NIS2 en ISO 27001 in België: hoe ze samenwerken

Belgische organisaties die onder de NIS2-richtlijn vallen, staan voor een dringende vraag: wat is het meest efficiënte pad naar compliance? Voor velen ligt het antwoord bij ISO 27001 — de internationale norm voor informatiebeveiligingsmanagementsystemen (ISMS). Hoewel NIS2 en ISO 27001 verschillende kaders zijn, delen ze een aanzienlijke overlap, en het benutten van het ene om aan het andere te voldoen kan tijd, budget en inspanning besparen. Dit artikel legt uit hoe de twee kaders op elkaar aansluiten en hoe Belgische bedrijven ze strategisch samen kunnen gebruiken.

NIS2-vereisten in een notendop

De NIS2-richtlijn stelt een basislijn vast van cyberbeveiligingsverplichtingen voor essentiële en belangrijke entiteiten in de hele EU. In België houdt het Centrum voor Cybersecurity België (CCB) toezicht op de implementatie en handhaving. De richtlijn vereist dat organisaties maatregelen implementeren die het volgende omvatten:

• Risicoanalyse en informatiebeveiligingsbeleid — gedocumenteerde, systematische benaderingen voor het identificeren en beheren van cyberrisico's.
• Incidentafhandeling — detectie, respons en melding van significante incidenten aan het CCB binnen 24 uur.
• Bedrijfscontinuïteit en crisismanagement — back-upbeheer, disaster recovery en continuïteitsplannen.
• Beveiliging van de toeleveringsketen — risicobeoordeling van directe leveranciers en dienstverleners.
• Kwetsbaarheidsbeheer — regelmatige tests, patches en gecoördineerde openbaarmaking van kwetsbaarheden.
• Cyberbeveiligingstraining — bewustwordingsprogramma's voor al het personeel, inclusief verantwoordelijkheid van het management.
• Encryptie en toegangscontrole — passend gebruik van cryptografie en multi-factor authenticatie.

Organisaties binnen het toepassingsgebied variëren van energie en gezondheidszorg tot digitale infrastructuur en productie. Zie onze gids over NIS2-sectoren in België voor een volledig overzicht van wie moet voldoen.

Overzicht van het ISO 27001-kader

ISO 27001:2022 is de wereldwijd erkende norm voor het vaststellen, implementeren, onderhouden en continu verbeteren van een ISMS. Het biedt een gestructureerde, risicogebaseerde benadering van informatiebeveiliging via twee hoofdcomponenten:

• Clausules 4-10 — definiëren de vereisten voor het managementsysteem, waaronder de context van de organisatie, leiderschapsbetrokkenheid, planning, ondersteuning, uitvoering, prestatie-evaluatie en continue verbetering.
• Annex A — bevat 93 controles georganiseerd in vier categorieën: organisatorisch (37 controles), mensen (8 controles), fysiek (14 controles) en technologisch (34 controles).

Een ISO 27001 gap-analyse is doorgaans de eerste stap naar certificering, waarbij wordt vastgesteld waar huidige praktijken tekortschieten ten opzichte van de vereisten van de norm.

Mapping van NIS2-artikelen naar ISO 27001-controles

Een aanzienlijk deel van de beveiligingsvereisten van NIS2 komt rechtstreeks overeen met ISO 27001-controles. Hier is hoe de belangrijkste NIS2-verplichtingen aansluiten:

