Wat is een ISMS en heb ik er een nodig voor NIS 2?
Een ISMS is geen stuk software. Het is de manier waarop uw organisatie haar beveiligingsmaatregelen besluit, uitvoert en verbetert. NIS 2 gebruikt het woord niet, maar art. 21(2) vereist precies wat een ISMS doet.
Waarom dit vaak fout gaat
ISMS is een van de meest verkeerd gebruikte woorden in NIS 2 gesprekken. De meest voorkomende verwarring is om het te behandelen als een tool die je koopt. Dat is het niet. Een ISMS is de manier waarop een organisatie informatiebeveiliging stuurt: hoe beleid wordt vastgesteld, hoe risico's worden beoordeeld, hoe maatregelen worden gekozen, hoe incidenten worden afgehandeld, hoe dat alles wordt herzien.
NIS 2 zelf gebruikt 'ISMS' niet als term. De richtlijn spreekt over 'beleid', 'maatregelen', 'risicobeheer' en 'governance'. Art. 21(2) somt tien vereisten op die samen precies beschrijven wat een ISMS doet. ISO 27001 noemt hetzelfde 'information security management system'. IT-Grundschutz noemt het 'Informationssicherheitsmanagementsystem'. De inhoud is identiek.
De praktische vraag is niet of u een ISMS heeft, maar hoe zwaar het weegt. Een 60-persoons Mittelstand met een eenpagina-beleid plus een klein risicoregister plus een jaarlijkse herzieningsbijeenkomst kan aan NIS 2 voldoen. Een bank met 6000 medewerkers kan dat niet. Beide draaien een ISMS, de een is alleen zwaarder dan de ander.
Art. 21(1) en 21(2) NIS 2
De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's te beheren. De maatregelen omvatten ten minste: beleid inzake risicoanalyse en informatiesysteembeveiliging; incidentafhandeling; bedrijfscontinuïteit; toeleveringsketenbeveiliging; beveiliging bij verwerving van netwerk- en informatiesystemen; beleid en procedures om de doeltreffendheid te beoordelen; basisaspecten cyberhygiëne en opleiding; cryptografie; personeelsbeveiliging, toegangscontrole en activabeheer; meervoudige authenticatie.
Samen gelezen beschrijven de tien punten een managementsysteem. 'Beleid', 'procedures', 'doeltreffendheid beoordelen' — dat zijn ISMS-werkwoorden. NIS 2 vereist geen ISO 27001 certificering, maar de inhoud die ISO 27001 dekt.
§30 BSIG (Duitse omzetting van art. 21)
Essentiële en belangrijke entiteiten nemen passende, evenredige en doeltreffende technische en organisatorische maatregelen om verstoringen van beschikbaarheid, integriteit en vertrouwelijkheid van de IT-systemen, componenten en processen die zij voor hun dienstverlening gebruiken, te voorkomen.
De Duitse omzetting schrijft 'passend, evenredig en doeltreffend'. 'Doeltreffend' is het woord dat een managementsysteem onontkoombaar maakt: doeltreffendheid kan alleen aantonen wie meet en herziet.
BSI IT-Grundschutz BSI 200-1, §3
Een Informationssicherheitsmanagementsystem (ISMS) is het geheel van regels dat dient voor de sturing en het toezicht op de taken van het informationsbeveiligingsmanagement in een organisatie.
De kortste juridische ISMS-definitie in het Duits. Het is de som van regels waarmee informatiebeveiliging wordt gestuurd en gecontroleerd. Geen tool, geen project, geen eenmalige audit. Een manier van werken.
Gedefinieerde scope
Welke delen van de organisatie dekt het ISMS, waar zijn de grenzen, wat valt expliciet erbuiten. Zonder scope verzandt elk gesprek.
Gedocumenteerd beleid
Een geschreven informatiebeveiligingsbeleid, ondertekend door de leiding. Eén pagina volstaat voor kleine entiteiten. Het verplicht de organisatie aan specifieke principes en wijst verantwoordelijkheid toe.
Risicogebaseerde beslissingen
Maatregelen worden gekozen omdat ze geïdentificeerde risico's adresseren, niet omdat ze op een checklist staan. Het risicoregister is de brug van inventaris naar maatregel.
Periodieke herziening
Minstens jaarlijks. De leiding kijkt naar wat werkte, wat niet, wat in het dreigingslandschap is veranderd. Een statisch ISMS is geen ISMS, maar een momentopname.
Geen softwaretool
Tools ondersteunen een ISMS, ze vervangen het niet. U kunt een toereikend ISMS in een ordner draaien; u kunt governance-beslissingen niet vervangen door een SaaS-abonnement.
Geen eenmalig project
Het opzetten van het ISMS is een project. Het draaiende houden is doorlopend werk. De jaarlijkse herziening is het moment dat een projectresultaat in een systeem omzet.
Niet hetzelfde als een audit
Audits toetsen of het ISMS werkt. Zij vormen niet het ISMS. Een audit zonder onderliggend managementsysteem heeft niets om te toetsen.
Als uw entiteit onder NIS 2 valt, is de inhoud van een ISMS vereist, hoe u het ook noemt. Zonder gedocumenteerd beleid, risicogebaseerde beslissingen en herzieningscyclus kunt u niet aantonen dat de maatregelen uit art. 21(2) 'passend, evenredig en doeltreffend' zijn, zoals §30 BSIG vereist.
Wat niet vereist is: ISO 27001 certificering. Veel auditors verwachten het omdat het het meest bekende bewijs is, maar een zelf opgebouwd ISMS volgens IT-Grundschutz of een sectorstandaard is gelijkwaardig. Kies de standaard die u duurzaam kunt dragen, niet die het zwaarst oogt op een slide.
1. Scopeverklaring
Welke rechtspersonen, welke locaties, welke diensten vallen eronder. Eén alinea ondertekend door de leiding.
2. Informatiebeveiligingsbeleid
Vijf tot zeven principes. Voorbeelden: data classificeren naar gevoeligheid, admin-toegang beperken tot benoemde personen, alle medewerkers jaarlijks trainen, incidenten binnen afgesproken termijnen melden, risico's jaarlijks herzien.
3. Risicoregister
Eén regel per geïdentificeerd risico. Omschrijving, waarschijnlijkheid, impact, behandelbeslissing, eigenaar, herzieningsdatum. Tien tot twintig regels voor een kleine entiteit.
4. Herzieningsschema
Een document dat vastlegt dat de leiding het ISMS eenmaal per jaar herziet, wie deelneemt, welke bewijzen worden voorgelegd. Zonder is het ISMS decoratie.
- Richtlijn (EU) 2022/2555 (NIS 2), art. 21(1) en 21(2), www.eur-lex.europa.eu
- Wet betreffende het Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30, www.gesetze-im-internet.de
- BSI IT-Grundschutz Standard BSI 200-1, §3 (ISMS-definitie), www.bsi.bund.de
- ISO/IEC 27001:2022 (internationale ISMS-standaard, onder NIS 2 vrijwillig)
Deze pagina biedt gestructureerde informatie op basis van openbaar toegankelijke bronnen (NIS 2 Richtlijn, BSIG, BSI IT-Grundschutz, ISO/IEC 27001). Het is geen juridisch advies in de zin van §2 RDG. Voor concrete gevallen wendt u zich tot een toegelaten advocaat. Stand: 2026-06-04.