Audit & Assurance

Waarom ISO27001 niet genoeg is in het NIS2-tijdperk

Heb je een ISO/IEC 27001‑certificaat en val je (mogelijk) onder NIS2? Dan ben je er nog niet. NIS2 introduceert aanvullende wettelijke plichten die je moet naleven. Denk hierbij aan zorgplicht, meldplicht, ketenverantwoordelijkheid en bestuurlijke aansprakelijkheid.

Artikel 25 september 2025
Services
Audit & Assurance
Man en vrouw achter computer

Senior IT auditor

Portretfoto van Marieke van den Boogaard

ISO 27001 versus NIS2 in het kort

NIS2 is de Europese regelgeving voor digitale en economische weerbaarheid van essentiële en belangrijke entiteiten. De regelgeving legt verplichte maatregelen op rond risicobeheer, incidentmelding, governance en ketenbeveiliging. Wie zich er niet aan houdt, krijgt een boete. 

ISO/IEC 27001 is een internationale, vrijwillige norm voor een informatiebeveiligingsmanagementsysteem (ISMS). Je toont hiermee aan dat je informatiebeveiliging structureel organiseert binnen een door jou gedefinieerde scope.

Wat zijn de verschillen tussen ISO 27001 en NIS2?

  • NIS2 geldt wettelijk voor aangewezen sectoren en entiteiten, ISO 27001 blijft vrijwillig.
  • NIS2 gaat uit van een ‘all hazards’ benadering over je netwerk- en informatiesystemen heen. ISO 27001 volgt jouw ISMS‑scope; wat buiten scope valt, kan bij NIS2 toch onder je zorgplicht vallen.
  • NIS2 stelt eisen aan cybersecurity ten behoeve van de bedrijfscontinuïteit. ISO27001 draagt bij aan bedrijfscontinuïteit maar gaat hier in de basis niet over. Daarom sluit de keuze van beheersmaatregelen mogelijk niet aan bij de doelstelling van NIS2.
  • ISO27001 is niet bedoeld voor industriële automatiserings- en controlesystemen. Deze zijn wel van belang in het kader van cybersecurity en bedrijfscontinuïteit in het kader van NIS2.
  • NIS2 legt veel nadruk op de volledige toeleveringsketen waar bij ISO27001 vooral naar de toeleveringsketen van ICT-producten en -diensten wordt gekeken.
  • NIS2 vraagt inhoudelijke betrokkenheid van topmanagement en maakt bestuurders verantwoordelijk. Onder ISO27001 moet het topmanagement leiderschap en betrokkenheid tonen bij het managementsysteem.

Risico’s van niet-naleving

Tenzij er contractuele afspraken zijn gemaakt, heeft het niet behalen van een ISO27001 certificering geen financiële consequenties. Voor NIS2 is dit anders. De toezichthouder kan boetes opleggen tot 2% van de wereldwijde jaaromzet of maximaal € 10 miljoen.

Meer weten?

aaff is graag overal van betekenis. Voor (cyber)securityvragen of ondersteuning bij een NIS2‑gap‑assessment, registratie en implementatie kun je contact opnemen met de specialisten van ons IT-audit team.

Wil je meer weten over dit onderwerp? Onze specialist helpt je graag verder!

Neem contact op met Marieke
Portretfoto van Marieke van den Boogaard
Neem contact op met Marieke

Andere inzichten

Zo creëer je voorsprong: pak NIS2 strategisch aan

NIS2 vraagt om actie. Met de juiste aanpak vergroot je niet alleen je digitale veiligheid, maar ook je betrouwbaarheid, klantvertrouwen én groeikansen. Zet NIS2 strategisch in.

Icoontje_digitale_veiligheid
Artikel

De NIS2-richtlijn: wat je als ondernemer moet weten

De NIS2-richtlijn versterkt de cyberbeveiliging in de EU met strengere regels dan de eerdere richtlijn uit 2016.

De ‘Network and Information Security Directive 2’, versterkt de cyberbeveiliging in de EU
Artikel

Dit is waarmee we je kunnen helpen

IT-audit

Cybersecurity & continuïteit

Duurzaamheidsassurance

Audit & Assurance

Aanmelden nieuwsbrief

Altijd op de hoogte van het laatste nieuws

Meld je direct aan

Volg aaff op LinkedIn

Blijf op de hoogte van het laatste nieuws via onze LinkedIn pagina

Volg ons nu