Een NIS2 implementation roadmap moet de directive vertalen naar een volgorde die uw management board, IT-team, compliance lead en leveranciers kunnen uitvoeren. Voor de meeste EU-SMEs mislukt het werk niet omdat Artikel 21 onbekend is. Het mislukt omdat scope, risicoanalyse, remediation, bewijs en board approval in de verkeerde volgorde plaatsvinden.
Dit 12-wekenplan geeft EU-SMEs een praktische volgorde om van NIS2-onzekerheid naar een auditklare basislijn te gaan. Het gaat ervan uit dat uw organisatie al weet dat zij waarschijnlijk binnen scope valt, of dicht genoeg bij scope zit om voorbereiding zakelijk verstandig te maken.
De roadmap volgt vier fases: scope bevestigen, de gap analysis uitvoeren, de hoogste risicogaps herstellen, bewijs verzamelen, het programma valideren en het bewijs archiveren dat uw team nodig heeft voor audits, klantvragenlijsten en managementreview.
TL;DR
Een NIS2 implementation roadmap is een gefaseerd plan dat NIS2-verplichtingen omzet in owners, controles, bewijs, board decisions en reviewdatums. Voor EU-SMEs moet de roadmap beginnen met scopebevestiging, Artikel 21 gap analysis, risicorangschikking en managementzichtbaarheid voordat remediationwerk start.
Een 12-weekse NIS2 implementation roadmap helpt EU-SMEs om compliancewerk te structureren over vier fases: Foundation, Risk and controls, Build and evidence, en Validation. Het doel is een auditklare basislijn: bevestigde scope, risicogewogen gaps, prioriteitscontroles in uitvoering, Tier 1 evidence georganiseerd en board approval gedocumenteerd.
Deze roadmap gaat ervan uit dat u een gap analysis heeft uitgevoerd en uw RED en AMBER gaps kent. Als dat niet zo is, start dan met een NIS2 gap analysis voordat u dit plan als implementatievolgorde gebruikt.
| Fase | Weken | Belangrijkste output |
|---|---|---|
| Fase 1: Foundation | Week 1–3 | Scope bevestigd, gap analysis afgerond, board gebrieft |
| Fase 2: Risk and controls | Week 4–6 | Risicoanalyse afgerond, RED gaps starten met remediation |
| Fase 3: Build and evidence | Week 7–10 | Controles geïmplementeerd, Tier 1 evidence verzameld |
| Fase 4: Validation | Week 11–12 | Board approval, residual risk record, evidence archive |
Waarom de roadmap start met een gap analysis — niet met controls implementation
De eerste fout bij NIS2-implementatie is starten met tools, beleid of training voordat de organisatie weet wat de daadwerkelijke gaps zijn.
Een NIS2 roadmap moet niet beginnen met “koop MFA”, “schrijf een policy” of “train iedereen”. Die acties kunnen nodig zijn, maar de volgorde telt. Week 1–3 moeten de scope bevestigen, de entiteit classificeren en een gap analysis uitvoeren op basis van Artikel 21-maatregelen. Pas daarna kan het team het juiste werk prioriteren.
Een gap analysis werkt als een bouwkundige inspectie vóór een renovatie. Het laat het team zien welke controles ontbreken, welke informeel zijn, welke wel werken maar niet met bewijs zijn onderbouwd, en welke managementbesluiten vereisen.