• Risicoanalyse (NIS2 Art. 21.2a) — komt overeen met ISO 27001 Clausule 6.1 (risicobeoordeling) en Annex A-controles A.5.1 (beleid voor informatiebeveiliging) en A.8.8 (beheer van technische kwetsbaarheden).
• Incidentafhandeling (NIS2 Art. 21.2b) — komt overeen met Annex A-controles A.5.24 (planning incidentbeheer informatiebeveiliging), A.5.25 (beoordeling en beslissing over gebeurtenissen), A.5.26 (respons op incidenten) en A.6.8 (melding van gebeurtenissen).
• Bedrijfscontinuïteit (NIS2 Art. 21.2c) — komt overeen met Annex A-controles A.5.29 (informatiebeveiliging tijdens verstoringen) en A.5.30 (ICT-gereedheid voor bedrijfscontinuïteit).
• Beveiliging toeleveringsketen (NIS2 Art. 21.2d) — komt overeen met Annex A-controles A.5.19-A.5.23 over leveranciersrelaties, inclusief overeenkomsten, monitoring en wijzigingsbeheer.
• Kwetsbaarheidsbeheer (NIS2 Art. 21.2e) — komt overeen met A.8.8 (beheer van technische kwetsbaarheden) en A.8.34 (bescherming van informatiesystemen tijdens audittests).
• Cyberhygiëne en training (NIS2 Art. 21.2g) — komt overeen met A.6.3 (bewustwording, opleiding en training informatiebeveiliging) en A.5.4 (verantwoordelijkheden van het management).
• Cryptografie en toegangscontrole (NIS2 Art. 21.2h-j) — komt overeen met A.8.24 (gebruik van cryptografie), A.5.15-A.5.18 (toegangscontrolebeleid) en A.8.5 (veilige authenticatie).

Hoe ISO 27001-certificering helpt bij NIS2-compliance

Hoewel ISO 27001-certificering niet automatisch NIS2-compliance garandeert, biedt het een substantiële basis. Het Belgische CCB heeft erkend dat organisaties met een gevestigd ISMS gebaseerd op ISO 27001 aanzienlijk beter gepositioneerd zijn voor NIS2-compliance. Concreet helpt ISO 27001 op de volgende manieren:

1. Gestructureerd risicomanagement — het verplichte risicobeoordelingsproces van ISO 27001 voldoet rechtstreeks aan de NIS2-vereiste voor risicoanalyse en beveiligingsbeleid.
2. Gedocumenteerde controles — de norm vereist gedocumenteerde implementatie van beveiligingscontroles, die dient als bewijs van NIS2-compliance.
3. Betrokkenheid van het management — ISO 27001 vereist betrokkenheid van het topmanagement, in lijn met de NIS2-vereiste voor verantwoordelijkheid van bestuursorganen.
4. Continue verbetering — de Plan-Do-Check-Act-cyclus zorgt ervoor dat beveiligingsmaatregelen regelmatig worden herzien en verbeterd, conform de verwachtingen van doorlopende NIS2-compliance.
5. Validatie door derden — certificering door een geaccrediteerde instantie biedt onafhankelijke zekerheid dat beveiligingsmaatregelen voldoen aan internationaal erkende normen.

Schattingen uit de sector suggereren dat ISO 27001 ongeveer 70-75% van de NIS2-vereisten rechtstreeks dekt. De resterende lacunes hebben doorgaans betrekking op NIS2-specifieke verplichtingen zoals meldingstermijnen voor incidenten, sectorspecifieke vereisten en de governancebepalingen van de richtlijn.

Gap-analyse: van ISO 27001 naar volledige NIS2-compliance

Organisaties die al ISO 27001-certificering hebben — of deze nastreven — moeten een gerichte gap-analyse uitvoeren om vast te stellen welke aanvullende maatregelen nodig zijn voor NIS2. De typische lacunes omvatten:

• Meldingstermijnen voor incidenten — NIS2 vereist melding van significante incidenten aan het CCB binnen 24 uur (vroegtijdige waarschuwing), 72 uur (volledige melding) en één maand (eindrapport). ISO 27001 vereist incidentbeheer maar schrijft geen specifieke termijnen voor.
• Diepte van ketenbeveiliging — NIS2 eist een grondiger beoordeling van de cyberbeveiligingshouding van leveranciers dan de Annex A-controles van ISO 27001 doorgaans vereisen.
• Verantwoordelijkheid van bestuursorganen — NIS2 houdt het bestuur persoonlijk verantwoordelijk en vereist dat zij cyberbeveiligingstraining volgen, wat verder gaat dan de leiderschapsvereisten van ISO 27001.
• Sectorspecifieke verplichtingen — afhankelijk van uw sector kunnen aanvullende technische of organisatorische maatregelen van toepassing zijn bovenop de ISO 27001-basislijn.

