ISO 27001, NEN 7510 en de NIS2-richtlijn: ze klinken misschien als lastige termen uit een compliance-handleiding. Maar voor MKB-bedrijven zijn ze stuk voor stuk relevant. Niet alleen omdat klanten en ketenpartners het steeds vaker eisen, maar ook omdat ze bijdragen aan de dag-tot-dag continuïteit, weerbaarheid en geloofwaardigheid van je organisatie.
Volgens Floris van Miert, algemeen directeur van DataRely, is het niet nodig om het wiel opnieuw uit te vinden zodra je aan NIS2 wilt voldoen: ‘Je hoeft niet vanaf nul te beginnen als je al volgens ISO werkt, maar je moet wel precies weten wat erbij komt.’
In dit blog lees je hoe je vanuit een bestaande ISO- of NEN-basis stapsgewijs toewerkt naar een NIS2-proof organisatie, zonder dat het een onmogelijke compliance-klus wordt.
Wat ISO, NEN en NIS2 feitelijk van elkaar verschillen
ISO 27001 is een internationaal erkende standaard voor informatiebeveiliging. Hij helpt je een managementsysteem op te zetten om risico’s te beheren en gevoelige informatie te beschermen. NEN 7510 is daar een sectorale variant van, bedoeld voor de zorgsector, afgestemd op extra eisen rondom medische gegevens en privacy. De NIS2-richtlijn is een Europese wetgeving die de digitale weerbaarheid van organisaties moet verbeteren. Hij legt aanvullende verplichtingen op, zoals governance-eisen, incidentmeldingen binnen een strakke termijn en persoonlijke verantwoordelijkheid van bestuurders, zaken die niet allemaal expliciet in ISO 27001 staan. Het gaat dus niet om een vervanging, maar om een verdieping en verbreding van wat je al doet.
‘ISO is de basis, maar NIS2 vraagt om aantoonbare governance en verplichtingen op directieniveau,’ zegt Floris.
Stap 1: Breng je huidige situatie in kaart
Volgens de methodiek van DataRely is de eerste stap is altijd een nulmeting:
Wat heb je al geregeld? Welke ISO-maatregelen zijn geïmplementeerd? Wat is de scope van je managementsysteem? Hoe ziet je risicomanagement eruit? Als je al ISO 27001 hebt geïmplementeerd, zit je al ver op weg. Veel maatregelen overlappen met wat NIS2 vraagt — bijvoorbeeld beleid rond toegang, incidentmanagement en risicobeheer — waardoor je al 70 % of meer van de eisen op orde hebt. ‘Als je ISO 27001 al hebt, ben je niet ver van NIS2-compliance verwijderd. Maar het verschil zit hem in de verbinding met je organisatie, processen en bestuur,’ licht Floris toe.
Deze nulmeting hoeft niet ingewikkeld te zijn: een helder overzicht van bestaande documentatie, verantwoordelijkheden en processen geeft al veel richting.
Stap 2: Doe een GAP-analyse
Na de nulmeting volgt een GAP-analyse. Hierbij kijk je specifiek naar wat nog ontbreekt om te voldoen aan NIS2. De overlap met ISO 27001 is groot, maar NIS2 vraagt extra aandacht op gebieden als:
- Governance-structuur en managementbetrokkenheid
- Incidentmelding binnen wettelijke termijnen
- Verantwoordelijkheden richting ketenpartners
- Bewijsvoering richting toezichthouders
De analyse brengt aan het licht waar je organisatie al compliant is, en wat specifieke aandacht nodig heeft om aan NIS2 te voldoen.
‘Een GAP-analyse is geen kunstje, maar een moment van reflectie: het laat zien waar je echt staat en wat er concreet moet gebeuren,’ aldus Floris.
Stap 3: Stel een concreet plan op
Nu je weet wat er ontbreekt, is het tijd om een plan van aanpak te maken. Dit plan koppelt de uitkomsten van de GAP-analyse aan concrete stappen, verantwoordelijkheden, tijdslijnen en meetpunten. Denk hierbij aan:
- Prioriteren van maatregelen die direct risico’s verlagen.
- Benoemen van verantwoordelijke eigenaren voor elk onderdeel.
- Integreren van compliance-activiteiten in je bestaande governance-structuur.
Maak je plan niet te ingewikkeld. De uitdaging is niet om een berg documenten te genereren, maar om praktische en uitvoerbare maatregelen in te richten.
Stap 4: Implementeer en borg de maatregelen
Compliance is geen project dat je afrondt. Het is een continu proces. Nadat de eerste maatregelen zijn ingevoerd:
- Test je of ze werken in de praktijk.
- Train je medewerkers op hun rol en verantwoordelijkheden.
- Monitor je op effectiviteit en afwijkingen.
Een managementsysteem dat blijft leven, zorgt dat je niet telkens van voren af aan moet beginnen als er een audit of incident komt. ‘Compliance is niet iets wat je één keer doet en dan laat liggen. Het moet ingebed worden in hoe iedereen in je organisatie dagelijks werkt,’ zegt Floris.
Hoe DataRely je hierbij kan helpen
Bij DataRely begeleiden we MKB-organisaties stap voor stap. We helpen je met analyses, GAP-onderzoek, plannen van aanpak en de daadwerkelijke implementatie. Dat doen we niet als externe controleur, maar als partner die met je meedenkt én -werkt.
We vertalen ingewikkelde normen en richtlijnen naar concrete acties voor jouw organisatie, zodat je niet alleen compliant bent volgens de norm, maar dat het in de praktijk ook werkt en rendeert voor je bedrijfscontinuïteit.
Compliance blijft continuïteit
Het traject om van ISO-basis naar NIS2-compliance te gaan is stap voor stap te doen. Je hoeft het niet allemaal in één keer af te vinken. Begin met inzicht, maak een realistisch plan en borg de maatregelen op een manier die bij jouw organisatie past.
‘Het doel is niet om alleen te voldoen, maar om weerbare, betrouwbare en aantoonbare processen te hebben die je vandaag én morgen sterker maken,’ besluit Floris.
Even zonder enkele verplichting afstemmen? Kijk dan hier!