Deze roadmap gebruikt de volgende RAG-taal:
| Rating | Betekenis | Implicatie voor de roadmap |
|---|---|---|
| RED | Controle ontbreekt, is zwak of heeft geen bewijs | Eerst herstellen in Week 4–10 |
| AMBER | Controle bestaat, maar heeft een sterker proces, eigenaarschap of bewijs nodig | Plannen en onderbouwen met bewijs in Week 7–12 |
| GREEN | Controle bestaat, werkt en heeft bruikbaar bewijs | Opslaan in evidence pack en opnemen in reviewcadans |
De 12-weekse NIS2 implementation roadmap: overzicht
De onderstaande tabel behandelt alle 12 weken over vier fases, met de focus, taken en deliverables per week. Pas de planning aan op uw type entiteit met behulp van de Essential/Important-aanpassingen verderop in dit artikel.
| Week | Fase | Focus | Belangrijkste taken | Deliverable |
|---|---|---|---|---|
| 1 | Fase 1: Foundation | Scope + classify | Bevestig entity classification als Essential of Important. Identificeer de nationale bevoegde autoriteit. Bevestig nationale registratiestatus of registratieplicht. Plan Phase 1-interviews en de Week 12 board approval-meeting. | Entity classification statement. Bevoegde autoriteit geïdentificeerd. Week 12 board meeting in de agenda. |
| 2 | Fase 1: Foundation | Gap analysis kickoff | Start het Article 21 gap analysis framework. Interview IT, HR, operations, compliance en management. Bouw een baseline inventory op langs de Article 21 measure areas. | Gap analysis in uitvoering. Concept baseline inventory. |
| 3 | Fase 1: Foundation | Gap assessment + RAG | Rond RAG-ratings af. Prioriteer gaps op risico. Presenteer bevindingen aan management. Koppel RED en AMBER gaps aan owners. | Gap assessment report. Geprioriteerd gap register. Board review van bevindingen. |
| 4 | Fase 2: Risk and controls | Risk assessment | Formaliseer risicoanalyse onder Article 21(2)(a). Identificeer dreigingen, kwetsbaarheden, business impact en eerste risk treatment actions. | Risk assessment results. Concept risk treatment plan. |
| 5 | Fase 2: Risk and controls | RED gap remediation start | Start remediation van RED gaps. Prioriteer de Article 23 incident reporting procedure en MFA deployment onder Article 21(2)(j), waar passend. | Incident response procedure opgesteld. MFA implementation in uitvoering. Access control review gestart. |
| 6 | Fase 2: Risk and controls | Policies + supply chain | Stel informatiebeveiligingsbeleid op of werk dit bij. Start supply chain security assessment voor kritieke leveranciers onder Article 21(2)(d). | Ondertekend informatiebeveiligingsbeleid. Minimaal één critical supplier assessment afgerond. |
| 7 | Fase 3: Build and evidence | Controls implementation | Zet RED gap remediation voort. Start AMBER gap remediation. Ontwerp of plan security awareness training. | Security controls implementation op schema. Training programme bevestigd. |
| 8 | Fase 3: Build and evidence | Training + evidence collection | Lever security awareness training aan medewerkers. Rond management board training af onder Article 20(2). Start met het verzamelen van Tier 1 evidence. | Training records voor medewerkers en management. Evidence collection 50% afgerond. |
| 9 | Fase 3: Build and evidence | Evidence collection continues | Zet Tier 1 evidence collection voort. Stel een business continuity plan op of review dit. Rond access reviews af. | Evidence pack 80% compleet. Business continuity plan opgesteld. Access review records afgerond. |
| 10 | Fase 3: Build and evidence | Evidence pack completion | Rond Tier 1 evidence af voor alle tien Article 21 measure areas. Organiseer evidence folder structure. Rond MFA rollout af of documenteer residual rollout plan. | NIS2 evidence pack compleet tot Tier 1. Folder structure georganiseerd. |
| 11 | Fase 4: Validation | Internal review | Review evidence pack tegenover Article 21 measures. Presenteer board RAG summary. Leg residual gaps en risk acceptance vast. | Internal review report. Residual risk acceptance record. Board RAG summary approved. |
| 12 | Fase 4: Validation | Readiness confirmation | Board keurt het Article 21 security programme formeel goed onder Article 20(1). Bevestig dat competent authority registration evidence is opgeslagen. Archiveer evidence pack met toegangsbeheer. | Board minutes approving Article 21 programme. Registration evidence opgeslagen. Evidence pack archived. |
Fase 1: Foundation (Week 1–3) — scope, gap analysis en board briefing
Fase 1 creëert de feitelijke basis voor de rest van de roadmap. Het team bevestigt of de organisatie een Essential of Important entity is, identificeert de relevante bevoegde autoriteit, controleert nationale registratieverplichtingen en voert de gap analysis uit.
