De Cyberbeveiligingswet, ook bekend als de implementatie van de NIS2-richtlijn, brengt grote veranderingen voor organisaties in Nederland. Veel bedrijven die al werken met ISO27001 vragen zich af wat het verschil is tussen beide kaders en of ze straks extra verplichtingen krijgen.
Hoewel de één een wet is en de ander een norm, sluiten ze nauw op elkaar aan. ISO27001 helpt organisaties juist om aan de eisen van de Cyberbeveiligingswet te voldoen.
De Cyberbeveiligingswet (NIS2) in het kort
De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Deze wet verplicht organisaties in essentiële en belangrijke sectoren — zoals energie, zorg, digitale infrastructuur en IT-dienstverlening — om hun informatiebeveiliging aantoonbaar op orde te hebben.
Belangrijke verplichtingen zijn:
- Het treffen van passende technische en organisatorische beveiligingsmaatregelen
- Een meldplicht bij ernstige incidenten (binnen 24 uur)
- Aansprakelijkheid van bestuurders bij nalatigheid
- Toezicht en handhaving door de overheid
Het doel is om de digitale weerbaarheid binnen de EU te verhogen en ketenrisico’s beter te beheersen.
ISO27001: het fundament van informatiebeveiliging
ISO27001 is een internationale norm voor informatiebeveiliging. Waar de Cyberbeveiligingswet voorschrijft wat er geregeld moet zijn, beschrijft ISO27001 hoe je dat structureel organiseert.
De norm helpt organisaties bij het opzetten van een Information Security Management System (ISMS), waarmee risico’s worden beheerd en beveiliging continu wordt verbeterd. ISO27001 is in principe vrijwillig, maar in de praktijk vaak een eis in aanbestedingen en ketensamenwerking.
Een organisatie met een goed functionerend ISO27001-systeem heeft haar processen al grotendeels ingericht op de eisen die NIS2 straks wettelijk verplicht stelt.
Het verschil tussen de Cyberbeveiligingswet en ISO27001
| Aspect | Cyberbeveiligingswet (NIS2) | ISO27001 |
|---|---|---|
| Type | Wetgeving (verplicht) | Internationale norm (vrijwillig) |
| Doel | Verplichte beveiligingsmaatregelen en meldplicht | Continue verbetering van informatiebeveiliging |
| Toezicht | Overheidsinstanties | Onafhankelijke auditoren |
| Focus | Resultaatgericht “wat moet geregeld zijn” | Procesgericht “hoe je het organiseert” |
| Reikwijdte | Essentiële en belangrijke sectoren | Vrij toepasbaar in elke organisatie |
ISO27001 biedt dus de methodiek om de eisen van de Cyberbeveiligingswet op een gestructureerde manier te implementeren en aantoonbaar te maken.
Verwachte implementatie van de Cyberbeveiligingswet
De Europese NIS2-richtlijn trad in werking op 16 januari 2023. EU-lidstaten moesten deze uiterlijk 17 oktober 2024 hebben omgezet naar nationale wetgeving. Nederland heeft daarbij vertraging opgelopen.
Het wetsvoorstel voor de Cyberbeveiligingswet (Cbw) is op 4 juni 2025 bij de Tweede Kamer ingediend. De verwachting is dat de behandeling in de loop van 2026 plaatsvindt, waarna aanvullende regelingen (AMvB’s) en uitvoeringsbesluiten worden vastgesteld.
De inwerkingtreding wordt verwacht in 2026. Vanaf dat moment moeten organisaties die onder de wet vallen voldoen aan registratie-, meld- en zorgplichten.
Het is daarom verstandig om niet te wachten tot de wet formeel van kracht is, maar nu al te starten met een gap-analyse of nulmeting ten opzichte van ISO27001 en de NIS2-eisen.
Conclusie
De Cyberbeveiligingswet (NIS2) en ISO27001 zijn geen concurrerende kaders, maar elkaar versterkende instrumenten.
De wet bepaalt de verplichtingen; de norm biedt het raamwerk om eraan te voldoen.
Wie ISO27001 al toepast, heeft een stevige voorsprong richting NIS2-compliance.
Of, zoals ik het graag samenvat:
Muhammed Akbulut
Cyber Security Expert
NIS2 bepaalt de lat. ISO27001 helpt je eroverheen.
Wil je weten hoe jouw organisatie ervoor staat ten opzichte van de Cyberbeveiligingswet en ISO27001?
Fidelsec helpt bij het uitvoeren van analyses, het opstellen van verbeterplannen en de implementatie van beveiligingsmaatregelen die werken, technisch, juridisch en organisatorisch.
Over de auteur
Muhammed Akbulut is technisch securityspecialist en medeoprichter van FidelSec. Met een achtergrond in software engineering en informatiebeveiliging helpt hij organisaties om compliance en techniek met elkaar te verbinden, van ISO-normen tot NIS2-implementaties.
Meer weten?
Klaar om cyber security en compliance eenvoudig en toegankelijk te maken?