U valt onder NIS2 — wat nu? De operationele hiaten voorbij uw ISMS
U hebt gecontroleerd of uw organisatie onder NIS2 valt. Het antwoord is ja. U hebt een ISMS. En nu ontdekt u: tussen wat uw ISMS dekt en wat NIS2 operationeel vereist, zit een kloof. Dit artikel toont waar die ligt — en hoe u die dicht.
U valt onder NIS2 — wat nu? De operationele hiaten voorbij uw ISMS
De toepasselijkheidtoets is gedaan — via een regulatoire zelfbeoordeling, interne analyse of met adviesondersteuning. Uw organisatie kwalificeert als essentiële of belangrijke entiteit. U hebt zich geregistreerd bij de relevante nationale autoriteit of bent daarmee bezig. Wat nu?
De meeste organisaties hebben op dit punt een ISMS, een registratie en een open vraag: wat moeten we eigenlijk nog doen? Het antwoord is niet meer documentatie. Het zijn operationele capaciteiten die een ISMS alleen niet kan leveren.
Ga naar:
- Het hiaat dat niemand verwachtte
- Zes operationele vereisten die uw ISMS niet dekt
- De roadmap: van ISMS naar NIS2-compliance
De typische stand van zaken
Wanneer organisaties hun NIS2-toepasselijkheid bevestigen, is de volgorde meestal dezelfde:
Stap 1: De zelfbeoordeling bevestigt dat de organisatie binnen het toepassingsgebied valt — als essentiële of belangrijke entiteit. Schattingen uit de sector suggereren dat ruwweg 80% van de getroffen organisaties het nog niet weet of pas recent is begonnen met het onderzoeken van de vraag.
Stap 2: De organisatie erkent dat zij al een ISMS heeft — vaak ISO 27001-gecertificeerd, ingebed in een GRC-tool. Eerste golf van opluchting: "We hebben al veel van wat NIS2 vereist."
Stap 3: Een kloofanalyse toont dat ISO 27001 inderdaad ongeveer 70% van de NIS2-vereisten dekt — met name de governance-aspecten uit Artikel 20 en grote delen van Artikel 21.
Stap 4: Dan komt het oncomfortabele besef: de resterende 30% zijn niet simpelweg "meer documentatie." Het zijn operationele capaciteiten die het ISMS niet modelleert en waarvoor het niet is ontworpen.
Dit is precies waar veel organisaties vastlopen. Niet uit nalatigheid, maar omdat de volgende stap niet voor de hand ligt. Het ISMS biedt een kaart — maar geen voertuig.
Het hiaat dat niemand verwachtte
Het hiaat tussen een ISMS en NIS2-compliance is geen documentatiehiaat. Het is een capaciteitshiaat.
Een ISMS beantwoordt de vraag: "Hebben we een proces voor X?" NIS2 stelt een andere vraag: "Kunnen we X operationeel uitvoeren onder tijdsdruk, tegenover externe partijen, met verifieerbaar bewijs?"
Dit onderscheid loopt door de gehele richtlijn. Drie gebieden worden bijzonder geraakt:
Incidentmelding: Een ISMS heeft een incidentresponsplan. NIS2 vereist het vermogen om een gecoördineerde vroegtijdige waarschuwing te leveren aan autoriteiten binnen 24 uur — terwijl het incident gaande is. Dat is geen documentatieverschil. Het is een verschil in bedrijfsmodel.
Toeleveringsketenbeveiliging: Een ISMS heeft een leveranciersbeoordelingsproces. NIS2 vereist continue monitoring van de beveiligingshouding van directe leveranciers — met gebeurtenisgestuurde herbeoordelingen en bewijs beschikbaar op verzoek. Een jaarlijkse vragenlijst volstaat niet.
Bewijs van effectiviteit: Een ISMS bereidt voor op audits. NIS2 geeft toezichthouders de bevoegdheid om te allen tijde bewijs op te vragen. Bewijs moet continu beschikbaar zijn, niet worden samengesteld wanneer het verzoek binnenkomt.
Het goede nieuws: het ISMS blijft de basis. Het hoeft niet te worden vervangen. Maar het moet worden aangevuld — met een operationele laag die uitvoert wat het ISMS documenteert.
Zes operationele vereisten die uw ISMS niet dekt
1. Incidentmanagement onder tijdsdruk
Wat NIS2 vereist: Vroegtijdige waarschuwing binnen 24 uur, gekwalificeerde melding binnen 72 uur, eindrapport binnen één maand (Art. 23). Parallel beheer met AVG-meldingsverplichtingen en contractuele notificatievereisten.