Begrijpen hoe NIS2 interageert met andere regelgeving is ook belangrijk. Onze gids over AVG vs NIS2 in België behandelt hoe deze twee grote EU-kaders overlappen en waar ze uiteenlopen. Een uitgebreide beveiligingsaudit kan helpen om de inspanning en investering te kwantificeren die nodig zijn om resterende lacunes te dichten.

Het CCB-perspectief: de Belgische aanpak

Het Centrum voor Cybersecurity België speelt een centrale rol bij de implementatie van NIS2. Het CCB heeft het CyberFundamentals-kader ontwikkeld, dat aansluit bij ISO 27001 en een gestructureerd pad biedt waarmee Belgische organisaties NIS2-compliance kunnen aantonen. Het kader definieert assuranceniveaus (Basic, Important, Essential) die overeenkomen met het risicoprofiel van de organisatie en haar NIS2-classificatie.

Organisaties die gecertificeerd zijn voor ISO 27001 kunnen hun bestaande ISMS-documentatie en auditresultaten benutten bij het aantonen van compliance via het CyberFundamentals-kader. Dit vermindert dubbel werk en biedt een gestroomlijnd compliancepad dat het CCB actief aanmoedigt.

Implementatieroadmap

Voor Belgische organisaties die NIS2-compliance willen combineren met ISO 27001-certificering, raden wij de volgende gefaseerde aanpak aan:

1. Fase 1: Beoordeling (maanden 1-2) — voer een gecombineerde gap-analyse uit tegen zowel ISO 27001- als NIS2-vereisten. Identificeer uw NIS2-classificatie (essentiële of belangrijke entiteit) en bepaal het toepasselijke CyberFundamentals-assuranceniveau.
2. Fase 2: ISMS-fundament (maanden 2-5) — stel de kern-ISMS-structuur vast volgens ISO 27001, inclusief risicobeoordelingsmethodologie, beveiligingsbeleid en de Verklaring van Toepasselijkheid. Behandel NIS2-specifieke vereisten parallel.
3. Fase 3: Controle-implementatie (maanden 4-8) — implementeer technische en organisatorische controles om lacunes uit Fase 1 te dichten. Geef prioriteit aan controles die beide kaders tegelijkertijd tevreden stellen.
4. Fase 4: Incidentrespons en toeleveringsketen (maanden 6-9) — bouw of verbeter incidentresponscapaciteiten om te voldoen aan de strikte meldingstermijnen van NIS2. Implementeer beveiligingsmaatregelen voor de toeleveringsketen en leveranciersbeoordelingsprocessen.
5. Fase 5: Interne audit en certificering (maanden 8-12) — voer interne audits uit, managementreviews en streef naar ISO 27001-certificering. Registreer bij het CCB en voltooi eventuele NIS2-specifieke compliancevereisten.

De totale tijdlijn voor de meeste Belgische KMO's varieert van 9 tot 15 maanden, afhankelijk van het startmaturiteitsniveau en beschikbare middelen van de organisatie.

Hoe ICTLAB kan helpen

Het cybersecurity-team van ICTLAB is gespecialiseerd in het begeleiden van Belgische organisaties op het snijvlak van NIS2 en ISO 27001. Wij voeren gecombineerde gap-analyses uit die uw houding tegen beide kaders beoordelen, ontwikkelen geïntegreerde implementatieroadmaps en bieden praktische ondersteuning tijdens het gehele certificerings- en CCB-registratieproces. Onze aanpak zorgt ervoor dat u een enkel, coherent beveiligingsprogramma opbouwt dat meerdere complianceverplichtingen tegelijk vervult zonder dubbel werk.

Of u nu helemaal opnieuw begint of voortbouwt op een bestaand ISO 27001 ISMS, neem contact op met ons team in Brussel voor een pragmatische beoordeling van uw NIS2-gereedheid en een duidelijk pad voorwaarts.