ISO 27001 is je shortcut naar NIS2-compliance

Achtienduizend Nederlandse organisaties vallen onder NIS2, schat de overheid. Als je zelf niet in dat aantal zit, zit een belangrijke klant van je er wel tussen. Want NIS2 plant z'n eisen door de hele keten: een gemeente vraagt het van haar softwareleverancier, een bank van haar IT-dienstverlener, een productiebedrijf van haar machinebouwer. Het gaat dus over jou.

Het goede nieuws: als je ISO 27001 hebt of overweegt, ben je verder dan je denkt. ISO 27001 dekt grofweg 70 tot 85 procent van wat NIS2 verlangt. De resterende vijftien tot dertig procent zit in drie heel concrete dingen, die je relatief snel kunt regelen als je sokkel staat. Hieronder zet ik op een rij wat overlapt, wat niet, en in welke volgorde je aanpakt.

Waarom je nu in scope kunt zijn zonder dat je het doorhebt

NIS2 is sinds 17 oktober 2024 in Nederland geïmplementeerd via de Cyberbeveiligingswet. De wet onderscheidt twee categorieën: essential entities (energie, banken, zorg, drinkwater, overheid) en important entities (digitale diensten, fabrikanten van producten in kritieke sectoren, voedsel, post). De drempel is doorgaans vijftig medewerkers of tien miljoen euro omzet, met uitzonderingen omhoog en omlaag.

Maar de echte trigger voor het mkb is niet of je zelf een entity bent. Het is de leveranciersclausule. Onder NIS2 moeten in-scope-organisaties hun toeleveranciers controleren. Dat doen ze via vragenlijsten, contractbijlagen en in toenemende mate audits. Wie als softwarebureau, machinebouwer, IT-dienstverlener of zelfs schoonmaakbedrijf werkt voor een ziekenhuis, gemeente of energieleverancier, krijgt die vragen op het bureau. Het maakt je niet juridisch verplicht, maar wel commercieel verplicht.

Waar ISO 27001 al doet wat NIS2 vraagt

NIS2 schrijft cybersecurity-maatregelen voor in artikel 21: risicoanalyse, incident-handling, business continuity, supply chain security, beleidsdocumenten, cryptografie, multifactor-authenticatie, awareness-training. Wie het rijtje leest en daarna naar Annex A van ISO/IEC 27001:2022 kijkt, ziet hetzelfde rijtje. Niet bij toeval: ENISA en het Nationaal Cyber Security Centrum hebben mappings gepubliceerd waarin het overgrote deel van de NIS2-controles direct teruggevonden wordt in ISO-controles.

Concreet: een bedrijf met ISO 27001 heeft al een ISMS, een risico-register, een asset-register, een incident-procedure, een leveranciers-due-diligence, een access-management-policy, business continuity en een interne audit-cyclus. Allemaal NIS2-vereist. In ons eigen certificeringstraject zagen we dat het zware werk niet de NIS2-onderdelen waren, maar de discipline om alle controles in te bedden in de dagelijkse operatie. Wie die discipline al heeft, hoeft het hoofd niet om te draaien voor NIS2. Het zit er gewoon in.

Waar ISO 27001 niet voldoende is

Drie dingen vragen onder NIS2 expliciet meer dan ISO 27001 in de basis levert.

Ten eerste de incident-meldplicht. NIS2 verplicht een early warning binnen 24 uur naar het bevoegde gezag (in Nederland het CSIRT-DSP of NCSC), gevolgd door een incident-notificatie binnen 72 uur en een eindrapport binnen een maand. ISO 27001 heeft een incident-procedure, maar regelt geen externe meldplicht met deadlines. Die moet je zelf inrichten: contactpersoon, communicatiekanaal, geoefend proces.

Ten tweede bestuurlijke aansprakelijkheid. Onder NIS2 moeten directieleden cybersecurity-trainingen volgen en het beleid actief goedkeuren. Bij overtredingen kunnen ze persoonlijk aansprakelijk worden gesteld. ISO 27001 vraagt management commitment, maar niet expliciete training of persoonlijke aansprakelijkheid.

Ten derde supply chain security. NIS2 gaat verder dan ISO bij het eisen dat leveranciersmanagement aantoonbaar is, met risico-classificatie per leverancier, contractuele garanties en periodieke herbeoordeling. ISO 27001 dekt dit op hoofdlijnen, maar de NIS2-praktijk vraagt meer documentatie en regelmaat.

In welke volgorde pak je dit aan

Stap één: bepaal of je in directe of indirecte scope valt. Voor de meeste mkb-bedrijven is indirect (via klanten) de relevante vraag.

Stap twee: als je nog niet ISO 27001-gecertificeerd bent, begin daar. Het traject duurt zes tot twaalf maanden, en je hebt daarna het overgrote deel van NIS2 al staan.

Stap drie: vul de drie gaten. Zet een meld-procedure op met externe contactgegevens, plan een directie-training en formaliseer je leveranciersbeleid. Reken op een paar weken werk, niet maanden.

Wat het uiteindelijk vraagt is geen project, maar een werkwijze die je in je organisatie inbedt. Begint dat zwaar te klinken, dan is een sparringsessie de snelste manier om te zien waar je staat.

Twijfel je of je in scope valt of waar je het beste begint? Stuur ons een mailtje, we kijken in een uur mee.