{"id":27418,"date":"2026-01-19T08:55:33","date_gmt":"2026-01-19T07:55:33","guid":{"rendered":"https:\/\/sunbytes.io\/?p=27418"},"modified":"2026-05-30T16:53:31","modified_gmt":"2026-05-30T14:53:31","slug":"nis2-compliance-readiness-checklist-voor-eu-mkb","status":"publish","type":"post","link":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/","title":{"rendered":"NIS2 compliance checklist: 40 controles die EU-bedrijven moeten kunnen aantonen"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_62 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title \" >In this post<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #0d023e;color:#0d023e\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #0d023e;color:#0d023e\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#TLDR\" title=\"TL;DR\">TL;DR<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Wat_NIS2_Artikel_21_vereist_en_voor_wie_deze_NIS2_compliance_checklist_bedoeld_is\" title=\"Wat NIS2 Artikel 21 vereist en voor wie deze NIS2 compliance checklist bedoeld is\">Wat NIS2 Artikel 21 vereist en voor wie deze NIS2 compliance checklist bedoeld is<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Hoe_deze_NIS2_compliance_checklist_aansluit_op_Artikel_20_governance\" title=\"Hoe deze NIS2 compliance checklist aansluit op Artikel 20 governance\">Hoe deze NIS2 compliance checklist aansluit op Artikel 20 governance<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Hoe_u_deze_NIS2_compliance_checklist_gebruikt\" title=\"Hoe u deze NIS2 compliance checklist gebruikt\">Hoe u deze NIS2 compliance checklist gebruikt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#De_NIS2_compliance_checklist_40_controles\" title=\"De NIS2 compliance checklist: 40 controles\">De NIS2 compliance checklist: 40 controles<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Art212a_Beleid_voor_risicoanalyse_en_beveiliging_van_informatiesystemen\" title=\"Art.21(2)(a) Beleid voor risicoanalyse en beveiliging van informatiesystemen\">Art.21(2)(a) Beleid voor risicoanalyse en beveiliging van informatiesystemen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Art212b_Incidentafhandeling\" title=\"Art.21(2)(b) Incidentafhandeling\">Art.21(2)(b) Incidentafhandeling<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Art212c_Bedrijfscontinuiteit_en_crisismanagement\" title=\"Art.21(2)(c) Bedrijfscontinu\u00efteit en crisismanagement\">Art.21(2)(c) Bedrijfscontinu\u00efteit en crisismanagement<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Art212d_Supply_chain_security\" title=\"Art.21(2)(d) Supply chain security\">Art.21(2)(d) Supply chain security<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Art212e_Beveiliging_bij_aanschaf_ontwikkeling_en_onderhoud_van_netwerk-_en_informatiesystemen\" title=\"Art.21(2)(e) Beveiliging bij aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen\">Art.21(2)(e) Beveiliging bij aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Art212f_Beleid_en_procedures_om_de_effectiviteit_van_cybersecurityrisicobeheersmaatregelen_te_beoordelen\" title=\"Art.21(2)(f) Beleid en procedures om de effectiviteit van cybersecurity\u00adrisicobeheersmaatregelen te beoordelen\">Art.21(2)(f) Beleid en procedures om de effectiviteit van cybersecurity\u00adrisicobeheersmaatregelen te beoordelen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Art212g_Basispraktijken_voor_cyberhygiene_en_cybersecuritytraining\" title=\"Art.21(2)(g) Basispraktijken voor cyberhygi\u00ebne en cybersecuritytraining\">Art.21(2)(g) Basispraktijken voor cyberhygi\u00ebne en cybersecuritytraining<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Art212h_Beleid_en_procedures_voor_cryptografie_en_encryptie\" title=\"Art.21(2)(h) Beleid en procedures voor cryptografie en encryptie\">Art.21(2)(h) Beleid en procedures voor cryptografie en encryptie<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Art212i_Human_resources_security_toegangsbeheerbeleid_en_asset_management\" title=\"Art.21(2)(i) Human resources security, toegangsbeheerbeleid en asset management\">Art.21(2)(i) Human resources security, toegangsbeheerbeleid en asset management<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Art212j_Multi-factor_authentication_continuous_authentication_en_veilige_communicatie\" title=\"Art.21(2)(j) Multi-factor authentication, continuous authentication en veilige communicatie\">Art.21(2)(j) Multi-factor authentication, continuous authentication en veilige communicatie<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Wat_u_met_uw_checklistresultaten_doet\" title=\"Wat u met uw checklistresultaten doet\">Wat u met uw checklistresultaten