Je hebt een ISO 27001-certificaat aan de muur hangen. Mooi. Maar de NIS2-wet is inmiddels ruim een jaar van kracht en je directie vraagt of jullie “in orde” zijn. Het korte antwoord: je hebt een stevige voorsprong, maar dat certificaat alleen volstaat niet.
In dit artikel leggen we uit wat het verschil is tussen ISO 27001 en NIS2, waar ze overlappen, en wat je als Belgisch bedrijf in 2026 concreet moet doen.
Het fundamentele verschil: standaard versus wetgeving
Hier zit de kern van de verwarring. ISO 27001 en NIS2 lijken op elkaar, maar ze zijn fundamenteel anders van aard.
ISO 27001 is een internationale standaard voor informatiebeveiliging. Het is vrijwillig. Je kiest ervoor om je te laten certificeren, meestal omdat klanten of partners het eisen, of omdat je je eigen security op orde wilt hebben. Er zijn geen wettelijke boetes als je het niet hebt.
NIS2 is Europese wetgeving die sinds 18 oktober 2024 van kracht is in België. Het is verplicht voor bedrijven in kritieke sectoren. Voldoe je niet? Dan riskeer je boetes tot 10 miljoen euro of 2% van je wereldwijde omzet.
| Aspect | ISO 27001 | NIS2 |
|---|---|---|
| Type | Vrijwillige standaard | Verplichte wetgeving |
| Scope | Elk type organisatie | Kritieke sectoren (energie, transport, zorg, ICT, …) |
| Sancties | Geen wettelijke boetes | Tot €10 miljoen of 2% omzet |
| Certificering | Via externe auditor | Registratie bij CCB + toezicht |
| Focus | Informatiebeveiliging algemeen | Weerbaarheid kritieke infrastructuur |
Waar ISO 27001 en NIS2 overlappen
Het goede nieuws: als je ISO 27001-gecertificeerd bent, heb je zo’n 70 tot 80% van de NIS2-vereisten al afgedekt. Beide frameworks delen namelijk dezelfde filosofie: risicomanagement, continue verbetering en gedocumenteerde processen.
Concreet overlappen ze op deze gebieden:
- Risicobeoordeling en -behandeling: Beide vragen om een systematische aanpak van security-risico’s
- Incidentbeheer: Processen voor detectie, respons en herstel
- Toegangscontrole: Wie mag wat zien en doen
- Leveranciersbeheer: Security-eisen aan je supply chain
- Bewustwording en training: Medewerkers opleiden rond cybersecurity
- Bedrijfscontinuïteit: Back-ups, disaster recovery, herstelplannen
ENISA (het Europese cybersecurity-agentschap) erkent deze overlap expliciet. In de NIS2-richtlijn wordt zelfs verwezen naar de ISO 27000-serie als referentiekader voor risicomanagement.
De drie grootste gaps tussen ISO 27001 en NIS2
Hier wordt het interessant. Ondanks de grote overlap zijn er cruciale verschillen waar je ISO 27001-certificaat tekortschiet.
1. Incidentmelding binnen 24 uur
ISO 27001 vraagt om interne procedures voor incidentbeheer. Je moet incidenten registreren, evalueren en ervan leren. Maar er zijn geen harde deadlines voor externe melding.
NIS2 is strenger: je moet significante incidenten binnen 24 uur melden aan het CCB (Centrum voor Cybersecurity België), gevolgd door een uitgebreider rapport binnen 72 uur en een eindrapport binnen 30 dagen. Dit vraagt om aangepaste processen en duidelijke escalatiepaden.
2. Persoonlijke aansprakelijkheid van bestuurders
ISO 27001 vraagt dat het management betrokken is en middelen vrijmaakt. Maar er is geen persoonlijke aansprakelijkheid.
NIS2 gaat veel verder. De bestuursorganen van je bedrijf moeten de cybersecurity-maatregelen goedkeuren én toezien op de implementatie. Ze moeten ook zelf training volgen. Bij nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld. In extreme gevallen kunnen ze tijdelijk geschorst worden.
3. Supply chain security met tanden
ISO 27001 vraagt om leveranciersbeheer via control A.5.19 tot A.5.23. Je moet leveranciers beoordelen en afspraken maken over informatiebeveiliging.
NIS2 gaat verder: je bent niet alleen verantwoordelijk voor je eigen security, maar ook voor die van je leveranciers. Je moet kunnen aantonen dat je supply chain veilig is. Leveranciers van NIS2-plichtige bedrijven kunnen zelfs gevraagd worden om een NIS2 Supply Chain-certificaat te tonen.
Wat betekent dit voor Belgische bedrijven in 2026?
De NIS2-wet is sinds 18 oktober 2024 van kracht in België. De belangrijkste deadlines zijn inmiddels verstreken:
- 18 maart 2025: Registratiedeadline bij het CCB — verstreken
- November 2025: Deadline voor het basisniveau van cybersecurity-maatregelen — verstreken
- April 2027: Deadline voor het finale niveau (voor bepaalde entiteiten) — nog 14 maanden
Nog niet geregistreerd of compliant? Dan loop je risico. Het CCB kan inmiddels actief controleren en handhaven. De vraag is niet meer “wanneer moet ik beginnen?” maar “hoe dicht ik de gaten zo snel mogelijk?”
Een belangrijke nuance voor België: het CCB heeft aangegeven dat een ISO 27001-certificaat de volledige organisatie moet dekken, inclusief niet-afgescheiden dochterondernemingen. Een certificaat dat slechts een deel van je bedrijf dekt, volstaat dus niet voor NIS2-compliance.
Let op: Heb je nog een ISO 27001:2013-certificaat? Die zijn sinds oktober 2025 niet meer geldig. Alleen ISO 27001:2022 wordt nog erkend.