Wat het ISMS biedt: Een incidentresponsplan met rollen, escalatiepaden en procesbeschrijvingen.
Wat ontbreekt: De operationele infrastructuur voor real-time coördinatie tussen Security, Juridische Zaken, Communicatie en het bestuur. Geversioneerde documentatie tijdens het incident. Sjablonen voor regulatoire rapportages. Een systeem dat werkt onder druk — niet slechts een plan dat beschrijft hoe het zou moeten werken.
-> Verdieping: NIS2 Incidentmelding: hoe u daadwerkelijk aan de 24-uurstermijn voldoet
2. Continu leverancierstoezicht
Wat NIS2 vereist: Toeleveringsketenbeveiliging inclusief de specifieke kwetsbaarheden van elke directe leverancier. Overweging van de algehele kwaliteit van cybersecuritypraktijken. Doorlopende risicobeoordeling, geen momentopnames (Art. 21(2)(d)).
Wat het ISMS biedt: Leverancierscategorisatie, jaarlijkse beoordelingscycli, gedocumenteerde evaluatieresultaten.
Wat ontbreekt: Doorlopende monitoring (certificaten, kwetsbaarheden, leveranciersincidenten). Triggergebaseerde herbeoordelingen wanneer zaken veranderen. Een geïntegreerd overzicht van de actuele beveiligingsstatus van alle relevante leveranciers. Gestructureerde communicatie met leveranciers wanneer omstandigheden evolueren.
-> Verdieping: NIS2 Toeleveringsketenbeveiliging: waarom jaarlijkse leveranciersbeoordelingen niet meer voldoen
3. Bewijs op verzoek
Wat NIS2 vereist: Procedures om de effectiviteit van maatregelen te evalueren (Art. 21(2)(f)). Autoriteiten kunnen te allen tijde bewijs opvragen, inspecties ter plaatse uitvoeren en audits verrichten.
Wat het ISMS biedt: Auditvoorbereiding in geplande cycli. Documentatie van maatregelen en controls.
Wat ontbreekt: Artefacten met metadata die te allen tijde opvraagbaar zijn (versiestatus, geldigheid, eigenaren, wijzigingsgeschiedenis). Geïntegreerd bewijsbeheer dat controls, leveranciersbeoordelingen en incidentrapporten koppelt. Bewijs als continue output, niet als auditvoorbereiding.
-> Verdieping: NIS2 Auditgereedheid: van documentatie naar continue bewijsvoering
4. Operationalisering van bestuursverantwoordelijkheid
Wat NIS2 vereist: Het bestuur moet risicobeheermaatregelen goedkeuren, toezien op de implementatie daarvan en draagt persoonlijke aansprakelijkheid voor overtredingen. Kwijtschelding van vorderingen tegen het bestuur is juridisch nietig (Art. 20). Het bestuur moet regelmatige training ondergaan.
Wat het ISMS biedt: Rol- en verantwoordelijkheidsdefinities. Managementreviews. Trainingsbeleid.
Wat ontbreekt: Een verifieerbare informatiestroom van operationele beveiligingsonderwerpen naar het bestuur. Het vermogen voor het bestuur om tijdens een incident verwerkte, actuele situatie-informatie te raadplegen. Documentatie die bewijst dat het bestuur daadwerkelijk zijn toezichtsplicht heeft uitgeoefend — niet slechts dat het een beleid heeft ondertekend.
5. Externe incidentcommunicatie
Wat NIS2 vereist: Getroffen entiteiten moeten de ontvangers van hun diensten zonder onnodige vertraging informeren over significante incidenten die de dienstverlening kunnen beïnvloeden — inclusief mogelijke tegenmaatregelen (Art. 23(1)).
Wat het ISMS biedt: Interne communicatieplannen. Mogelijk een PR-escalatiebeleid.
Wat ontbreekt: Een gestructureerd proces voor externe incidentcommunicatie — naar klanten, partners en potentieel het publiek. Afgestemde berichtgeving tussen Juridische Zaken, Communicatie en het bestuur. Geversioneerde, traceerbare communicatie via een gedefinieerd kanaal.
6. Gecoördineerde interactie met autoriteiten
Wat NIS2 vereist: Samenwerking met het relevante CSIRT en de toezichthouder. Autoriteiten kunnen te allen tijde informatie opvragen, bindende instructies geven en audits uitvoeren. Grensoverschrijdende incidenten kunnen meerdere nationale autoriteiten betreffen.
Wat het ISMS biedt: Een benoemd contactpersoon. Mogelijk een contactlijst.
