS2 artikel 23). Onder NIS2 moet een ernstig ICT-incident binnen 24 uur gemeld worden, binnen 72 uur volledig worden beschreven en binnen een maand afgesloten worden met een rapport. Ook moet, waar nodig, het publiek worden geïnformeerd. ISO 27001 bevat daarentegen wel incidentbeheer (zoals A.5.26 en A.5.27), maar geen harde termijnen of verplichting om extern te melden.

De toeleveringsketen en gezamenlijke verantwoordelijkheid

NIS2 legt nadruk op samenwerking in de keten. Organisaties moeten niet alleen hun eigen beveiliging regelen, maar ook hun leveranciers screenen en afspraken vastleggen. Bij TT3P adviseren we organisaties om dit niet te beperken tot contracten, maar ook actief informatie te delen en gezamenlijke incidentrespons te organiseren.

Van norm naar naleving, en van naleving naar weerbaarheid

ISO 27001 biedt een krachtig fundament: het helpt u om processen op te zetten, risico’s te managen en continu te verbeteren. Maar het is geen volledige dekking van de NIS2-plichten. Denk bijvoorbeeld aan de juridische meldplicht, de nadruk op bestuurlijke aansprakelijkheid en de verplichte samenwerking in de keten - onderdelen die ISO 27001 niet volledig omvat.

Daarom is het verstandig om ISO 27001 niet alleen als doel te zien, maar als fundament. Wie aanvullend de specifieke NIS2-eisen implementeert, is beter bestand tegen digitale dreigingen en voorkomt boetes of andere sancties.

Wat nu?

Bij TT3P combineren we diepgaande kennis van informatiebeveiliging met juridische en organisatorische expertise. Wij ondersteunen organisaties met zelfevaluaties, gap-analyses, beleidsontwikkeling en de praktische implementatie van zowel ISO 27001 als NIS2. Zo zetten we de stap van norm naar naleving en van compliance naar weerbaarheid.

Bent u benieuwd waar uw organisatie staat? Neem contact met ons op en maak de stap van norm naar naleving, en van compliance naar weerbaarheid.

Vorige bericht