Week 1: Scope confirmation and entity classification
Week 1 moet één kort document opleveren: het entity classification statement.
Dit document moet de sector, het type entiteit, de omvangsdrempel, het land of de landen van operatie, de nationale bevoegde autoriteit en de registratiestatus vastleggen. Voor cross-border SMEs moet het statement ook benoemen welke Member State-regels het meest relevant zijn voor elke servicelijn.
De tweede actie in Week 1 is calendar control. Plan alle stakeholderinterviews voor Week 1–2 en zet de Week 12 board approval-meeting direct in de agenda.
Deliverable: Entity classification statement. Bevoegde autoriteit geïdentificeerd. Week 12 board meeting gepland.
Als de organisatie nog niet zeker weet of NIS2 van toepassing is, is de eerste stap om een plain-English scope test uit te voeren voordat remediation owners worden toegewezen.
Week 2: Gap analysis in progress
Week 2 draait sterk om interviews. De gap analysis heeft input nodig van IT, HR, operations, compliance, procurement en management. Elk team is eigenaar van een deel van de control environment.
IT kan toegangsbeheer, asset inventory, logging, patching en incident handling toelichten. HR kan onboarding, offboarding, training en role-based access toelichten. Procurement kan supplier due diligence toelichten. Management kan governance, risk appetite en approval cadence toelichten.
Deliverable: Concept baseline inventory gemapt op Article 21 measure areas.
Week 3: Gap assessment, RAG rating en board briefing
Aan het einde van Week 3 moet de gap analysis ver genoeg zijn om managementbesluiten te ondersteunen. Elke gap moet een RAG-rating, owner, risk note, remediation action en evidence target hebben.
De board moet niet wachten tot Week 12 om de eerste NIS2-update te zien. Article 20 legt governanceverantwoordelijkheid bij management bodies. Dat betekent dat management zicht nodig heeft voordat remediation start.
Management checkpoint (Article 20) — Week 3
Management board gebrieft over de bevindingen uit de gap analysis. Article 20 oversight start hier. De briefing moet worden gedocumenteerd in board meeting notes of een gelijkwaardig record. De board is nu op de hoogte van de NIS2 gaps van de organisatie.
Common delay risk — Week 2–3
Stakeholderbeschikbaarheid is het eerste punt waarop de planning vastloopt. Gap analysis vereist tijd van IT, HR, operations, compliance, procurement en management. Als die interviews niet in Week 1 worden gepland, schuift de hele roadmap op. Mitigatie: verstuur alle Phase 1 calendar invites voordat de gap analysis begint.
Fase 2: Risk and controls (Week 4–6) — risk assessment en RED gap remediation
Fase 2 zet het gap register om in remediationwerk. De prioriteit is niet om alles tegelijk op te lossen. De prioriteit is om de gaps aan te pakken die de hoogste compliance- en operationele blootstelling veroorzaken.
Voor veel SMEs zijn incident reporting en access control de eerste twee RED gaps. Incident reporting telt omdat er tijdens de roadmap een incident kan plaatsvinden. Access control telt omdat accounts, privileges en MFA zichtbaar zijn in audits, vragenlijsten en incidentreviews.
Week 4: Risk assessment and treatment plan
Week 4 zet het gap register om in een risk treatment plan. Onder Article 21(2)(a) hebben covered entities beleid nodig voor risk analysis en information system security. In de praktijk betekent dit dat de organisatie een herhaalbare manier nodig heeft om risico’s te identificeren, te rangschikken, owners toe te wijzen en treatment te bepalen.