doet<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Hoe_u_de_NIS2_compliance_checklist_omzet_in_een_gap_register\" title=\"Hoe u de NIS2 compliance checklist omzet in een gap register\">Hoe u de NIS2 compliance checklist omzet in een gap register<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Hoe_u_het_evidence_pack_opbouwt_na_scoring\" title=\"Hoe u het evidence pack opbouwt na scoring\">Hoe u het evidence pack opbouwt na scoring<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Hoe_Sunbytes_NIS2_compliance_readiness_ondersteunt\" title=\"Hoe Sunbytes NIS2 compliance readiness ondersteunt\">Hoe Sunbytes NIS2 compliance readiness ondersteunt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-20\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#FAQs\" title=\"FAQs\">FAQs<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-21\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#Sunbytes_NIS2_Readiness_Checklist\" title=\"Sunbytes&#8217; NIS2 Readiness Checklist\">Sunbytes&#8217; NIS2 Readiness Checklist<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\" eplus-wrapper\">Een NIS2 compliance checklist is alleen nuttig als deze laat zien wat uw bedrijf met bewijs kan aantonen. Alleen een beleidsnaam is niet genoeg. Alleen een scanrapport is niet genoeg. Voor EU-SMEs die zich voorbereiden op NIS2 is de praktische vraag: kan uw team bewijzen dat de vereiste cybersecurity\u00adcontroles bestaan, werken en worden beoordeeld?<\/p>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Artikel 21 verplicht essenti\u00eble en belangrijke entiteiten om passende en proportionele technische, operationele en organisatorische maatregelen te nemen om cybersecurityrisico\u2019s te beheersen. Voor SMEs betekent dit dat brede wettelijke vereisten moeten worden vertaald naar bewijs: beleid, risicoanalyses, incidentregistraties, leveranciersreviews, toegangslogs, testrapporten en managementgoedkeuring.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Deze checklist vertaalt de 10 maatregelgebieden uit Artikel 21(2) naar 40 controlepunten. Gebruik deze als self-assessment v\u00f3\u00f3r een formele NIS2 gap analysis, klantreview, bestuursupdate of compliance readiness assessment.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"TLDR\"><\/span>TL;DR<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 compliance vereist dat EU-SMEs 40 praktische controlepunten kunnen aantonen binnen de 10 cybersecurity\u00adrisicobeheersmaatregelen uit Artikel 21(2). Deze checklist behandelt risicobeleid, incidentafhandeling, bedrijfscontinu\u00efteit, supply chain security, secure development, effectiviteit van controles, cyberhygi\u00ebne, cryptografie, toegangsbeheer, asset management en MFA of veilige communicatie.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De 10 Artikel 21(2)-maatregelen die deze checklist behandelt:<\/p>\n\n\n<ol start=\"1\" class=\" eplus-wrapper eplus-styles-uid-6ed7fa\">\n<li class=\" eplus-wrapper\">Risicoanalyse en beleid voor de beveiliging van informatiesystemen: 4 controles<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Incidentafhandeling: 4 controles<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Bedrijfscontinu\u00efteit en crisismanagement: 4 controles<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Supply chain security: 4 controles<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Beveiliging bij aanschaf, ontwikkeling en onderhoud van systemen: 4 controles<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Beoordeling van de effectiviteit van cybersecuritymaatregelen: 4 controles<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Basispraktijken voor cyberhygi\u00ebne en cybersecuritytraining: 4 controles<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Cryptografie en encryptie: 4 controles<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Human resources security, toegangsbeheer en asset management: 4 controles<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Multi-factor authentication en veilige communicatie: 4 controles<\/li>\n<\/ol>\n\n\n<p class=\" eplus-wrapper\">Als uw resultaat RED of AMBER controles bevat, plaats deze items dan in een gap register en prioriteer ze via een gestructureerde <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-gap-analyse\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 gap analysis.<\/a><\/strong><\/p>\n\n\n\n<figure class=\" wp-block-image aligncenter size-full is-resized eplus-wrapper\"><img decoding=\"async\" width=\"1000\" height=\"643\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Article-21-Requirements.webp\" alt=\"NIS2 Article 21 Requirements\" class=\"wp-image-27426\" style=\"width:1000px\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Article-21-Requirements.webp 1000w, https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Article-21-Requirements-300x193.