ISO 22301 en NIS2
De NIS2-richtlijn verplicht organisaties in kritieke sectoren tot aantoonbaar risicomanagement, inclusief bedrijfscontinuïteit. ISO 22301 biedt hiervoor een internationale standaard voor business continuity management (BCMS). De implementatie van NIS2 in Nederland loopt via de Cyberbeveiligingswet, die naar verwachting in 2026 in werking treedt. Meer over de Nederlandse implementatie staat op Digitale Overheid .
Voor IT-bedrijven en SaaS-aanbieders is de overlap met ISO 22301 voor IT-bedrijven direct relevant: NIS2-plichtige organisaties in de technologiesector moeten aantonen dat ze bij ernstige verstoringen blijven functioneren.
NIS2 eist geen ISO 22301-certificaat. Maar de norm biedt een bewezen structuur om aan de NIS2-zorgplicht voor bedrijfscontinuïteit te voldoen. Certificering maakt de aantoonbaarheid eenvoudiger.
Welke organisaties vallen onder NIS2?
NIS2 geldt voor organisaties die essentiële of belangrijke diensten leveren. De richtlijn maakt onderscheid in twee categorieën:
| Categorie | Omschrijving | Voorbeelden |
|---|---|---|
| Essentiële entiteiten | Grote organisaties in kritieke sectoren | Energiebedrijven, banken, ziekenhuizen, telecom, water |
| Belangrijke entiteiten | Middelgrote organisaties in kritieke sectoren | IT-dienstverleners, digitale infrastructuur, overheidsleveranciers |
De drempelwaarden zijn indicatief: organisaties met meer dan 50 medewerkers of een jaaromzet boven EUR 10 miljoen kunnen onder NIS2 vallen als ze actief zijn in een van de aangewezen sectoren. Controleer via NCSC.nl of jouw organisatie in scope valt.
De NIS2-zorgplicht: tien maatregelen
Artikel 21 van de NIS2-richtlijn beschrijft tien verplichte maatregelen. Hieronder zie je welke daarvan direct raken aan bedrijfscontinuïteit en hoe ISO 22301 aansluit.
| NIS2-maatregel (art. 21) | BCM-relevantie | ISO 22301-koppeling |
|---|---|---|
| Risicoanalyse en ICT-beveiligingsbeleid | Bepaalt scope en bedreigingen | Context en risicoanalyse (hfst. 6) |
| Bedrijfscontinuïteit, back-upbeheer en crisisbeheer | Directe BCM-eis | Kern van ISO 22301 |
| Beveiliging van de toeleveringsketen | Leverancierscontinuïteit | Continuiteitsstrategie (hfst. 8) |
| Incidentbehandeling | Crisisresponse en escalatie | Crisisorganisatie, plannen (hfst. 8) |
| Prestatiemeting en toezicht | Aantoonbare werking | Prestatie-evaluatie (hfst. 9) |
De maatregel “bedrijfscontinuïteit, back-upbeheer en crisisbeheer” staat letterlijk in de richtlijn. Het NCSC omschrijft de concrete eisen als:
- een back-upstrategie met beschreven frequentie, opslaglocatie en teststatus;
- gedocumenteerde RTO en RPO per kritiek proces;
- een herstelplan dat ook bij verlies van systemen of locaties werkt;
- een crisisorganisatie die buiten oefenrondes functioneert;
- regelmatige tests van plannen (de test telt, niet het bestaan van het plan).
Dit zijn precies de elementen die ISO 22301 structureert en die een auditor toetst.
Hoe ISO 22301 helpt bij NIS2-compliance
ISO 22301 is geen vereiste voor NIS2-compliance, maar het biedt drie concrete voordelen:
Aantoonbaarheid
Aantoonbaarheid bij toezichthouders
NIS2 verplicht organisaties om te bewijzen dat maatregelen werken. Een ISO 22301-certificaat geeft toezichthouders een herkenbaar, onafhankelijk bewijs. Je hoeft minder zelf te onderbouwen: de accreditatie spreekt voor zich.
NIS2 en de relatie met ISO 27001
Veel NIS2-plichtige organisaties hebben al ISO 27001 of zijn bezig dat certificaat te halen. ISO 27001 dekt informatiebeveiliging, maar niet volledig de brede BCM-eis van NIS2.
| Aspect | ISO 27001 | ISO 22301 | NIS2-eis gedekt? |
|---|---|---|---|
| Informatiebeveiligingsrisico’s | Ja (volledig) | Gedeeltelijk | Met 27001: ja |
| Back-upbeheer en herstel | Deels (Annex A) | Volledig | Met beiden: ja |
| Crisisbeheer en crisisorganisatie | Beperkt | Volledig | Met 22301: ja |
| Oefeningen en testen | Beperkt | Verplicht en uitgewerkt | Met 22301: ja |
| Leverancierscontinuïteit | Deels | Volledig | Met beiden: ja |
Als je al ISO 27001 hebt, bouwt ISO 22301 verder op die basis. De combinatie geeft de meest volledige dekking van de NIS2-zorgplicht. Meer over die combinatie lees je op ISO 22301 vs. ISO 27001.
Praktisch: NIS2 en BCM stap voor stap
Organisaties die nu starten met NIS2-voorbereiding én BCM kunnen dit traject combineren:
- Scope: stel vast welke diensten NIS2-plichtig zijn en welke processen kritiek zijn.
- BIA: voer een business impact analyse uit per kritiek proces.
- Back-upstrategie: documenteer frequentie, opslaglocatie en teststatus per systeem.
- Crisisorganisatie: wijs rollen, vervangers en escalatiepad toe.
- Herstelplan: schrijf een bedrijfscontinuiteitsplan dat ook werkt bij locatie- of systeemverlies.
- Oefenen: plan minimaal één tabletop en één technische test per jaar.
- Certificering (optioneel): als toezicht of klanten om externe toetsing vragen, overweeg ISO 22301-certificering.
De Cyberbeveiligingswet introduceert ook een meldplicht voor significante incidenten bij toezichthouders. Zorg dat je crisisplannen ook een meldingsprocedure bevatten.