Elke RED of AMBER gap moet worden beoordeeld op business impact, waarschijnlijkheid, system exposure, data sensitivity en afhankelijkheid van leveranciers.
Deliverable: Risk assessment results en concept risk treatment plan.
Zodra de risk assessment is opgesteld, gebruikt u een NIS2 compliance checklist om te controleren of de belangrijkste Article 21 control areas zijn afgedekt voordat remediation begint.
Week 5: RED gap remediation starts
Week 5 moet starten met de controles die niet kunnen wachten.
De eerste is Article 23 incident reporting. NIS2 reporting vereist early warning, incident notification en final reporting voor significante incidenten. De praktische output is een incident response procedure met benoemde rollen, classification criteria, escalation path en reporting timeline.
De tweede prioriteit is MFA of secure authentication onder Article 21(2)(j), waar passend. Het bewijs is niet alleen een screenshot die laat zien dat MFA bestaat. Het bewijs moet scope, rollout status, exceptions, owner en review date laten zien.
Deliverable: Incident response procedure opgesteld. MFA implementation in uitvoering. Access control review gestart.
Week 6: Policies and supply chain
Week 6 zet risk treatment om in management-approved policy. Het informatiebeveiligingsbeleid moet direct verwijzen naar Article 21 measures. Generieke “cybersecurity policy”-formuleringen zijn zwakker, omdat ze niet laten zien dat management het NIS2 security programme heeft goedgekeurd.
Supply chain assessment start ook in Week 6. Onder Article 21(2)(d) moeten entiteiten supply chain security aanpakken, inclusief leveranciersrelaties. Probeer binnen een 12-weekse roadmap niet elke leverancier tegelijk te beoordelen. Start met de drie belangrijkste kritieke leveranciers: de leveranciers met de meeste systeemtoegang, datatoegang of operationele afhankelijkheid.
Deliverable: Ondertekend informatiebeveiligingsbeleid. Minimaal één critical supplier assessment afgerond.
Management checkpoint (Article 20) — Week 6
Information security policy ingediend voor management signature. Dit is een van de eerste Article 20 evidence documents. Het beleid moet specifiek verwijzen naar Article 21 measures, niet alleen naar “cybersecurity”.
Common delay risk — Week 5–6
Supply chain scope kan te snel groeien. “Assess all suppliers” is geen Week 6-taak. Mitigatie: beoordeel eerst de top drie kritieke leveranciers en verplaats leveranciers met lager risico naar een 90-day post-roadmap plan.
Loopt u achter met uw NIS2 implementation — of weet u niet zeker waar uw team moet starten?
Sunbytes kan instappen bij de fase waar u nu tegenaan loopt. Als de gap analysis nog niet is gestart, ondersteunen wij Phase 1. Als RED gaps bekend zijn maar remediation is vastgelopen, helpen wij om Phase 2 om te zetten in gecontroleerd deliverywerk. Als uw bewijs verspreid staat over folders, tickets en meeting notes, helpen wij om Phase 3 te structureren tot een evidence pack dat uw team kan gebruiken. Talk to Sunbytes about your NIS2 roadmap.
Fase 3: Build and evidence (Week 7–10) — controls implementation en evidence collection
Fase 3 is het langste deel van de roadmap, omdat plannen worden omgezet in werkende controles en bewijs. Een policy zonder bewijs beantwoordt geen audit request. Een control zonder ownership overleeft de volgende access review niet. Een remediation ticket zonder closure evidence bewijst niet dat het risico is verlaagd.
Week 7: Continue RED gaps and start AMBER gaps
Week 7 houdt RED gap remediation in beweging en start AMBER gaps die proces- of bewijsverbetering nodig hebben.
Typisch Week 7-werk omvat access review clean-up, afronding van MFA rollout, bevestiging van incident response-rollen, supplier evidence collection, updates aan het secure development process en eigenaarschap voor business continuity.