ISO 27001 als springplank naar NIS2
De vraag “heb ik beide nodig?” is eigenlijk verkeerd gesteld. Het gaat niet om kiezen tussen ISO 27001 of NIS2. Het gaat erom hoe je ze combineert.
Als je onder NIS2 valt: Je hebt geen keuze. NIS2-compliance is verplicht. Maar ISO 27001 is de beste basis om die compliance te bereiken. Met een bestaand ISO 27001-certificaat kun je NIS2-compliance typisch in 3 tot 6 maanden realiseren, versus 12 tot 18 maanden zonder.
Als je niet onder NIS2 valt: Toch opletten. Als je klanten hebt die wél onder NIS2 vallen, zijn zij verplicht om hun leveranciers (dus jij) te auditen op NIS2-conformiteit. De wetgeving heeft dus een domino-effect door de hele supply chain.
De praktische aanpak in 2026:
- Gap-analyse: Breng in kaart waar je ISO 27001-certificaat NIS2-vereisten al dekt en waar de gaten zitten
- Registratie controleren: Ben je geregistreerd bij het CCB? Zo niet, doe dit direct.
- Incident response upgraden: Implementeer de 24/72/30-dagen meldingsprocedure als je dit nog niet hebt
- Bestuurdersverantwoordelijkheid formaliseren: Zorg dat je directie getraind is en formeel goedkeurt
- Supply chain in kaart brengen: Beoordeel je kritieke leveranciers op cybersecurity
- Documenteer alles: Bij een controle moet je kunnen aantonen wat je hebt gedaan
De strategische meerwaarde van beide
Los van de wettelijke verplichtingen biedt de combinatie van ISO 27001 en NIS2 concrete voordelen:
- Commercieel: ISO 27001 wordt steeds vaker een eis in aanbestedingen. Het certificaat opent deuren.
- Verzekeringen: Cyberverzekeraars kijken steeds kritischer. ISO 27001 kan je premie drukken.
- Klantenvertrouwen: Je kunt aantonen dat security geen bijzaak is, maar structureel geborgd.
- Operationele weerbaarheid: De processen die je opzet, helpen je ook daadwerkelijk bij een incident.
Veelgestelde vragen over ISO 27001 en NIS2
Dekt ISO 27001-certificering automatisch NIS2-compliance?
Nee. ISO 27001 dekt ongeveer 70 tot 80% van de NIS2-vereisten. Je hebt een goede basis, maar er blijven gaps op het gebied van incidentmelding, bestuurdersaansprakelijkheid en supply chain security. Een gerichte gap-analyse toont precies wat je nog moet aanvullen.
Welke boetes riskeer ik bij NIS2-overtredingen in België?
Administratieve boetes kunnen oplopen tot 10 miljoen euro of 2% van je wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Daarnaast kunnen waarschuwingen, bindende instructies en zelfs tijdelijke schorsing van licenties worden opgelegd.
Is ISO 27001:2013 nog voldoende voor NIS2?
Nee, en sinds oktober 2025 zijn certificeringen op basis van ISO 27001:2013 definitief verlopen. Heb je nog een :2013-certificaat, dan wordt dit niet meer erkend voor NIS2-compliance. Een upgrade naar ISO 27001:2022 is noodzakelijk. De nieuwere versie sluit ook beter aan bij NIS2-vereisten rond cloud, supply chain en weerbaarheid.
Hoe lang duurt het om van ISO 27001 naar NIS2-compliance te gaan?
Met een bestaand ISO 27001-certificaat kun je NIS2-compliance typisch in 3 tot 6 maanden bereiken. Zonder bestaand certificaat reken je op 12 tot 18 maanden. De tijdwinst zit in processen, documentatie en een security-cultuur die je al hebt opgebouwd.
Valt mijn bedrijf onder NIS2 als ik niet in een kritieke sector werk?
Mogelijk wel, indirect. Als je klanten of partners hebt die onder NIS2 vallen, zijn zij verplicht hun leveranciers te beoordelen op cybersecurity. Je kunt dus gevraagd worden om NIS2-conforme maatregelen aan te tonen, ook al val je zelf niet direct onder de wetgeving.
Waar registreer ik mijn bedrijf voor NIS2 in België?
Registratie gebeurt via Safeonweb@Work, het platform van het Centrum voor Cybersecurity België (CCB). De officiële deadline was 18 maart 2025 en is dus verstreken. Ben je nog niet geregistreerd? Doe dit dan zo snel mogelijk om verdere risico’s te vermijden. Je kunt via de CCB scope test tool controleren of je organisatie binnen het toepassingsgebied valt.
Conclusie: complementair, niet concurrerend
ISO 27001 en NIS2 zijn geen concurrenten. Ze vullen elkaar aan. ISO 27001 biedt het gestructureerde kader en de concrete controls. NIS2 voegt de wettelijke verplichtingen toe rond melding, aansprakelijkheid en toezicht.
De vraag is niet óf je beide nodig hebt, maar hoe je ze slim combineert. Start vanuit je ISO 27001-fundament, identificeer de NIS2-gaps, en werk die gericht weg. Zo voldoe je niet alleen aan de wet, maar bouw je ook aan echte cyberweerbaarheid.
Wil je weten waar jouw organisatie staat?
De belangrijkste NIS2-deadlines zijn verstreken. Een gap-analyse brengt snel in kaart wat je al hebt, waar de gaten zitten en hoe je die efficiënt dicht. Cyberplan helpt Vlaamse bedrijven met een praktische aanpak: geen dikke rapporten, maar een concrete roadmap. En via de KMO-portefeuille is tot 45% subsidie mogelijk.
Plan een vrijblijvend gesprek of ontdek onze NIS2-compliance aanpak.
