U heeft al een ISO 27001-ISMS (of bouwt er een) en u valt onder NIS2. Twee aparte trajecten betekent dubbel documenteren, dubbel auditen en dubbele belasting op stakeholders. Wij koppelen NIS2-controls aan uw bestaande ISMS — één set controls, één documentatie-bibliotheek, één audit-cyclus.
Deze pagina is voor organisaties die al verder zijn dan de gap-analyse. U heeft een ISO 27001-ISMS dat draait — of u bent bezig met certificering — en u bent tegelijkertijd in scope van NIS2 onder de Nederlandse Cyberbeveiligingswet (Cbw). De vraag is niet langer "wat moeten we doen" — die is beantwoord. De vraag is nu: hoe koppelen we NIS2-controls aan ons bestaande ISMS zonder dubbele documentatie, dubbele audits en dubbele workload op dezelfde ISO-, compliance- en IT-mensen?
Onze integratie-aanpak bouwt één unified control framework dat tegelijk aan NIS2 Artikel 21, ISO 27001 Annex A en — waar relevant — AI Act Artikel 15 cybersecurity-eisen voldoet. Per control documenteren we de doelstelling, de implementatie-eis per framework (met kruisverwijzing ISO 27001 Annex A ↔ NIS2 Artikel 21 ↔ eventueel AI Act Artikel 15), de verantwoordelijke eigenaar, het benodigde bewijs en de review-frequentie. Dit maakt dat dezelfde risicobeoordeling dient als bewijs voor uw ISO 27001-certificeringsauditor én voor de NIS2-toezichthouder (RDI). Dat dezelfde incident-logboeken de NIS2-meldplicht onder Artikel 23 afdekken én ISO 27001 controls A.5.24-A.5.28. Dat dezelfde supplier-assessments voldoen aan NIS2 Artikel 22 én ISO 27001 A.5.19-A.5.23.
De basis voor deze integratie staat letterlijk in de richtlijn. Overweging 79 van NIS2 erkent expliciet het gebruik van Europese en internationale standaarden — waaronder ISO/IEC 27001 — als bewijs van conformiteit. Consultancy-benchmarks geven circa 70% overlap tussen ISO 27001 Annex A en NIS2 Artikel 21; de resterende 30% bestaat uit NIS2-specifieke wettelijke verplichtingen die een vrijwillige standaard per definitie niet dekt. Behandel dat 70%-cijfer als richting, niet als garantie — de daadwerkelijke overlap hangt af van de volwassenheid van uw ISMS, de scope van uw certificering en uw sector.
Waarin de integratie-aanpak zich onderscheidt van een losse gap-analyse: hier koppelen we actief. We herzien uw Statement of Applicability (SoA) om NIS2-controls expliciet op te nemen, voegen Artikel 23-meldprocedures toe als ISMS-proces (niet als apart document), integreren de bestuursverantwoordelijkheidseis uit Artikel 20 in uw bestaande management-review-cyclus, en zorgen dat uw ISMS-auditplan de NIS2-delta dekt in de jaarlijkse interne audit. Het resultaat is één ISMS dat twee frameworks tegelijk bewijst — niet twee parallelle papier-stapels die ongeveer hetzelfde zeggen.
Praktisch: we zetten het unified control framework op in 2-3 maanden bij organisaties met bestaande ISO 27001-certificering, en in 4-6 maanden bij organisaties die van nul ISMS starten. Vaste projectprijs na gap-analyse — geen uurtje-factuurtje.
Dubbele documentatie, dubbele audit-cycli en onsamenhangende crisisprocedures
Bestaande ISO 27001-certificering en binnenkort ook NIS2-verplichtingen — risico op twee parallelle ISMS-documentatie-silo's
Twee losse trajecten offertes op tafel — dubbele kosten voor dezelfde risico-interviews en controls
— kost je typisch 25-35% extra vs geïntegreerd
Statement of Applicability (SoA) moet herzien worden maar het is onduidelijk welke NIS2-controls erbij komen en welke ISO-controls volstaan
Artikel 23-meldprocedure (24/72u) staat los van uw ISMS-incidentprocedure — risico dat beide in een crisis uit de pas lopen
Bestuursverantwoordelijkheid onder Artikel 20 is nog niet verankerd in uw management-review-cyclus
Interne auditor en certificeringsauditor moeten beide dezelfde documentatie reviewen — nu in twee verschillende formats
Van SoA-herziening tot incident-procedures en audit-cyclus
Elk control gedocumenteerd met doelstelling, ISO 27001 Annex A-referentie, NIS2 Artikel 21-grondslag, eigenaar, bewijs en review-cyclus. De kern-overlap (risicomanagement, incidentafhandeling, toegangsbeheer, cryptografie, supply chain, business continuity, awareness) wordt één keer gedocumenteerd en twee keer geaccepteerd.