Training moet deze week ook worden ontworpen of gepland. Article 20(2) verplicht management bodies om training te volgen en moedigt vergelijkbare training voor medewerkers aan. Het trainingsrecord wordt governance evidence, niet alleen awareness evidence.
Deliverable: Security controls implementation op schema. Training programme bevestigd.
Week 8: Training and evidence collection
Week 8 moet training records opleveren voor zowel medewerkers als management. Het record moet datum, deelnemers, training topic, trainer of bron, aanwezigheidsstatus en follow-up actions bevatten.
Dit is ook het moment waarop het evidence pack zichtbaar begint te worden. Bewijs moet worden verzameld in een consistente folder structure, niet verspreid over systemen.
Deliverable: Training records voor medewerkers en management. Evidence collection 50% compleet.
Op dit punt moet het team starten met het opbouwen van het NIS2 evidence pack, zodat elke control een duidelijke owner, proof record en review status heeft.
Management checkpoint (Article 20) — Week 8
Training completion records van de management board zijn Article 20(2)-bewijs. Deze records moeten in het evidence pack worden opgeslagen, niet alleen in HR- of learning systems.
Week 9: Evidence collection continues
Week 9 is het moment waarop het evidence pack meestal wordt getest. Het team moet voor elk Article 21 measure area één vraag stellen: kunnen wij bewijzen dat deze control bestaat en werkt?
Bijvoorbeeld:
| Control area | Zwak bewijs | Sterker bewijs |
|---|---|---|
| Access control | Screenshot van users | Access policy, approval record, quarterly review, exception list |
| Incident response | Alleen policy PDF | Procedure, role matrix, incident classification flow, reporting timeline |
| Supplier security | Supplier list | Critical supplier register, questionnaire, risk rating, follow-up owner |
| Business continuity | Backup statement | BCP, recovery owner, test record, open actions |
| Training | Slide deck | Attendance record, topic list, board training record |
Deliverable: Evidence pack 80% compleet. Business continuity plan opgesteld of gereviewd. Access review records afgerond.
Week 10: Evidence pack completion
In Week 10 moet Tier 1 evidence bestaan voor alle tien Article 21 measure areas. Tier 1 betekent het minimumbewijs dat nodig is om te laten zien dat de control bestaat, een owner heeft en kan worden gereviewd. Tier 2 evidence kan later volgen waar de organisatie meer auditdiepte nodig heeft.
De folder structure telt. Evidence moet makkelijk te navigeren zijn op control area, owner, datum en status. Een regulator, auditor, buyer of board member moet de projectgeschiedenis niet hoeven interpreteren om te begrijpen wat er is gedaan.
Deliverable: Tier 1 NIS2 evidence pack afgerond. MFA afgerond of residual rollout gedocumenteerd. Folder structure georganiseerd.
Common delay risk — Week 8–9
Evidence bestaat vaak wel, maar is niet leesbaar of toegankelijk. Screenshots staan in tickets, policies staan in shared drives en approvals staan in meeting notes. Mitigatie: benoem in Week 1 één evidence coordinator die evidence ownership vanaf het begin volgt.
Fase 4: Validation and readiness (Week 11–12) — review, board approval en archive
Fase 4 controleert of de organisatie kan uitleggen wat is gedaan, wat open blijft, wie residual risk heeft geaccepteerd en waar het bewijs is opgeslagen.
Deze fase moet geen grote nieuwe controls introduceren. De fase moet de basislijn valideren, evidence gaps sluiten, residual risk documenteren en het management body het Article 21 security programme laten goedkeuren.
Week 11: Internal review
Week 11 is een interne review langs de tien Article 21 measure areas. Het team moet bevestigen dat elk gebied een owner, control status, evidence record en next action heeft wanneer nodig.
Residual gaps moeten worden gedocumenteerd. Voor AMBER gaps betekent dit owner, target date, business impact en interim control. Voor RED gaps die open blijven, moet management het risico begrijpen en een vastgelegde beslissing nemen.
