Toezichthouder: “We kunnen overweg met alle normen”

De aankomende Cyberbeveiligingswet (NIS2) verplicht duizenden organisaties om hun digitale weerbaarheid aantoonbaar op orde te brengen. Toch bestaat er nog veel verwarring over hoe je dat precies aantoont.

Moet je ISO 27001 hebben? Of juist het NIS2 Quality Mark? Of volstaat iets anders?

De realiteit is eenvoudiger dan velen denken: De enige partij die uiteindelijk bepaalt of een organisatie voldoet aan de nieuwe wet, is de toezichthouder.

Wat betekent dat in de praktijk?

Organisaties hebben dus vrijheid in de manier waarop zij hun digitale beveiliging aantoonbaar maken, zolang de inhoud van hun maatregelen aansluit bij de eisen van NIS2, met name artikel 21.

Een norm of certificering helpt daarbij enorm. Het biedt structuur, onafhankelijk bewijs en vertrouwen richting klanten, partners eb stakeholders. Maar de wet schrijft géén specifieke norm voor.

Het behalen van een erkende norm, zoals het NIS2 Quality Mark (voor bedrijven in de leveringsketen of ISO 27001voor NIS2-entiteiten), is geen wettelijke verplichting, maar wel een verstandige route naar aantoonbare compliance.
Het voorkomt wel discussies over interpretatie: auditors, partners en toezichthouders herkennen de opbouw en terminologie. Het maakt je audit-proof: een onafhankelijke partij heeft vastgesteld dat jouw organisatie de juiste maatregelen neemt. Het zorgt voor ketentransparantie: NIS2-bedrijven en kunnen leveranciers kunnen samenwerken en beide hun cybersecurity naar een hoger niveau tillen.

Conclusie

De wet bepaalt wat je moet bereiken, niet welke norm je moet gebruiken. Wie kiest voor een goed opgebouwde norm werkt herkenbaar en gestructureerd.

Het is daarom verstandig om nu te werken met een norm:

ISO27001 voor organisaties die direct onder de NIS2 vallen. https://www.iso.org/standard/27001

NIS2 Quality Mark voor leveranciers in de keten (bedrijven die leveren aan NIS2 organisaties) die er dus indirect mee te maken krijgen. https://nis2qualitymark.eu/