Uw bestaande SoA wordt uitgebreid met NIS2-specifieke controls die niet in ISO 27001 Annex A zitten: Artikel 23-meldprocedures (24-uurs vroege waarschuwing, 72-uurs volledige melding, eindrapport), uitgebreide supply chain-risicobeoordeling per Artikel 22, crisismanagementplan met escalatiematrix. Per control: juridische grondslag expliciet.
Bestuursverantwoordelijkheid wordt onderdeel van uw bestaande ISO 27001 management-review-cyclus: goedkeuring risicobeheermaatregelen, toezicht op uitvoering, trainingskalender voor bestuursleden, audit-trail van besluitvorming. Niet een apart document — onderdeel van uw ISMS.
Uw bestaande ISMS-incidentproces (ISO 27001 A.5.24-A.5.28) wordt uitgebreid met de Artikel 23-meldtermijnen richting RDI of sector-CSIRT. Één playbook, één logboek, één post-incident-review. Bij een crisis gaat alles via hetzelfde proces — risico op "papier vs praktijk"-discrepantie verdwijnt.
Leveranciersbeoordelingen, contractclausules en doorlopende monitoring worden in één proces vormgegeven dat tegelijk Artikel 22 (NIS2) en ISO 27001 A.5.19-A.5.23 afdekt. Supplier-questionnaires bevatten NIS2-specifieke vragen (bv. of de leverancier zelf in scope is), ISMS-SoA documenteert welke controls contractueel zijn afgedwongen.
Uw jaarlijkse interne audit dekt de NIS2-delta mee, bewijs wordt in hetzelfde formaat geleverd aan de externe certificeringsauditor én op aanvraag aan RDI. Certificering blijft ISO 27001 — maar het certificaat dekt dan aantoonbaar een substantieel deel van uw NIS2-verplichtingen af.
Klaar om te kijken wat nis2 en iso 27001 integratie: eén isms voor beide frameworks voor jou betekent?
Vraag een integratie-intake aanMet bestaande ISO 27001: 2-3 maanden. Vanaf nul ISMS: 4-6 maanden
Delta-analyse (2-3 weken): mapping ISO 27001 Annex A → NIS2 Artikel 21, gap-lijst NIS2-specifieke aanvullingen, herziening SoA-voorstel
Framework-ontwerp (3-4 weken): unified control framework, gekoppelde procedures (incident, supplier, crisis), management-review-aanpassing Artikel 20
Implementatie (6-10 weken): procedures uitrollen, trainingen bestuur en sleutelfiguren, eerste test-run van 24/72u-meldpath, supplier-contractclausules
Interne audit + certificeringsaudit (3-4 weken): NIS2-delta meegenomen in jaarlijkse interne audit, externe ISO 27001-audit bevestigt geïntegreerde scope
Continuous improvement: jaarlijkse management-review dekt beide frameworks, kwartaal-monitoring op controls die NIS2-specifiek zijn
Antwoorden op veelgestelde vragen over nis2 en iso 27001 integratie: eén isms voor beide frameworks
De gap-analyse is een momentopname — waar staat u, wat ontbreekt, welke volgorde. Deze integratie-pagina is voor organisaties die al verder zijn: het ISO 27001-ISMS draait en NIS2 moet eraan gekoppeld. Hier bouwen we actief: Statement of Applicability herzien, unified control framework opzetten, incident-procedures koppelen, management-review uitbreiden, audit-cyclus afstemmen. Eindproduct: één werkend ISMS voor beide frameworks — niet twee naast elkaar.
Formeel niet. Overweging 79 van de [NIS2-richtlijn](https://eur-lex.europa.eu/eli/dir/2022/2555/oj) verwijst echter expliciet naar ISO/IEC 27001 als referentiekader voor de vereiste beveiligingsmaatregelen. In de praktijk betekent dit dat een geldige ISO 27001-certificering sterk bewijs is dat u voldoet aan de technische en organisatorische maatregelen die NIS2 Artikel 21 verplicht stelt — en dat maakt inspecties door RDI en aanbestedingen met compliance-eisen aanmerkelijk eenvoudiger. De extra stap naar certificering is relatief klein als u het ISMS toch al opbouwt voor NIS2.
