NIS2 vs ISO 27001, NEN 7510 en BIO 2.0 — wat dekt mijn certificering al?

"We hebben al ISO 27001 — dan zijn we toch al NIS2-compliant?"

Het korte antwoord: ten dele. Een ISO 27001 certificering (of NEN 7510 in de zorg, of BIO 2.0 bij de overheid) dekt het grootste deel van wat NIS2 vraagt — maar niet alles. Er zijn specifieke NIS2-eisen die niet in deze standaarden zitten.

In dit artikel zetten we de overlap én de gaten op een rij, per standaard. Doel: weten wat je nog moet doen bovenop je bestaande certificering.

Niet zeker of je onder NIS2 valt? Doe eerst de gratis check — in 2 minuten.

Wat NIS2 minimaal vereist

NIS2 (in Nederland: de Cyberbeveiligingswet, per 1 juli 2026) verplicht entiteiten tot drie hoofdzaken:

1. Zorgplicht — 10 specifieke beveiligingsmaatregelen (uitleg per maatregel)
2. Meldplicht — significante incidenten binnen 24 uur initieel, 72 uur uitgebreid
3. Registratieplicht — aanmelden bij de bevoegde toezichthouder

Plus: bestuurlijke aansprakelijkheid (directie persoonlijk verantwoordelijk) en supply chain security (afspraken over leveranciers).

Snelle vergelijking

Standaard	Hoofd-doelgroep	Dekking NIS2 (indicatief)	Belangrijkste gaten
ISO 27001:2022	Wereldwijd, alle sectoren	70–80%	Meldplicht, supply chain detail, bestuurstraining
NEN 7510:2017	Nederlandse zorgsector	65–75%	Meldplicht NIS2-regime, bestuurstraining
BIO 2.0	Nederlandse overheid	75–85%	NIS2-meldplicht, registratieplicht bij RDI

Deze percentages zijn richtinggevend. De daadwerkelijke gap hangt af van je implementatie — een papieren certificering scoort lager dan een actief beleefd managementsysteem.

ISO 27001:2022 — internationale standaard

Wat is ISO 27001?

ISO 27001 is de internationale standaard voor Information Security Management Systems (ISMS). De huidige versie (2022) bevat 93 controls in vier thema's: Organisational, People, Physical, Technological. Het is een proces-standaard: je moet aantonen dat je structureel risico's identificeert, maatregelen treft en die periodiek toetst.

Wat overlapt met NIS2?

Heel veel. Vrijwel alle 10 NIS2-zorgplichtmaatregelen vinden hun spiegel in ISO 27001 Annex A:

• Risicobeheer beleid → ISO 5.x (Organisational controls)
• Incidentafhandeling → ISO 5.24–5.30
• Bedrijfscontinuïteit → ISO 5.29–5.30
• Toeleveringsketen → ISO 5.19–5.23
• Personeelsbeveiliging → ISO 6.x (People controls)
• Toegangsbeheer → ISO 5.15–5.18, 8.2–8.5
• Cryptografie → ISO 8.24
• Activabeheer → ISO 5.9–5.14
• Netwerkbeveiliging → ISO 8.20–8.23

Als je een werkend ISO 27001 ISMS hebt, beheers je de meeste NIS2-bouwstenen al.

Wat zit er niet in ISO 27001?

Drie dingen die NIS2 expliciet vraagt en ISO 27001 niet (of alleen indirect):

1. De NIS2-meldplicht (24/72-uur regime) — ISO 27001 vraagt om incidentmanagement, maar niet om de specifieke 24-uurs initiële melding aan de toezichthouder
2. Bestuurlijke aansprakelijkheid en verplichte directie-trainingen — ISO 27001 vraagt management-commitment, maar geen persoonlijke trainingsplicht
3. Registratieplicht bij de Nederlandse toezichthouder — sectorgebonden, geen ISO-aangelegenheid

Daarnaast vraagt NIS2 op sommige punten diepgaander dan ISO 27001:

• Supply chain security (NIS2 is strenger dan ISO 5.19–5.23)
• MFA verplicht voor remote toegang en admin-accounts (in ISO 27001 aanbevolen)

Wat moet je nog doen als je ISO 27001 hebt?