Wat ontbreekt: Een gevestigd communicatiekanaal met autoriteiten dat verder gaat dan de initiële registratie. Het vermogen om snel en gestructureerd te reageren op informatieverzoeken. Voorbereiding op inspecties ter plaatse die mogelijk niet vooraf worden aangekondigd.
De roadmap: van ISMS naar NIS2-compliance
Het dichten van het hiaat is geen volledige herbouw. Het is een systematische uitbreiding van wat er al is. Vijf fasen:
Fase 1: Kloofanalyse (week 1–2)
Breng uw bestaande ISMS in kaart tegen de operationele NIS2-vereisten — niet tegen de governance-vereisten, die zijn gedekt. De zes bovenstaande punten vormen het kader. Voor elk punt: kunnen we dit vandaag operationeel uitvoeren? Zo niet: wat ontbreekt er specifiek?
Fase 2: Risicogebaseerde prioritering (week 2–3)
Niet alle hiaten zijn even kritiek. Incidentmelding heeft de hoogste regelgevende urgentie — het geldt nu en heeft vaste termijnen. Toeleveringsketenbeveiliging heeft de hoogste operationele complexiteit. Bewijs van effectiviteit wordt een probleem bij het eerste verzoek van de autoriteit. Prioriteer dienovereenkomstig.
Fase 3: Bouw operationele systemen (maand 1–3)
Voor incidentmelding: richt een incidentmanagementsysteem in, definieer rollen, bereid sjablonen voor, voer de eerste tabletop-oefening uit. Voor de toeleveringsketen: upgrade het leveranciersregister naar NIS2-vereisten, bouw monitoringscapaciteit, herzie contractuele grondslagen. Voor bewijs: verschuif van "archiveren" naar "opvragen."
Fase 4: Verbind ISMS en operationele systemen (maand 2–4)
Het ISMS blijft het controle-instrument. De operationele systemen vullen het aan met de capaciteiten die NIS2 aanvullend vereist. De verbinding moet in beide richtingen werken: het ISMS informeert de operationele uitvoering (beleid, risicoclassificaties). De operationele systemen voeden bewijs terug naar het ISMS (actuele beoordelingen, incidentrapporten, bewijs van effectiviteit).
Een ISMS voor interne governance. Een Trust Center voor externe communicatie en bewijsvoering. Twee zijden van dezelfde munt.
Fase 5: Test en itereer (doorlopend)
Tabletop-oefeningen voor het rapportageregime. Reviewcycli voor leverancierstoezicht. Proefopvragingen van bewijs. NIS2-compliance is geen project met een einddatum — het is een operationeel model.
De meest voorkomende fouten op dit punt
"We doen nog een kloofanalyse." Kloofanalyses tegen ISO 27001 of tegen de governance-vereisten van NIS2 leveren altijd hetzelfde resultaat: "ziet er goed uit." Het hiaat zit niet in governance. Het zit in operationele uitvoering. Een kloofanalyse die alleen controleert of processen bestaan, zal het niet vinden.
"We breiden onze GRC-tool uit." GRC-tools zijn ontworpen voor governance, risico en compliance — voor de controlelaag. NIS2 eist daarnaast operationele capaciteiten: real-time communicatie, doorlopende monitoring, bewijs beschikbaar op verzoek. Een GRC-tool kan dit doorgaans niet leveren — het is er niet voor gebouwd.
"We wachten op ENISA-certificering." Artikel 46 van de NIS2-richtlijn voorziet in een Europees certificeringskader. Maar de vereisten gelden nu. Certificering komt later. Organisaties die wachten zijn in de tussentijd niet-compliant.
"De CISO handelt het af." NIS2 maakt het bestuur persoonlijk aansprakelijk. De CISO kan de implementatie beheren, maar de verantwoordelijkheid ligt bij het bestuur. Dit is geen formaliteit — het is een persoonlijke aansprakelijkheidsvraag.
Bronnen
- Richtlijn (EU) 2022/2555 (NIS2-richtlijn) – Volledige tekst – Artikelen 20, 21 en 23 over governance, risicobeheer en meldingsverplichtingen.
- OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland – Duitse implementatiewetgeving over risicobeheer, rapportage, bestuursaansprakelijkheid en toezichtsbevoegdheden.
- OpenKRITIS - NIS2-Betroffenheitsprüfung – BSI-zelfbeoordelingstool voor NIS2-toepasselijkheid.
- OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland - wat te doen? – Stapsgewijze richtlijnen van het BSI voor NIS2-implementatie.
- ENISA – Implementatierichtlijnen voor NIS2-beveiligingsmaatregelen – Implementatierichtlijnen voor de risicobeheermaatregelen onder Artikel 21.