Deliverable: Internal review report. Residual risk acceptance record. Board RAG summary approved.
Week 12: Readiness confirmation
Week 12 is het board approval point. Het management body moet het Article 21 security programme formeel goedkeuren en die goedkeuring vastleggen in notulen.
De board minutes moeten benoemen wat is gepresenteerd, wie aanwezig was, wat is goedgekeurd, welke residual gaps open blijven en welke next review cadence geldt. De notulen moeten specifiek verwijzen naar het Article 21 programme. “Cybersecurity update approved” is te vaag.
Competent authority registration moet niet als een nieuwe Week 12-taak worden behandeld. In Week 12 moet de organisatie bevestigen dat registration evidence of registration status is opgeslagen in het evidence pack. Als registratie nog niet compleet is, is dat een readiness gap, geen validation task.
Deliverable: Board minutes approving Article 21 programme. Competent authority registration evidence opgeslagen. Evidence pack archived en access-controlled.
Management checkpoint (Article 20) — Week 12
Board approval in meeting minutes is het belangrijkste Article 20 compliance document in deze roadmap. Het moet specifiek verwijzen naar het Article 21 security programme, de aanwezigen benoemen, de approval date vastleggen en alle residual risk noemen die door management is geaccepteerd.
Common delay risk — Week 12
Board approval schuift op wanneer de meeting niet vroeg wordt gepland. Voor SMEs kunnen board calendars vier tot zes weken vooruit vol zitten. Mitigatie: plan de Week 12 board meeting op de eerste werkdag van Week 1. De Week 12 board approval moet worden gedocumenteerd als management accountability evidence, niet worden behandeld als algemene cybersecurity update.
De roadmap aanpassen voor Essential vs Important entities
Essential en Important entities kunnen dezelfde 12-weekse structuur gebruiken, maar de timing en bewijsdiepte verschillen. Essential entities hebben meestal eerder sterkere readiness nodig, omdat de supervisory expectations hoger zijn.
| Aspect | Essential entity | Important entity |
|---|---|---|
| Supervisory model | Reken op meer proactive supervisory scrutiny. Evidence moet vanaf Week 12 klaar zijn voor review. | Supervision is waarschijnlijker reactief, bijvoorbeeld na een incident of klacht. Evidence moet nog steeds in Week 12 georganiseerd zijn. |
| Supply chain assessment priority | Hoger. Kritieke leveranciers moeten vroeg worden beoordeeld, met een sterker follow-up plan. | Start met kritieke leveranciers in Week 6. Leveranciers met lager risico kunnen naar het 90-day plan. |
| Management governance urgency | Board visibility moet vroeg plaatsvinden. Een Week 3 board briefing is niet optioneel. | Board briefing in Week 3 en formele approval in Week 12 is meestal werkbaar voor de roadmap. |
| Registration status | Bevestig vóór Week 1 waar nationale regels registratie vereisen. Als dit niet compleet is, wordt registratie de eerste readiness action. | Bevestig in Week 1 en sla evidence op. Als dit niet compleet is, leg het vast als readiness gap en wijs een owner toe. |
| Evidence standard | Tier 1 evidence plus geselecteerde Tier 2 evidence aanbevolen tegen Week 12. | Tier 1 evidence voor alle tien Article 21 measure areas tegen Week 12. Tier 2 kan naar de improvement cycle. |
Dutch Wbni and RDI context
Voor Nederlandse organisaties wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw). De Tweede Kamer heeft de Cbw en Wwke in april 2026 aangenomen, maar organisaties moeten nog steeds de laatste datum van inwerkingtreding en sector guidance controleren via officiële Nederlandse overheid- en RDI-bronnen voordat zij vertrouwen op implementatieformuleringen.
Voor Nederlandse entiteiten moet registratie worden behandeld als een prerequisite of Week 1 confirmation task, niet als een Week 12 deliverable. Als uw organisatie registratieplichtig is en dit nog niet heeft afgerond, doe dat dan voordat u de 12-weekse roadmap als implementatievolgorde behandelt.