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Article-21-Requirements-768x494.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_NIS2_Artikel_21_vereist_en_voor_wie_deze_NIS2_compliance_checklist_bedoeld_is\"><\/span>Wat NIS2 Artikel 21 vereist en voor wie deze NIS2 compliance checklist bedoeld is<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Artikel 21 is het belangrijkste artikel over risicobeheer in de Directive. Het verplicht organisaties die binnen de scope vallen om cybersecuritymaatregelen toe te passen die passen bij hun risico, omvang, blootstelling en de impact van hun diensten.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor een EU-SME betekent dit niet dat u een enterprise security programme moet kopi\u00ebren. Het betekent dat uw organisatie moet kunnen bewijzen dat risico\u2019s zijn ge\u00efdentificeerd, eigenaarschap is toegewezen, basiscontroles zijn ge\u00efmplementeerd en bewijs beschikbaar is wanneer een toezichthouder, klant, verzekeraar of bestuurslid daarom vraagt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Deze checklist is bedoeld voor:<\/p>\n\n\n\n<p class=\" eplus-wrapper\">\u25cf EU-SMEs die al weten of vermoeden dat zij onder NIS2 vallen.<br>\u25cf CTOs, IT Managers, CISOs, Compliance Managers en founders die bewijs voorbereiden.<br>\u25cf Bedrijven die door klanten, leveranciers, auditors of investeerders worden gevraagd om NIS2 readiness aan te tonen.<br>\u25cf Nederlandse of bredere EU-organisaties die een praktische bewijsbasis nodig hebben v\u00f3\u00f3r een formele review.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Deze checklist is geen juridisch advies. NIS2 wordt via nationale wetgeving ge\u00efmplementeerd. Daardoor kunnen sectorscope, toezichthouder, registratievereisten en handhavingsproces verschillen per Member State. Gebruik deze checklist als readiness tool en bevestig nationale vereisten daarna met een gekwalificeerde NIS2-adviseur.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Als u nog moet bevestigen of NIS2 op uw bedrijf van toepassing is, start dan met een <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/is-nis2-op-ons-van-toepassing\/\" target=\"_blank\" rel=\"noreferrer noopener\">scope test<\/a><\/strong> voordat u deze checklist gebruikt.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_deze_NIS2_compliance_checklist_aansluit_op_Artikel_20_governance\"><\/span>Hoe deze NIS2 compliance checklist aansluit op Artikel 20 governance<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 readiness is niet alleen een IT-taak. Artikel 20 verplicht bestuursorganen van essenti\u00eble en belangrijke entiteiten om cybersecurity\u00adrisicobeheersmaatregelen goed te keuren, toezicht te houden op de implementatie en training te volgen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dat heeft invloed op het bewijs dat uw bedrijf moet voorbereiden. Als het bestuur een risk treatment plan goedkeurt, moet er een gedateerd goedkeuringsrecord zijn. Als het management een cybersecurity KPI-rapport ontvangt, moet er een rapportagepakket of vergaderverslag zijn. Als bestuursleden NIS2-training afronden, moet daar trainingsbewijs van zijn.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor de governancekant van NIS2 koppelt u deze checklist aan uw <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/\" target=\"_blank\" rel=\"noreferrer noopener\">management accountability<\/a><\/strong>-workstream.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_u_deze_NIS2_compliance_checklist_gebruikt\"><\/span>Hoe u deze NIS2 compliance checklist gebruikt<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Score elke controle als RED, AMBER of GREEN. De score is gebaseerd op bewijs, niet op intentie.<\/p>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th>Score<\/th><th>Betekenis<\/th><th>Volgende stap<\/th><\/tr><\/thead><tbody><tr><td>RED<\/td><td>De controle ontbreekt, is niet gedocumenteerd of is niet toegewezen aan een owner.<\/td><td>Voeg deze toe aan het gap register en prioriteer herstel.<\/td><\/tr><tr><td>AMBER<\/td><td>De controle bestaat deels, maar het bewijs is verouderd, incompleet of niet gereviewd.<\/td><td>Bepaal welk bewijs ontbreekt en wie de owner is.<\/td><\/tr><tr><td>GREEN<\/td><td>De controle bestaat, werkt in de praktijk en heeft actueel bewijs.<\/td><td>Bewaar het bewijs in uw NIS2 evidence pack en review het volgens planning.