NIS2 en ISO 27001: wat moet je weten?
Europa neemt cybersecurity serieus. De NIS2-richtlijn verplicht duizenden organisaties om hun informatiebeveiliging op orde te brengen. Het NCSC biedt actuele informatie over de Nederlandse implementatie. ISO 27001 helpt bij het voldoen aan de eisen.
Let op de deadline
De NIS2-richtlijn is per 17 oktober 2024 van kracht in de EU. Nederland implementeert de richtlijn in de Cyberbeveiligingswet. Organisaties die onder NIS2 vallen, moeten nu actie ondernemen.
Wat is NIS2?
NIS2 staat voor Network and Information Security Directive 2. Het is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 en stelt strengere eisen aan cybersecurity voor “essentiële” en “belangrijke” entiteiten in de EU.
De richtlijn is vastgesteld door de Europese Unie en wordt in Nederland omgezet in de Cyberbeveiligingswet. De wet wordt gehandhaafd door sectorale toezichthouders en het NCSC .
Waarom NIS2?
De digitale dreiging groeit. Ransomware-aanvallen leggen ziekenhuizen plat, supply chain-aanvallen treffen duizenden bedrijven tegelijk, en kritieke infrastructuur is een doelwit. De oude NIS-richtlijn was te beperkt om deze dreigingen het hoofd te bieden.
NIS2 breidt de scope drastisch uit: meer sectoren, meer organisaties, strengere eisen, hogere boetes.
Val je onder NIS2?
NIS2 onderscheidt twee categorieën: essentiële entiteiten en belangrijke entiteiten. De eisen zijn grotendeels gelijk, maar het toezicht verschilt.
Essentiële entiteiten
Dit zijn organisaties in kritieke sectoren die aan bepaalde omvangcriteria voldoen:
Sectoren:
- Energie (elektriciteit, gas, olie, waterstof)
- Transport (lucht, spoor, water, weg)
- Bankwezen
- Financiële marktinfrastructuur
- Gezondheidszorg
- Drinkwater
- Afvalwater
- Digitale infrastructuur (DNS, datacenters, cloudproviders)
- ICT-dienstverleners (MSP’s, MSSP’s)
- Overheid
- Ruimtevaart
Omvang:
- Grote ondernemingen (250+ medewerkers of >€50M omzet én >€43M balanstotaal)
- Of aangewezen door de overheid vanwege kritieke rol
Belangrijke entiteiten
Dit zijn organisaties in aanvullende sectoren of kleinere organisaties in essentiële sectoren:
Aanvullende sectoren:
- Post- en koeriersdiensten
- Afvalbeheer
- Chemie
- Voeding
- Productie (medische hulpmiddelen, elektronica, machines, voertuigen)
- Digitale dienstverleners (online marktplaatsen, zoekmachines, sociale netwerken)
- Onderzoek
Omvang:
- Middelgrote ondernemingen (50-250 medewerkers of €10-50M omzet)
- Grote ondernemingen in de aanvullende sectoren
Twijfel je of je eronder valt?
Het NCSC heeft een NIS2 zelfevaluatietool waarmee je kunt checken of je organisatie binnen de scope valt. Raadpleeg deze tool en bespreek twijfelgevallen met een jurist.
Wat eist NIS2?
De richtlijn stelt eisen op drie gebieden: risicobeheer, incidentmelding, en governance.
1. Risicobeheermaatregelen
Organisaties moeten “passende en evenredige technische, operationele en organisatorische maatregelen” nemen. De richtlijn noemt specifiek:
- Beleid voor risicoanalyse en informatiebeveiliging
- Incidentafhandeling - detectie, respons, en herstel
- Bedrijfscontinuïteit - backups, disaster recovery, crisisbeheer
- Supply chain security - beveiliging van leveranciers en dienstverleners
- Beveiliging bij inkoop - security in aanschaf en ontwikkeling van systemen
- Effectiviteitsbeoordeling - meten of maatregelen werken
- Cyberhygiëne en training - basispraktijken en bewustzijn
- Cryptografie - beleid voor encryptie
- Toegangsbeheer - HR-security, identity management
- Multi-factor authenticatie - sterke authenticatie waar passend
2. Incidentmelding
Significante incidenten moeten worden gemeld aan de toezichthouder:
| Termijn | Wat |
|---|---|
| 24 uur | Eerste melding (“early warning”) |
| 72 uur | Incidentmelding met eerste beoordeling |
| 1 maand | Eindverslag met analyse en genomen maatregelen |
Een incident is “significant” als het:
- Ernstige operationele verstoring of financiële schade veroorzaakt
- Andere personen of organisaties aanzienlijke schade kan berokkenen
3. Governance en verantwoording
De directie is verantwoordelijk voor cybersecurity. Dit is expliciet in NIS2:
- Directie moet cybersecurity-maatregelen goedkeuren
- Directie moet toezien op implementatie
- Directie is aansprakelijk bij niet-naleving
- Directieleden moeten cybersecurity-training volgen
Persoonlijke aansprakelijkheid
NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders. Bij ernstige nalatigheid kunnen directieleden persoonlijk worden beboet of tijdelijk worden uitgesloten van bestuursfuncties.
Hoe helpt ISO 27001?
ISO 27001 is niet verplicht onder NIS2, maar het is wel een uitstekende manier om aan de eisen te voldoen. Er is grote overlap tussen wat NIS2 vraagt en wat ISO 27001 biedt.