Voor organisaties in digital infrastructure, managed services, telecom, finance en healthcare moeten de bevoegde autoriteit en sectorspecifieke verwachtingen worden gecontroleerd voordat een generieke roadmap wordt gebruikt. De volgorde helpt nog steeds, maar sectorregels kunnen invloed hebben op timelines, evidence depth en reporting channels.
De drie meest voorkomende NIS2 implementation delays — en hoe u ze voorkomt
De 12-weekse roadmap loopt vast wanneer drie afhankelijkheden worden behandeld als administratieve taken in plaats van delivery risks.
1. Stakeholder availability in Week 2–3
Gap analysis vereist interviews met IT, HR, operations, compliance, procurement en management. Als die mensen niet beschikbaar zijn, loopt de gap analysis vast.
Prevention: plan interviews in Week 1. Benoem één owner voor het interviewplan. Start de gap analysis niet zonder bevestigde calendar slots.
2. Supply chain assessment in Week 5–6
Supplier reviews groeien snel wanneer het team elke supplier tegelijk probeert te behandelen. Dat maakt de roadmap te zwaar voor een 12-weekse basislijn.
Prevention: start met de top drie kritieke leveranciers. Gebruik data access, system access en operational dependency als selectiecriteria. Verplaats de volledige supplier list naar een 90-day plan.
3. Board meeting scheduling in Week 12
De Week 12 board approval is een compliance deliverable, geen formaliteit. Als de meeting niet vroeg wordt geboekt, kan approval meerdere weken opschuiven.
Prevention: plan de Week 12 meeting in Week 1. Stuur de board tegelijkertijd een korte roadmap note, zodat zij weten welk besluit nodig zal zijn.
Wat “audit-ready in Week 12” echt betekent
Audit-ready in Week 12 betekent niet dat elk security issue is gesloten. Het betekent dat de organisatie kan laten zien wat is beoordeeld, wat is hersteld, wat open blijft, wie elke gap bezit en welk bewijs het programma ondersteunt.
Wat het betekent
In Week 12 moet de organisatie beschikken over:
- Tier 1 evidence voor alle tien Article 21 measure areas.
- Een management-approved Article 21 security programme.
- Board minutes die approval onder Article 20 governance vastleggen.
- Competent authority registration evidence of status opgeslagen in het evidence pack.
- Resterende AMBER gaps gedocumenteerd met owners, datums en interim controls.
- Een 90-day improvement plan voor werk dat niet binnen de 12-weekse basislijn kan worden afgerond.
Wat het niet betekent
Audit-ready betekent geen perfecte compliance. Sommige AMBER gaps kunnen nog openstaan met gedocumenteerde remediation timelines.
Het betekent ook niet het einde van het compliance programme. NIS2 readiness vereist review cycles, access reviews, supplier reassessments, training updates, incident tests en management reporting.
Het beschermt de organisatie ook niet tegen een significant incident tijdens de roadmap. Article 23 readiness moet in Week 5 starten, omdat incidenten vóór Week 12 kunnen plaatsvinden.
Hoe Sunbytes de NIS2 implementation roadmap levert voor Nederlandse organisaties
Sunbytes structureert NIS2 implementation support rond dezelfde operationele volgorde: scope, gap analysis, risk-ranked remediation, evidence pack assembly en board-ready documentation.
Voor Nederlandse en EU-SMEs is het praktische doel geen generieke compliance statement. Het doel is een set documenten en controles die een CTO, compliance officer of management body kan gebruiken vóór de volgende audit, customer security questionnaire of remediation review.
Why Sunbytes?
Sunbytes is een Nederlands technologiebedrijf met hoofdkantoor in Nederland en een delivery hub in Vietnam. Al 15 jaar helpen wij klanten wereldwijd met Transform · Secure · Accelerate — strategie omzetten in deliverywerk met security ingebouwd. Sunbytes is ISO 27001 gecertificeerd, en engagements kunnen werken onder een getekende DPA met een gedocumenteerd auditspoor.