<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Gebruik RAG-scoring om de checklist om te zetten in een gap reg<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Verzamel per controle het minimumbewijs dat in de tabel staat. Vertrouw niet op mondelinge bevestiging. NIS2 readiness hangt af van wat uw organisatie kan aantonen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een goede self-assessment bestaat uit vijf stappen:<\/p>\n\n\n<ol start=\"1\" class=\" eplus-wrapper eplus-styles-uid-7e3205\">\n<li class=\" eplus-wrapper\">Bevestig welke systemen, diensten, leveranciers en data binnen scope vallen.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Score elke controle als RED, AMBER of GREEN.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Wijs een owner toe aan elke RED en AMBER controle.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Plaats elke gap in een risicogewogen register.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Zet het register om in een herstelroadmap en evidence pack.<\/li>\n<\/ol>\n\n\n<p class=\" eplus-wrapper\">Als de checklist veel RED of AMBER items laat zien, is de volgende stap niet om meer beleid te schrijven. De volgende stap is een <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-gap-analyse\/\" target=\"_blank\" rel=\"noreferrer noopener\">gestructureerde assessment <\/a><\/strong>die ernst, eigenaarschap, volgorde en bewijsvereisten bepaalt.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"De_NIS2_compliance_checklist_40_controles\"><\/span>De NIS2 compliance checklist: 40 controles<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Deze sectie vertaalt de 10 cybersecurity\u00adrisicobeheersgebieden uit Artikel 21(2) naar 40 praktische controles. Elke controle bevat minimumbewijs waarmee uw team kan beoordelen of de controle aantoonbaar is.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Art212a_Beleid_voor_risicoanalyse_en_beveiliging_van_informatiesystemen\"><\/span>Art.21(2)(a) Beleid voor risicoanalyse en beveiliging van informatiesystemen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th><\/th><th>Controle om aan te tonen<\/th><th>Minimumbewijs<\/th><th>Status<\/th><\/tr><\/thead><tbody><tr><td>1<\/td><td>Er bestaat een geschreven informatiebeveiligingsbeleid, goedgekeurd door het management en gereviewd in de afgelopen 12 maanden.<\/td><td>Ondertekend informatiebeveiligingsbeleid met reviewdatum en managementgoedkeuring.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>2<\/td><td>Er is een formele methodiek voor risicoanalyse gedefinieerd en gedocumenteerd.<\/td><td>Document met risicoanalyse\u00admethodiek, als standalone document of opgenomen in het securitybeleid.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>3<\/td><td>Er is een risicoanalyse uitgevoerd voor systemen en diensten binnen scope, met gedocumenteerde bevindingen.<\/td><td>Risicoanalyserapport gedateerd binnen de afgelopen 12 maanden.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>4<\/td><td>Er bestaat een risk treatment plan, met geaccepteerde restrisico\u2019s die zijn gedocumenteerd en goedgekeurd door het management.<\/td><td>Risk treatment plan met owner, deadline, status en management sign-off voor acceptatie van restrisico.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Risicobeleidcontroles laten zien of de organisatie risico\u2019s op een beheerste manier heeft gedefinieerd, beoordeeld en geaccepteerd.<\/figcaption><\/figure>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Art212b_Incidentafhandeling\"><\/span>Art.21(2)(b) Incidentafhandeling<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th><\/th><th>Controle om aan te tonen<\/th><th>Minimumbewijs<\/th><th>Status<\/th><\/tr><\/thead><tbody><tr><td>5<\/td><td>Er bestaat een incident response-procedure waarin de 24-uurs early warning en 72-uurs incidentmelding uit Artikel 23 zijn opgenomen.<\/td><td>Incident response-procedure waarin de Artikel 23-termijnen staan vermeld.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>6<\/td><td>Rollen en verantwoordelijkheden voor incident response zijn gedocumenteerd en toegewezen aan benoemde personen of rollen.<\/td><td>RACI-matrix, escalatieboom of incidentrollenmatrix.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>7<\/td><td>De organisatie heeft in de afgelopen 12 maanden ten minste \u00e9\u00e9n incident tabletop exercise, walkthrough of test uitgevoerd.<\/td><td>Oefenrecord met datum, scenario, deelnemers, beslissingen en lessons learned.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>8<\/td><td>Er wordt een incidentlog bijgehouden voor significante incidenten en near-misses.