Je bent IT- of securitymanager. Je weet dat je een ISMS zou moeten hebben. En eigenlijk heb je er ook wel één, maar eerlijk gezegd bestaat het voornamelijk uit een SharePoint-map vol policies die niemand leest, een Excel-risicoregister dat al drie maanden niet is bijgewerkt, en een auditdossier dat je vorig jaar in één hectische week in elkaar hebt gezet.
Herkenbaar? Je bent niet de enige.
In 2026 staat de druk op informatiebeveiliging hoger dan ooit. Welk normenkader voor jouw organisatie leidend is, hangt af van je sector: ISO 27001, BIO2 voor de overheid, NEN 7510 voor de zorg. Maar bovenop dat sectorale kader komt voor steeds meer organisaties de Cyberbeveiligingswet (Cbw, de Nederlandse implementatie van NIS2), met wettelijke eisen rond zorgplicht, meldplicht en governance. Ze vragen allemaal om hetzelfde. Aantoonbaar grip op risico's. Herhaalbare processen. Governance die niet alleen op papier bestaat.
Wat is een ISMS eigenlijk, en waarom is het meer dan een certificaat?
Een Information Security Management System (ISMS) is geen map met documenten. Het is de manier waarop jouw organisatie structureel omgaat met informatiebeveiliging: risico's in kaart brengen, maatregelen kiezen, monitoren of ze werken, en bijsturen waar nodig.
De structuur van een ISMS is altijd hetzelfde: context bepalen → risico's beoordelen → maatregelen inrichten → meten → verbeteren. Die cyclus is de kern. Alles wat je dagelijks doet rond changes, incidenten, cloud en leveranciers, hoort aan die kern te hangen. Welk normenkader daarin leidend is, hangt af van je sector. Voor commerciële organisaties is dat vaak ISO 27001. Binnen de overheid is dat BIO2. In de zorg NEN 7510. Die kaders vullen hetzelfde principe in: risico's beheersen, maatregelen aantoonbaar maken en continu verbeteren.
Dat klinkt misschien abstract, maar het wordt snel concreet. Een nieuwe SaaS-tool onboarden? Dat is een ISMS-moment. Een leverancier selecteren? ISMS. Een beveiligingsincident afhandelen? Zeker ISMS. En in 2026 wil je dat jouw ISMS ook de taal spreekt van de Cyberbeveiligingswet, want die vraagt om precies dezelfde structuur, alleen met een wettelijke deadline en een toezichthouder erbij.
Eén ISMS, meerdere kaders: geen losse eilanden
Een veelgemaakte fout is om je sectorale normenkader en de Cyberbeveiligingswet als losse trajecten te zien. Twee audits, twee dossiers, twee keer dezelfde risico's opschrijven in een andere tabel. Dat kost niet alleen tijd, het werkt ook niet.
Alle kaders leunen op hetzelfde fundament: een risicogestuurd ISMS. Ze verschillen in accent en in wie ze oplegt:
ISO 27001, BIO2 of NEN 7510 — afhankelijk van je sector geeft één van deze kaders de primaire structuur van je ISMS. Ze stellen vergelijkbare eisen aan beleid, risicobeheer, maatregelen en continue verbetering, maar in een andere taal en met andere accenten. Een gemeente werkt vanuit BIO2. Een zorginstelling vanuit NEN 7510. Een commerciële dienstverlener kiest vaak voor ISO 27001. De onderliggende ISMS-logica is in alle gevallen hetzelfde.
De Cyberbeveiligingswet (Cbw, de Nederlandse implementatie van NIS2) voegt daar een wettelijke laag aan toe. Zorgplicht, strengere meldplicht voor incidenten (24 uur voor eerste melding), ketenverantwoordelijkheid en een expliciete rol voor bestuur en management. Jouw ISMS moet dus niet alleen technisch kloppen, het moet ook governance en rapportage richting C-level ondersteunen.
De praktische conclusie: je risicoregister blijft hetzelfde, je processen blijven hetzelfde. Wat je toevoegt zijn extra eisen en extra rapportagelagen, geen nieuw fundament.
Zo leeft een ISMS in de praktijk (buiten de auditweken)
Het verschil tussen een papieren ISMS en een werkend ISMS zit in de dagelijkse processen. Vier plekken waar je het verschil kunt maken:
1. Incidenten Beveiligingsincidenten landen niet alleen in je SOC-tool of servicedesk, maar ook in je ISMS-proces. Per incident is helder welk risico geraakt is, welke control erbij hoort, wat de oorzaak was en welke verbetermaatregel je vastlegt. Daarmee vul je tegelijk de eisen van de Cyberbeveiligingswet: zorgplicht, meldplicht en aantoonbaarheid.