- CyberSecurity Solutions: Voor NIS2 readiness helpt Sunbytes risico te verlagen zonder delivery te vertragen via praktische security services en compliance readiness support. Dat omvat gap analysis, Article 21 control mapping, remediation planning, evidence pack structure en board-ready reporting voor Article 20 governance.
- Digital Transformation Solutions: Voor NIS2 remediationwerk dat raakt aan software delivery, technische documentatie, QA, maintenance of system modernisation helpt Sunbytes security actions te vertalen naar praktische engineering tasks. Hier worden RED en AMBER gaps omgezet in backlog items, delivery plans en evidence die uw team kan volgen.
- Accelerate Workforce Solutions: Wanneer interne capaciteit de bottleneck wordt, helpt Sunbytes capabilities op te schalen via recruitment en workforce support. Dit kan teams helpen om de juiste technische, QA-, security- of documentatiecapaciteit toe te voegen wanneer de 12-weekse roadmap meer handen nodig heeft om remediation in beweging te houden.
Voor EU-SMEs die zich voorbereiden op NIS2 is het praktische doel duidelijk: ga van verspreide acties naar een evidence-based roadmap die uw management body kan goedkeuren en uw teams kunnen uitvoeren. Start uw 12-weekse NIS2 implementation roadmap met Sunbytes.
FAQs
Ja, maar alleen wanneer de organisatie al sterke documentatie en werkende controles heeft. ISO 27001-gecertificeerde organisaties kunnen delen van Phase 1 en Phase 2 verkorten, omdat asset inventory, risk assessment, access control en policy records mogelijk al bestaan. De onderdelen die meestal niet veel kunnen worden verkort zijn stakeholderinterviews, board scheduling en evidence clean-up.
Wacht niet tot Week 12 om het incident reporting process op te bouwen. Article 23 readiness start in Week 5, omdat een incident op elk moment tijdens implementation kan plaatsvinden. De incident response procedure moet classification criteria, named roles, escalation path en de reporting timeline voor significante incidenten bevatten.
Meestal wel. ISO 27001 kan de inspanning verlagen omdat veel controls, policies, access records en risk processes mogelijk al bestaan. Het vervangt geen NIS2-specifiek werk zoals documentatie van de Article 23 reporting timeline, entity classification, nationale registration requirements en Article 20 board approval evidence.
Na Week 12 moet de organisatie doorgaan met een 90-day improvement cycle. Die cyclus moet resterende AMBER gaps sluiten, supplier assessment uitbreiden voorbij de top drie kritieke leveranciers, periodieke access reviews uitvoeren, het risk register bijwerken en het volgende board report voorbereiden. NIS2 readiness wordt onderhouden via een review cadence, niet via een eenmalig project.
Eén persoon kan de roadmap coördineren, maar niet alleen uitvoeren. Een SME met 50–250 medewerkers heeft meestal één interne coordinator, één executive sponsor, IT ownership, HR-input, procurement-input en managementbeschikbaarheid nodig. Evidence collection kan worden verdeeld, maar ownership moet gecentraliseerd zijn.
Rond eerst de critical supplier assessment af. Voor de meeste SMEs betekent dit de top drie leveranciers op basis van system access, data access of operational dependency. Leveranciers met lager risico kunnen naar het 90-day post-roadmap plan, zolang die beslissing wordt gedocumenteerd en goedgekeurd.
Nee. Week 12 betekent dat de organisatie een auditklare basislijn heeft. Het evidence pack moet laten zien wat is beoordeeld, wat is hersteld, wat open blijft en wie eigenaar is van elke next action. Volledige maturity kan langer duren, vooral voor Essential entities of organisaties die starten vanuit een zwakke basislijn.
Laten we beginnen met Sunbytes
Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.