<\/td><td>Incidentregister met datum, categorie, ernst, owner, status en afsluitrecord.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Incidentcontroles moeten bewijzen dat het team een significant incident op tijd kan detecteren, escaleren, registreren en rapporteren.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-23-incident-reporting\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 Artikel 23<\/a><\/strong> cre\u00ebert een korte rapportagetermijn. De organisatie heeft bewijs nodig dat het rapportagepad is getest voordat een significant incident plaatsvindt.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Art212c_Bedrijfscontinuiteit_en_crisismanagement\"><\/span>Art.21(2)(c) Bedrijfscontinu\u00efteit en crisismanagement<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th><\/th><th>Controle om aan te tonen<\/th><th>Minimumbewijs<\/th><th>Status<\/th><\/tr><\/thead><tbody><tr><td>9<\/td><td>Er bestaat een business continuity plan voor kritieke diensten die binnen de scope van NIS2 vallen.<\/td><td>BCP waarin kritieke diensten, herstelprocedures, systeemeigenaren en afhankelijkheden zijn vastgelegd.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>10<\/td><td>Recovery time objectives en recovery point objectives zijn gedocumenteerd voor kritieke diensten.<\/td><td>RTO\/RPO-record binnen het BCP, disaster recovery plan of IT-herstel\u00addocument.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>11<\/td><td>Het BCP is in de afgelopen 12 maanden getest.<\/td><td>BCP-testrecord met datum, testtype, deelnemers, resultaten en opvolgacties.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>12<\/td><td>Er bestaat een crisiscommunicatieplan waarin interne en externe partijen staan die tijdens een significant incident ge\u00efnformeerd moeten worden.<\/td><td>Crisiscommunicatieplan of BCP-sectie met contactlijst, escalatiepad en proces voor berichtgoedkeuring.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Continu\u00efteitsbewijs moet laten zien welke diensten eerst moeten herstellen, hoe snel dat moet gebeuren en wie communiceert tijdens een verstoring.<\/figcaption><\/figure>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Art212d_Supply_chain_security\"><\/span>Art.21(2)(d) Supply chain security<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th><\/th><th>Controle om aan te tonen<\/th><th>Minimumbewijs<\/th><th>Status<\/th><\/tr><\/thead><tbody><tr><td>13<\/td><td>Er bestaat een supply chain security-beleid voor leveranciers met toegang tot systemen, data of kritieke diensten.<\/td><td>Supply chain security-beleid goedgekeurd door het management.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>14<\/td><td>Kritieke leveranciers zijn ge\u00efdentificeerd en in de afgelopen 12 maanden beoordeeld op cybersecurityrisico.<\/td><td>Leveranciersrisicoregister en ingevulde security assessment-records voor kritieke leveranciers.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>15<\/td><td>Contractuele securityvereisten zijn aanwezig voor leveranciers met toegang tot systemen of data binnen scope.<\/td><td>Securityclausules, DPA, security schedule of contractuele controlevereisten voor kritieke leveranciers.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>16<\/td><td>Er bestaat een proces om de security posture van leveranciers doorlopend te monitoren.<\/td><td>Reviewplanning voor leveranciers, reassessment-records of leveranciersrisicoregister met reviewdatums.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Leverancierscontroles moeten laten zien welke derde partijen cyberrisico cre\u00ebren en hoe dat risico wordt beoordeeld, contractueel vastgelegd en gereviewd.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-supply-chain-security\/\" target=\"_blank\" rel=\"noreferrer noopener\">Supplier security<\/a><\/strong> is een van de gebieden die het makkelijkst te weinig wordt gedocumenteerd. Als een kritieke leverancier toegang heeft tot klantdata, productiesystemen of kerninfrastructuur, moet uw bewijs laten zien wanneer de leverancier is gereviewd, wat er is gecontroleerd en welke contractuele controles gelden.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Art212e_Beveiliging_bij_aanschaf_ontwikkeling_en_onderhoud_van_netwerk-_en_informatiesystemen\"><\/span>Art.21(2)(e) Beveiliging bij aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th><\/th><th>Controle om aan te tonen<\/th><th>Minimumbewijs<\/th><th>Status<\/th><\/tr><\/thead><tbody><tr><td>17<\/td><td>Er bestaat een secure development- of system acquisition-procedure voor software-, systeem- en infrastructuurwijzigingen.<\/td><td>Secure development policy, procurement security-procedure of change control-standard.