• ✅ Inrichten van een 24/72-uurs meldproces richting RDI of sector-toezichthouder
• ✅ Verplicht trainingsprogramma voor de directie opzetten
• ✅ Registratie bij de toezichthouder (binnen 3 maanden na inwerkingtreding)
• ✅ Supply chain audits versterken — contractuele bepalingen, leveranciersregister
• ✅ MFA-policy expliciet beleggen (admin, remote, gevoelige systemen)

Zie ook onze whitepaper "De 10 stappen naar NIS2-compliance" — bevat een per-maatregel checklist die je tegen je ISO-implementatie kunt leggen.

NEN 7510 — de Nederlandse zorgstandaard

Wat is NEN 7510?

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg, gebaseerd op ISO 27001 en aangevuld met sector-specifieke maatregelen rond patiëntgegevens. De norm bestaat uit:

• NEN 7510-1: het managementsysteem (analoog aan ISO 27001)
• NEN 7510-2: aanvullende beheersmaatregelen (analoog aan ISO 27002)

NEN 7510 is verplicht voor zorgaanbieders die persoonsgegevens betreffende de gezondheid verwerken. In de praktijk: bijna alle Nederlandse zorgorganisaties.

Wat overlapt met NIS2?

Omdat NEN 7510 op ISO 27001 is gebaseerd, overlapt het sterk met NIS2 — vergelijkbaar met de ISO-dekking. Plus: NEN 7510 vraagt expliciet om toegangsbeheer op patiëntdossiers, beveiliging van medische apparatuur, en informatiebeveiliging in samenwerkingsverbanden — onderwerpen die NIS2 ook raakt.

Wat zit er niet in NEN 7510?

Dezelfde drie gaten als bij ISO 27001:

• NIS2-specifieke 24/72-uurs meldplicht (zorgsector heeft al een meldplicht datalekken via AP, plus calamiteiten via IGJ — maar die vervangt de NIS2-meldplicht niet)
• Bestuurlijke aansprakelijkheid / verplichte directietraining onder NIS2
• Registratie bij de NIS2-toezichthouder (in dit geval IGJ voor zorgsector)

Wat moet je nog doen als je NEN 7510 hebt?

• ✅ Drievoudig meldproces inrichten: AP (datalekken) + IGJ (calamiteiten) + NIS2 (cyberincidenten). Mogelijk overlap, maar processen moeten apart aantoonbaar zijn
• ✅ Bestuurlijke aansprakelijkheid afdekken met directietraining en formele besluitvorming over cybersecurity-beleid
• ✅ Registratie bij de bevoegde NIS2-toezichthouder (vaak IGJ voor zorgaanbieders)
• ✅ Leveranciers van medische apparatuur expliciet onder de NIS2 supply chain-eisen brengen

Voor de zorg geldt: NIS2 én NEN 7510 én AVG/UAVG gelden naast elkaar. Geen vervanging — wel veel overlap die je in één compliance-programma kunt beleggen.

BIO 2.0 — de Nederlandse overheidsbaseline

Wat is BIO 2.0?

De Baseline Informatiebeveiliging Overheid (BIO) 2.0 is de geactualiseerde verplichte baseline voor alle Nederlandse overheidsorganisaties — Rijk, gemeenten, provincies, waterschappen en uitvoeringsorganisaties. Versie 2.0 is in 2024–2025 uitgerold en vervangt BIO 1.04. De baseline is gebaseerd op ISO 27002:2022 en bevat 93 controls plus aanvullende overheidseisen.

Wat overlapt met NIS2?

BIO 2.0 is bewust afgestemd op recente Europese cybersecurity-regels — inclusief NIS2. De dekking is daarom hoger dan bij standaard ISO 27001. Specifiek goed afgedekt:

• Risicobeheer en classificatie
• Incident response en BCM
• Supply chain (BIO 2.0 heeft expliciete eisen aan inkoop van ICT-diensten)
• Toegangsbeheer en MFA (verplicht in BIO 2.0)
• Logging en monitoring

Wat zit er niet in BIO 2.0?

