Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

Dekt mijn ISO 27001-certificering de zorgplicht onder NIS2?

Vastgesteld 2026-06-16 · ≈ 2 min lezen · Dirk Baaijen

ISO 27001 dekt een groot deel van de NIS2-risicobeheermaatregelen, maar is geen automatische compliance. Meldplicht, bestuursverantwoordelijkheid, ketenrisico en registratie moet je apart afdekken.

Kort antwoord: Een ISO 27001-certificering geeft je een sterke basis voor de zorgplicht onder NIS2, maar dekt die niet automatisch volledig. NIS2 stelt enkele eisen die buiten de standaard scope van een ISMS-certificaat vallen, zoals de wettelijke meldplicht en expliciete bestuursverantwoordelijkheid. Die gaten moet je apart afdekken.

Wat is de overlap?

ISO/IEC 27001 is de internationale standaard voor een informatiebeveiligingsmanagementsysteem (ISMS): een systematische aanpak om risico's voor informatie te identificeren, te beheersen en te blijven verbeteren. NIS2 (Richtlijn (EU) 2022/2555, art. 21) eist een set risicobeheermaatregelen die op essentiële onderdelen aansluit bij wat een 27001-ISMS al doet.

Goed gedekt door ISO 27001 zijn onder meer:

  • Risicobeheer: een systematische risicoanalyse en bijbehorende beheersmaatregelen vormen de kern van de standaard.
  • Toegangsbeleid: identiteits- en toegangsbeheer zijn standaard onderdeel van het ISMS.
  • Encryptie: beleid voor cryptografie en gegevensbescherming.
  • Bedrijfscontinuïteit: continuïteits- en herstelmaatregelen bij incidenten.

Heb je een actuele 27001-certificering, dan heb je het zwaarste fundament dus al staan.

Welke gaten blijven over?

NIS2 voegt verplichtingen toe die een 27001-certificaat niet automatisch aantoont. Houd minstens rekening met:

  • Wettelijke meldplicht: bij een significant incident geldt een vroege waarschuwing binnen 24 uur en een uitgebreidere melding binnen 72 uur aan de bevoegde autoriteit. Dit is een wettelijke termijn, niet alleen een interne procedure.
  • Bestuursverantwoordelijkheid en training: het bestuur moet de maatregelen goedkeuren, erop toezien en zelf scholing volgen. NIS2 legt verantwoordelijkheid expliciet bij de leiding.
  • Ketenrisico bij leveranciers: je moet de beveiliging in je toeleveringsketen en bij dienstverleners beheersen, breder dan een 27001-scope vaak afdekt.
  • Registratie: entiteiten die onder NIS2 vallen, moeten zich registreren bij de bevoegde autoriteit.

Wat betekent dit voor transport en logistiek?

Veel logistieke partijen vallen onder NIS2. Gebruik je 27001-ISMS als basis en voer een gerichte gap-analyse uit: leg de 27001-maatregelen naast art. 21 en de meld-, bestuurs- en registratieverplichtingen, en vul de verschillen aan. Zo voorkom je de aanname dat een certificaat je vrijstelt van de NIS2-zorgplicht.

Lees ook het overzicht Transport & Logistiek. Doe de scan.

Bronnen

  1. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlijn (EU) 2022/2555 (NIS2), art. 21: risicobeheermaatregelen.

Deel op LinkedIn

Lees ook

U

De Nederlandse Cyberbeveiligingswet: zo wordt NIS2 in Nederland recht

De Cyberbeveiligingswet zet NIS2 om in Nederlands recht: zorgplicht, meldplicht en bestuursaansprakelijkheid. De wet is nog in behandeling en treedt naar verwachting later in werking dan de EU-deadline.

U

NIS2-zorgplicht: de beveiligingsmaatregelen

Artikel 21 van de NIS2-richtlijn verplicht essentiële en belangrijke entiteiten tot tien concrete, risicogebaseerde beveiligingsmaatregelen waarover het bestuur eindverantwoordelijkheid draagt.

A

AI beveiligen in kritieke infrastructuur: waar AI Act, Cyber Resilience Act en NIS2 samenkomen

Eén AI-systeem in een haven valt vaak onder drie kaders tegelijk: de AI Act (art. 15) beveiligt het AI-systeem zelf, de Cyber Resilience Act het product, en NIS2 verplicht de exploitant als essentiële entiteit. Dit stuk legt uit hoe ze samenkomen en wie waarvoor verantwoordelijk is.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

Maandelijkse Transport & Logistiek-signalering

Eén keer per maand: de EU-ontwikkelingen die transport en logistiek raken, kort geduid — met bron. Geen spam, uitschrijven kan altijd.

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.