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>18<\/td><td>Securityvereisten zijn gedocumenteerd in grote procurement- en developmentprojecten.<\/td><td>Securityvereisten in procurementdocumenten, projectbacklog, architecture decision record of security user stories.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>19<\/td><td><strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/vulnerability-scanning-services\/\" target=\"_blank\" rel=\"noreferrer noopener\">Vulnerability scanning<\/a><\/strong> wordt regelmatig uitgevoerd op systemen binnen scope, met tracking en herstel van bevindingen.<\/td><td>Recente vulnerability scan-resultaten en remediation tracking-record.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>20<\/td><td><strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/penetration-testing-service\" target=\"_blank\" rel=\"noreferrer noopener\">Penetration testing<\/a><\/strong> of gelijkwaardige security testing is uitgevoerd op kritieke systemen, met gedocumenteerde bevindingen en tracking van herstel.<\/td><td>Pentest-rapport of security assessment-rapport, gedateerd binnen de afgesproken risicocyclus, met retest-bewijs voor kritieke en hoge bevindingen.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Controles voor secure acquisition en development laten zien of security in wijzigingen wordt ingebouwd, niet pas na release wordt toegevoegd.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Alleen een scanrapport is niet genoeg bewijs. De organisatie moet ook laten zien wie bevindingen heeft gereviewd, hoe de ernst is bepaald, welke owner de fix heeft geaccepteerd en of bevindingen met hoog risico opnieuw zijn getest.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Art212f_Beleid_en_procedures_om_de_effectiviteit_van_cybersecurityrisicobeheersmaatregelen_te_beoordelen\"><\/span>Art.21(2)(f) Beleid en procedures om de effectiviteit van cybersecurity\u00adrisicobeheersmaatregelen te beoordelen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th><\/th><th>Controle om aan te tonen<\/th><th>Minimumbewijs<\/th><th>Status<\/th><\/tr><\/thead><tbody><tr><td><\/td><td>Controle om aan te tonen<\/td><td>Minimumbewijs<\/td><td>Status<\/td><\/tr><tr><td>21<\/td><td>Er bestaat een intern audit- of security assessment-programma om te verifi\u00ebren of cybersecurity\u00adcontroles werken.<\/td><td>Interne auditplanning, control assessment-plan of security review-programma.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>22<\/td><td>In de afgelopen 12 maanden is ten minste \u00e9\u00e9n interne security audit of assessment uitgevoerd, met bevindingen die aan het management zijn gepresenteerd.<\/td><td>Recent audit- of assessmentrapport met bewijs van managementreview.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>23<\/td><td>Er bestaat een corrective action-proces om auditbevindingen te volgen en op te lossen.<\/td><td>Corrective action-register met open bevindingen, owners, deadlines, sluitingsdatums en links naar bewijs.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>24<\/td><td>Cybersecurity KPIs of control metrics worden gevolgd en gerapporteerd aan het management.<\/td><td>Security KPI-rapport, managementdashboard of terugkerend rapportagepakket voor bestuur\/leadership.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Effectiviteitscontroles bewijzen dat cybersecuritymaatregelen worden getest, gerapporteerd en verbeterd.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Dit is het punt waarop veel SMEs verschuiven van \u201cwij hebben security controls\u201d naar \u201cwij kunnen de effectiviteit van controles bewijzen\u201d. Dat verschil telt tijdens customer due diligence, verzekeringsreviews, bestuursrapportage en toezicht door regulators.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Art212g_Basispraktijken_voor_cyberhygiene_en_cybersecuritytraining\"><\/span>Art.21(2)(g) Basispraktijken voor cyberhygi\u00ebne en cybersecuritytraining<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th><\/th><th>Controle om aan te tonen<\/th><th>Minimumbewijs<\/th><th>Status<\/th><\/tr><\/thead><tbody><tr><td>25<\/td><td>Medewerkers hebben in de afgelopen 12 maanden cybersecurity awareness training afgerond.<\/td><td>Trainingsrecords met naam van medewerker, datum en behandelde content.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>26<\/td><td>Leden van het bestuursorgaan hebben NIS2-specifieke cybersecuritytraining afgerond.<\/td><td>Trainingsrecords voor bestuur of management, gekoppeld aan Artikel 20(2).<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>27<\/td><td>Er bestaat een acceptable use policy voor systemen, data en devices.