ISO 27001 is Geen NIS2-Compliance: Wat Werkelijk Ontbreekt
ISO 27001 biedt het governance-fundament voor NIS2 – maar niet de operationele uitvoering. Wat er ontbreekt tussen ISMS-documentatie en werkelijke NIS2-compliance, en waarom dat een concreet probleem is.
ISO 27001 is Geen NIS2-Compliance: Wat Werkelijk Ontbreekt
Veel organisaties hebben een ISMS afgestemd op ISO 27001 – gecertificeerd, gedocumenteerd, ingebed in een GRC-tool. De aanname: dat maakt ons NIS2-klaar. De realiteit: ISO 27001 dekt ruwweg 70% van NIS2-vereisten. De resterende 30% zijn de vereisten die er werkelijk toe doen wanneer toezichthouders langskomen.
ISO 27001 structureert interne governance. NIS2 eist daarbovenop operationele capaciteiten: incidentmelding onder tijdsdruk, continue toeleveringsketenbewaking, en bewijs op verzoek beschikbaar. Een ISMS alleen kan dit niet leveren.
Waarom Dit Onderscheid Nu Ertoe Doet
NIS2 is niet langer een richtlijn die wacht op omzetting. In heel Europa worden nationale implementaties van kracht. De praktische realiteit: als uw klanten NIS2-gereguleerd zijn, geven zij de vereisten al via contracten aan u door.
De vergelijking "ISO 27001 = NIS2-compliance" is de gevaarlijkste vereenvoudiging die momenteel rondgaat. Niet omdat ISO 27001 ontoereikend is – integendeel. Maar omdat het verhult wat er werkelijk nog ontbreekt.
Wat ISO 27001 Dekt – en Waar Het Stopt
ISO 27001 levert de governance-structuur die NIS2 vereist onder Artikel 20 en grote delen van Artikel 21. Wat het niet levert zijn de operationele vereisten.
Een organisatie met een ISMS afgestemd op ISO 27001:2022 heeft typisch solide grondwerk:
- Risicobeoordelingen en behandelplannen (NIS2 Art. 21(2)(a))
- Bedrijfscontinuïteitsbeleid (NIS2 Art. 21(2)(c))
- Toegangscontroles en assetmanagement (NIS2 Art. 21(2)(i))
- Training- en bewustwordingsprogramma's (NIS2 Art. 21(2)(g))
- Procedures voor effectiviteitsbeoordeling (NIS2 Art. 21(2)(f))
- Cryptografiebeleid (NIS2 Art. 21(2)(h))
NIS2 stopt echter niet bij governance. De richtlijn vereist maatregelen die verder gaan dan waarvoor een ISMS typisch is ontworpen.
De Drie Operationele Hiaten
1. Incidentmelding: 24 Uur is Geen Documentatieprobleem
NIS2 Artikel 23 introduceert een gelaagd meldregime: een vroegtijdige waarschuwing binnen 24 uur, een gekwalificeerde incidentmelding binnen 72 uur, en een eindrapport binnen één maand.
ISO 27001 omvat incidentmanagement – als een proces dat incidenten documenteert, beoordeelt en evalueert. Typisch achteraf. Wat ISO 27001 niet biedt: de capaciteit om een gecoördineerd, feitelijk rapport aan autoriteiten te leveren binnen 24 uur terwijl het incident nog gaande is.
2. Toeleveringsketenbeveiliging: Eén Keer Per Jaar is Niet Genoeg
Artikel 21(2)(d) vereist maatregelen voor toeleveringsketenbeveiliging – specifiek de beveiligingsrelevante aspecten van relaties met directe leveranciers en dienstverleners.
De meeste ISMS-oplossingen ondersteunen leveranciersbeoordelingen – bij onboarding of één keer per jaar. NIS2 betekent iets anders: het gaat niet om het afvinken van vragenlijsten. Het gaat om het beheersbaar houden van bedrijfskritische afhankelijkheden op doorlopende basis.
3. Effectiviteitsbewijs: Bewijs Op Verzoek, Niet Op Aanvraag
Artikel 21(2)(f) vereist procedures om de effectiviteit van risicomanagementmaatregelen te beoordelen. Tegelijkertijd breidt NIS2 de toezichtbevoegdheden aanzienlijk uit: autoriteiten kunnen op elk moment bewijs opvragen.
Bewijs onder NIS2 is niet "auditdecoratie" – het is de continue output van doorlopend werk.
Overzicht: Wat ISO 27001 Dekt en Wat Niet
| NIS2-Vereiste | ISO 27001 | Operationele Toevoeging Nodig? |
|---|---|---|
| Risicoanalyse en beveiligingsbeleid (Art. 21(2)(a)) | ✅ Kerncomponent | Nee |
| Bedrijfscontinuïteit en crisismanagement (Art. 21(2)(c)) | ✅ Gedekt | Nee |
| Training en bewustwording (Art. 21(2)(g)) | ✅ Gedekt | Nee |
| Cryptografiebeleid (Art. 21(2)(h)) | ✅ Gedekt | Nee |
| Toegangscontroles en assetmanagement (Art. 21(2)(i)) | ✅ Gedekt | Nee |
| Effectiviteitsbeoordeling (Art. 21(2)(f)) | ⚠️ Proces ja, continue bewijsvoering nee | Ja |
| Incidentafhandeling en meldverplichtingen (Art. 21(2)(b), Art. 23) | ⚠️ Proces ja, operationele 24u-capaciteit nee | Ja |
| Toeleveringsketenbeveiliging (Art. 21(2)(d)) | ⚠️ Momentopname, geen continue monitoring | Ja |
| Managementaansprakelijkheid (Art. 20) | ⚠️ Rollen gedefinieerd, persoonlijke aansprakelijkheid niet geoperationaliseerd | Ja |
Wat Organisaties Nu Moeten Doen
Ten eerste: Voer een gap-analyse uit tussen uw ISMS en de operationele NIS2-vereisten. Niet "hebben we een proces?" maar "kunnen we dit uitvoeren onder tijdsdruk, tegenover externe partijen, operationeel?"
Ten tweede: Bouw operationele systemen voor wat het ISMS niet dekt. Een incidentmanagementsysteem dat gecoördineerde rapporten binnen 24 uur kan produceren. Een vendor assurance-proces dat verder gaat dan jaarlijkse vragenlijsten. Een bewijslaag die continu bewijs levert.
Ten derde: Verbind uw ISMS en uw operationele systemen. Een ISMS voor interne controle, een Trust Center voor externe communicatie en bewijs – twee zijden van dezelfde medaille.
Bronnen
- Richtlijn (EU) 2022/2555 (NIS2-richtlijn) – Artikelen 20, 21 en 23.
- ISO/IEC 27001:2022 – De ISMS-standaard als governance-basislijn.
- ENISA – Implementing Guidance on NIS2 Security Measures – Technische richtlijnen voor implementatie van risicomanagementmaatregelen.