Drie gebieden vragen NIS2-specifieke aanvullingen. (1) De 24/72-uurs meldplicht aan toezichthouder of sector-CSIRT — ISO 27001 heeft incident management (A.5.24-A.5.28) maar geen specifieke meldtermijnen. (2) Bestuursverantwoordelijkheid onder Artikel 20 met verplichte trainingen en persoonlijke aansprakelijkheid — ISO 27001 vraagt management support, geen persoonlijke aansprakelijkheid. (3) De Cyberbeveiligingswet-specifieke bepalingen (Nederlandse omzetting). Deze gebieden worden in de integratie als expliciete aanvullingen op de bestaande ISMS-controls toegevoegd.
Met bestaande ISO 27001-certificering typisch €10.000-€25.000 voor de NIS2-integratie (delta-analyse, SoA-herziening, procedure-aanpassingen, training, audit-voorbereiding). Zonder bestaand ISMS (geïntegreerd opbouwen vanaf nul) €25.000-€75.000 — breakdown: gap-analyse en scoping (€3.000-€8.000), beleidskader en risicobeoordeling (€5.000-€15.000), unified control framework en documentatie (€8.000-€20.000), technische implementatie (€5.000-€15.000), certificeringsaudit door geaccrediteerde CI (€4.000-€12.000). Vaste projectprijs na intake.
Het unified framework is modulair. Voor organisaties die hoog-risico AI-systemen ontwikkelen of inzetten voegen we een AI Act Artikel 15-module toe: bescherming tegen data-poisoning, model-evasion en adversarial inputs, plus logging en traceerbaarheid. Die module haakt aan op bestaande ISO 27001-controls voor cryptografie, access control en logging — geen apart framework, maar een extra laag binnen hetzelfde ISMS. Voor organisaties zonder AI-systemen blijft dit onderdeel uit.
Ja — dat is een veelvoorkomend scenario. Wij reviewen uw bestaande ISMS, leveren de NIS2-delta-analyse, herzien uw SoA en procedures, en dragen vervolgens over aan uw bestaande ISMS-partner voor doorlopende onderhoud. De integratie is framework-agnostisch: zolang het een NEN-EN-ISO/IEC 27001:2022-ISMS is, kunnen NIS2-controls eraan gekoppeld worden. Geen lock-in, wel expliciete kennisoverdracht.
Vraag niet beantwoord?
Neem contact met ons op - ga naar de contactpaginaIn een kort gesprek bespreken we jouw situatie en laten we zien welke processen het meeste opleveren als je ze automatiseert. Geen verplichtingen.
Gratis · vrijblijvend · reactie binnen 24 uur
Al 40+ bedrijven besparen tijd en kosten met onze oplossingen.
Van NIS2 gap-analyse tot Azure security en ISO 27001-implementatie
Managed SOC + SIEM voor organisaties die 24/7 dreigingsdetectie nodig hebben zonder zes FTE security-analisten in dienst te nemen. NIS2-conforme rapportage inbegrepen.
Gecertificeerde ethical hackers simuleren realistische aanvallen op je websites, apps en netwerken. Vaste prijs na scoping, concreet rapport met actieplan en gratis hertest. Vanaf €3.500 voor een webapp-pentest.
DMARC-implementatie, SPF/DKIM-configuratie en anti-phishing managed service. Gefaseerd van monitor naar reject-enforcement, zonder dat marketing-mail of facturen in de spam belanden.
Je weet dat NIS2 op je organisatie van toepassing is. Nu moet je de tien basismaatregelen, de 24-uurs meldplicht en bestuurdersaansprakelijkheid concreet implementeren. Wij begeleiden je van roadmap tot aantoonbare NIS2 compliance.
Standaard-deployments scoren 30-45% op de Microsoft Secure Score. Na hardening boven de 85%. Wij configureren Defender for Cloud, Sentinel, Conditional Access en Key Vault zo dat uw Azure-omgeving audit-ready is — in 3 tot 5 weken, vaste prijs.
Ransomware-aanval actief of vermoeden van een datalek? Ons CSIRT staat 24/7 paraat — containment, forensisch onderzoek, herstel en NIS2/AVG-meldingen. Retainer vanaf €500/maand met response-SLA van 2 uur.