De overlap
| NIS2-eis | ISO 27001 dekking |
|---|---|
| Risicoanalyse en beleid | ✅ Hoofdstuk 6: risicobeoordeling |
| Incidentafhandeling | ✅ Annex A 5.24-5.28 |
| Bedrijfscontinuïteit | ✅ Annex A 5.29-5.30 |
| Supply chain security | ✅ Annex A 5.19-5.23 |
| Effectiviteitsmeting | ✅ Hoofdstuk 9: evaluatie |
| Training en awareness | ✅ Hoofdstuk 7.2-7.3, Annex A 6.3 |
| Cryptografie | ✅ Annex A 8.24 |
| Toegangsbeheer | ✅ Annex A 5.15-5.18, 8.2-8.5 |
| MFA | ✅ Annex A 8.5 |
| Directiebetrokkenheid | ✅ Hoofdstuk 5: leiderschap |
Wat ISO 27001 toevoegt
ISO 27001 gaat verder dan de minimale NIS2-eisen:
- Een systematische aanpak via het ISMS
- Continue verbetering ingebakken in het systeem
- Externe validatie door een geaccrediteerde auditor
- Internationale erkenning die ook buiten NIS2-context waarde heeft
Wat ISO 27001 niet dekt
Er zijn aspecten van NIS2 waar ISO 27001 niet expliciet op ingaat:
- Incidentmelding aan toezichthouder - ISO 27001 vraagt incidentregistratie, maar niet melding aan externe partijen
- Specifieke meldtermijnen - De 24/72-uur deadlines zijn NIS2-specifiek
- Sectorspecifieke eisen - Sommige sectoren hebben aanvullende eisen
Je hebt dus ISO 27001 + aanvullende processen nodig voor volledige NIS2-compliance.
Praktische aanpak
Als je nog niets hebt
- Check of je onder NIS2 valt via de NCSC-tool
- Start met een gap-analyse - waar sta je nu?
- Implementeer ISO 27001 - dit geeft je de basis
- Voeg NIS2-specifieke processen toe - met name incidentmelding
- Train je directie - zij zijn verantwoordelijk
Als je al ISO 27001 hebt
Je hebt een voorsprong. Focus op:
- Incidentmeldproces - kun je binnen 24 uur melden?
- Supply chain review - heb je zicht op je leveranciers?
- Directiebetrokkenheid - is de directie aantoonbaar betrokken?
- Documentatie - kun je aantonen dat je voldoet?
Tijdlijn
| Wanneer | Wat |
|---|---|
| Nu | Bepaal of je onder NIS2 valt |
| Q1 2025 | Gap-analyse en plan |
| Q2-Q3 2025 | Implementatie van maatregelen |
| Q4 2025 | Processen operationeel |
| 2026 | Eerste audits door toezichthouders te verwachten |
Boetes en handhaving
NIS2 introduceert forse boetes:
| Categorie | Maximale boete |
|---|---|
| Essentiële entiteiten | €10 miljoen of 2% van wereldwijde omzet |
| Belangrijke entiteiten | €7 miljoen of 1,4% van wereldwijde omzet |
Daarnaast kunnen toezichthouders:
- Waarschuwingen en aanwijzingen geven
- Bindende instructies opleggen
- Bestuurders tijdelijk schorsen
- Activiteiten stilleggen
De handhaving ligt bij sectorale toezichthouders: DNB voor financiële instellingen, Agentschap Telecom voor telecom, NVWA voor voeding, etc.
Veelgestelde vragen
Is ISO 27001 voldoende voor NIS2?
Grotendeels wel, maar niet volledig. Je hebt aanvullende processen nodig voor incidentmelding en mogelijk sectorspecifieke eisen.
Moet ik gecertificeerd zijn?
NIS2 eist geen certificering. Maar een ISO 27001 certificaat is het sterkste bewijs dat je informatiebeveiliging op orde hebt. Bij een audit door de toezichthouder is het een groot voordeel.
Geldt NIS2 ook voor mkb?
Ja, als je in een van de sectoren valt en aan de omvangcriteria voldoet (50 of meer medewerkers, of meer dan €10 miljoen omzet). Kleine bedrijven (minder dan 50 medewerkers) vallen er meestal niet onder, tenzij ze een kritieke rol spelen.
Wat als ik leverancier ben van een NIS2-organisatie?
NIS2 verplicht organisaties om hun supply chain te beveiligen. Je klanten zullen eisen aan jou stellen. ISO 27001 certificering wordt steeds vaker gevraagd door NIS2-plichtige organisaties aan hun leveranciers.
Hoe verhoudt NIS2 zich tot de AVG?
Beide zijn EU-wetgeving, maar met verschillende focus. De AVG beschermt persoonsgegevens; NIS2 beschermt netwerk- en informatiesystemen. Er is overlap bij datalekken: een cyberincident met persoonsgegevens moet zowel onder AVG als NIS2 worden gemeld.
Meer informatie
- Wat is ISO 27001? – Introductie tot de norm
- Het ISMS – Het managementsysteem uitgelegd
- Annex A maatregelen – De 93 controls
- NCSC NIS2-informatie – Officiële overheidsinfo
- Europese NIS2-tekst – De volledige richtlijn
- Digital Trust Center – Hulp voor mkb