Minder gaten dan bij ISO of NEN, maar nog steeds:

• Het NIS2-specifieke 24/72-uurs meldregime (overheid heeft al meldplicht via NCSC, maar NIS2 voegt sectorale meldingen toe)
• Formele NIS2-registratie bij de bevoegde toezichthouder
• Bepaalde bestuurlijke aansprakelijkheid-aspecten zijn in BIO 2.0 minder expliciet dan in NIS2 (waar bestuurders persoonlijk aansprakelijk worden gesteld)

Wat moet je nog doen als je BIO 2.0 toepast?

• ✅ NIS2-meldproces inbedden in het bestaande meldproces (NCSC + sectortoezichthouder)
• ✅ Registratie bij de bevoegde toezichthouder
• ✅ Bestuur informeren over persoonlijke aansprakelijkheid onder NIS2 en formele goedkeuring borgen

Beslismatrix: wat moet ik doen?

Heb je al...	Dan dek je ongeveer...	Belangrijkste vervolgstappen
ISO 27001:2022 (gecertificeerd)	70–80%	Meldplicht, directietraining, supply chain audits
NEN 7510 (zorg)	65–75%	Drievoudig meldproces (AP/IGJ/NIS2), directietraining
BIO 2.0 (overheid)	75–85%	NIS2-meldproces inbedden, formele registratie
Niets gestructureerd	0–20%	Begin met de whitepaper-roadmap

Welke standaard kies je als startpunt?

Onze aanbeveling voor MKB-bedrijven die nog géén managementsysteem hebben:

• Geen specifieke sector: bouw direct een NIS2-conform programma op (de 10 maatregelen) zonder eerst voor ISO 27001 te certificeren. Certificering kun je later toevoegen
• Zorg: NEN 7510 is in de praktijk verplicht — combineer dat traject direct met NIS2
• Overheid: BIO 2.0 is verplicht en grotendeels NIS2-conform; vul aan met NIS2-specifieke meldplicht
• Branche met vraag naar ISO 27001 (financieel, ICT): ISO 27001 + NIS2-add-ons is een sterke combinatie

Praktisch beginnen? Onze whitepaper "De 10 stappen naar NIS2-compliance" vertaalt de NIS2-eisen naar concrete acties — bruikbaar als naslag bij elk van bovenstaande paden.

Volgende stappen

1. Doe de gratis NIS2-check — bepaal eerst of je onder de wet valt
2. Doorloop dit artikel met je security officer of accountant — bepaal welke standaard je al (deels) hebt
3. Vul de gaten op — gebruik de whitepaper als checklist
4. Lees ook: NIS2 zorgplicht — de 10 maatregelen en NIS2 boetes en risico's

Veelgestelde vragen

Vervangt NIS2 mijn ISO 27001-certificering? Nee. ISO 27001 is een vrijwillige certificering, NIS2 is wetgeving. Je kunt prima NIS2-compliant zijn zonder ISO-certificaat, maar veel organisaties gebruiken ISO 27001 als kapstok om NIS2 in te bedden.

Is NEN 7510 voldoende voor zorgaanbieders onder NIS2? Niet helemaal. NEN 7510 dekt de meeste maatregelen, maar de NIS2-specifieke meldplicht (24/72-uur), registratieplicht bij de toezichthouder en bestuurlijke aansprakelijkheid moet je apart inrichten.

Geldt BIO 2.0 alleen voor de Rijksoverheid? Nee. BIO 2.0 geldt voor de hele Nederlandse overheid — Rijk, gemeenten, provincies, waterschappen en uitvoeringsorganisaties. Veel overheidsorganisaties vallen daarmee zowel onder BIO als onder NIS2.

Moet ik certificeren voor ISO 27001 om aan NIS2 te voldoen? Nee. NIS2 vereist géén ISO-certificering. De wet vraagt om "passende technische en organisatorische maatregelen" — dat kun je ook aantonen zonder certificaat. Wel is een certificering vaak handig als bewijs richting toezichthouder en aanbestedingen.

Wat is goedkoper: ISO 27001 certificeren of alleen NIS2-compliant worden? Alleen NIS2-compliant worden is goedkoper (geen certificeringskosten, geen jaarlijkse audits). ISO 27001 certificering kost MKB-bedrijven meestal €15.000–€40.000 extra in de eerste jaren. Wel geeft ISO 27001 commerciële voordelen (aanbestedingen, klantvertrouwen).