1 Waarom deze koppeling ertoe doet
ISO 27001:2022 dekt ± 85 % van de NIS2-eisen. Door een gerichte mapping elimineer je dubbele controles, bespaar je audit-kosten en verhoog je de bewijskracht richting toezichthouders!
- NIS2 (EU-2022/2555) verplicht essentiële en belangrijke entiteiten een aantoonbaar beheer-en-rapportageproces te draaien.
- ISO 27001:2022 is bij toezichthouders en ENISA erkend als best-practice-framework voor een Information Security Management System (ISMS). (enisa.europa.eu, industrialcyber.co)
Door het overlappende DNA (risk-based, PDCA-cyclus, continue verbetering) kun je één controle-set bouwen: één audit, twee certificeringspaden.
2 High-level mapping
| NIS2 Art. 21 – risicobeheersmaatregel | ISO 27001:2022 – kernclause / Annex A-control(s) | Praktische notitie |
| a. Cyberrisico-analyse en beleid | 6.1.2, 6.1.3 + A.5.4 Risk management | Gebruik dezelfde asset- & threat-registers voor beide regimes. |
| b. Incident-handling | A.5.24, A.5.25, A.5.26 Incident management | Zorg dat incident-classificatie de NIS2-meldtreshold (24 u/72 u) triggert. |
| c. Bedrijfscontinuïteit, back-ups & crisis | A.5.30, A.5.29, A.5.31 | Voeg NIS2-specifieke scenario’s (ransomware ↔ keten) toe aan je BIA. |
| d. Supply-chain-security | A.5.22, A.5.23, A.5.19 | Koppel Tiering-model leveranciers ≥ Tier 1 aan verplichte assurance-forms. |
| e. Secure development & onderhoud | A.5.9, A.8.28–A.8.34 | Leg in SDLC-checklist vast dat “critical updates < 14 dagen”* regel is. |
| f. Effectiviteits-assessments | 9.1 Monitoring, 9.2 Internal audit | Combineer NIS2-‘technical measures review’ met ISO-interne audit. |
| g. Cryptografie & encryptie | A.8.24, A.8.25, A.8.26 | Benoem in crypto-policy min. 128-bit strength en post-quantum roadmap. |
| h. Security awareness & training | A.6.3, 7.2 Competence | Log training-scores als meetbare KPI voor beide regimes. |
| i. Identity & access control / asset mgmt. | A.5.15–A.5.18, A.5.12, A.5.13 | Stem least-privilege policy af op Zero Trust-principes. |
Bronnen: ENISA draft guidance (11-2024) en diverse markt-mappings (enisa.europa.eu, blog.seeburger.com)
Geef een reactie