2. Wijzigingen en AI-toepassingen Grote veranderingen (een nieuwe SaaS-oplossing, een integratie met een leveranciersplatform, de uitrol van een AI-model) doorlopen niet alleen een technische CAB, maar ook een ISMS-check. Raakt dit gevoelige informatie? Welke risico's introduceert dit? Welke maatregelen moeten minimaal staan? In 2026 geldt dit nadrukkelijk ook voor AI: nieuwe AI-tools verwerken data op manieren die je niet altijd meteen ziet, en dat vraagt om een bewuste risicoafweging vóórdat je ze uitrolt.
3. Leveranciers en keten Leveranciersbeoordeling is geen jaarlijkse formaliteit, maar een doorlopend ISMS-proces. Voor kritieke leveranciers houd je bij: welke eisen stel je (encryptie, logging, herstel, exit), welk bewijs heb je, en hoe volg je dat op? Precies de informatie die de Cyberbeveiligingswet vraagt als je ketenverantwoordelijkheid moet aantonen.
4. Cloud Nieuwe cloudservices passen in een set van ISMS-afspraken: standaard beveiligingsprofielen, basisconfiguraties, logging-eisen en exitscenario's. Je leidende normenkader geeft het raamwerk; jouw ISMS vertaalt dat naar praktische kaders waar IT-teams mee kunnen werken.
Drie stappen om je ISMS dit jaar te professionaliseren
Je hoeft geen groot programma op te starten. Kleine, gerichte stappen maken al veel verschil.
Stap 1: Leg je ISMS vast als expliciete basis
Zet op één A4 uiteen wat de scope van je ISMS is, welke processen en systemen eronder vallen, wie de ISMS-eigenaar is en hoe je risicoproces loopt. Gebruik het normenkader dat voor jouw organisatie leidend is (BIO2, ISO 27001 of NEN 7510) als referentie, maar schrijf het in je eigen woorden. Dit A4 is je kapstok om de Cyberbeveiligingswet en aanvullende kaders er later logisch aan te hangen.
Op dit punt merk je vaak al waar de pijn zit: scope en eigenaarschap zijn diffuus, of het risicoproces bestaat eigenlijk alleen in het hoofd van één persoon. Dat is precies waarom veel organisaties vroeg of laat overstappen van losse documenten naar een gestructureerde omgeving. Niet om het ingewikkelder te maken, maar juist om het expliciet en overdraagbaar te krijgen.
Stap 2: Map de andere kaders op je bestaande ISMS
In plaats van nieuwe lijsten te maken, pak je je huidige risicoregister en processen erbij. Waar raakt de Cbw dit al? Waar vraagt het meer? Maak een mapping: risico/proces → bestaande maatregel → relevante normartikelen. Zo laat je zien dat je één ISMS hebt met meerdere "views" — en geen losse trajecten.
In de praktijk is dit in een spreadsheet nog net te doen voor één kader, maar zodra je je sectorale normenkader én de Cyberbeveiligingswet tegelijk wilt onderhouden, wordt handmatig bijhouden een risico op zichzelf.
Een GRC-platform lost dit op door normenkaders te koppelen aan dezelfde onderliggende risico's en maatregelen: je legt één keer vast, en de vertaling naar elk afzonderlijk kader volgt automatisch. Het resultaat is dat je bij een audit of toezichthoudersvraag niet meer hoeft te zoeken; de onderbouwing staat er al.
Stap 3: Automatiseer één ISMS-proces dat nu pijn doet
Kies één proces dat nu kraakt. Dat is vaak incidentmanagement, leveranciersbeoordeling of change-beheer. Richt dat proces ISMS-bewust in: centrale registratie, koppeling aan risico's en controls, geautomatiseerde taken en reminders, en standaardrapportages voor management of toezichthouder.
Dit is ook het moment waarop je het verschil ervaart tussen een ISMS als document en een ISMS als levend systeem. Papier herinnert je niet aan een verlopen leveranciersbeoordeling. Excel stuurt geen taak naar de procesverantwoordelijke als een risico al zes maanden niet is gereviewd. Een goed ingericht platform doet dat wel. En dat is wat er uiteindelijk voor zorgt dat je ISMS niet alleen bij de audit klopt, maar het hele jaar door werkt. Als één proces echt loopt, wordt het veel makkelijker om de rest stap voor stap mee te nemen.
Tot slot
In 2026 is de vraag niet of je alle normenkaders kent: die ken je wel. De vraag is of je een ISMS hebt dat ze op een werkbare manier samenbrengt. Je sector bepaalt welk kader leidend is. De Cyberbeveiligingswet bepaalt wat je wettelijk moet aantonen. Jij zorgt dat het in de praktijk leeft. Stap voor stap. Eén ISMS. Meervoudig resultaat.