<\/td><td>Acceptable use policy goedgekeurd door het management en bevestigd door medewerkers.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>28<\/td><td>Er bestaat een proces voor het beheren van patches en software-updates op kritieke systemen.<\/td><td>Patchbeheerprocedure en recent bewijs van patchactiviteit.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Cyberhygi\u00ebnecontroles laten zien of medewerkers, managers, systemen en devices via herhaalbare procedures worden beheerd.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Managementtraining hoort niet verborgen te zitten in algemene awareness training. NIS2 koppelt <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/\" target=\"_blank\" rel=\"noreferrer noopener\">management accountability<\/a><\/strong> aan toezicht op cybersecurityrisico\u2019s. Daarom moet training voor bestuur of senior leadership een eigen record hebben.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Art212h_Beleid_en_procedures_voor_cryptografie_en_encryptie\"><\/span>Art.21(2)(h) Beleid en procedures voor cryptografie en encryptie<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th><\/th><th>Controle om aan te tonen<\/th><th>Minimumbewijs<\/th><th>Status<\/th><\/tr><\/thead><tbody><tr><td>29<\/td><td>Er bestaat een cryptografiebeleid waarin staat welke data versleuteld moeten zijn at rest en in transit.<\/td><td>Cryptografiebeleid waarin encryptiescope, standaarden en eigenaarschap zijn benoemd.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>30<\/td><td>Persoonsgegevens en gevoelige bedrijfsdata zijn at rest versleuteld op kritieke systemen.<\/td><td>Configuratie van storage-encryptie, cloud control-attestation, systeeminstellingrecord of bevestiging uit security assessment.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>31<\/td><td>Data in transit tussen systemen zijn versleuteld met actuele protocollen.<\/td><td>TLS-configuratierecord, certificaatinventaris of netwerkassessment dat encryptie in transit bevestigt.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>32<\/td><td>Cryptografische sleutels worden beheerd via gedocumenteerde procedures.<\/td><td>Key management-procedure, key rotation-record, HSM\/KMS-gebruiksbewijs of toegangsbeheerrecord voor key administrators.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Cryptografiecontroles moeten laten zien wat versleuteld is, hoe sleutels worden beheerd en wie toegang heeft tot cryptografisch materiaal.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Encryptiebewijs moet technisch zijn. Een beleid zegt wat er moet gebeuren. Configuratierecords, systeemattestations en reviewlogs laten zien of het ook gebeurt.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Art212i_Human_resources_security_toegangsbeheerbeleid_en_asset_management\"><\/span>Art.21(2)(i) Human resources security, toegangsbeheerbeleid en asset management<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th><\/th><th>Controle om aan te tonen<\/th><th>Minimumbewijs<\/th><th>Status<\/th><\/tr><\/thead><tbody><tr><td><\/td><td>Controle om aan te tonen<\/td><td>Minimumbewijs<\/td><td>Status<\/td><\/tr><tr><td>33<\/td><td>Er bestaat een toegangsbeheerbeleid waarin staat hoe toegang wordt toegekend, gereviewd, gewijzigd en ingetrokken.<\/td><td>Toegangsbeheerbeleid goedgekeurd door het management.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>34<\/td><td>Toegangsreviews voor kritieke systemen zijn uitgevoerd in de afgelopen 12 maanden.<\/td><td>Toegangsreviewrecords met systeem, reviewer, datum, bevindingen en toegangsaanpassingen.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>35<\/td><td>Er bestaat een joiners, movers and leavers-procedure om toegang in te trekken of aan te passen wanneer medewerkers vertrekken of van rol veranderen.<\/td><td>JML-procedure en recent bewijs, zoals toegangsintrekkingslogs voor een leaver.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>36<\/td><td>Er bestaat een inventaris van kritieke assets en deze wordt onderhouden.<\/td><td>Asset inventory met systemen, applicaties, datastores, owners, classificatie en reviewdatum.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Toegangs- en assetcontroles bewijzen wie toegang heeft tot kritieke systemen en welke assets binnen scope vallen.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Toegangsreviews zijn sterker wanneer ze tot echte wijzigingen leiden. Bewaar records van verwijderde accounts, aangepaste rollen, uitgeschakelde slapende gebruikers en managementgoedkeuring voor uitzonderingen.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Art212j_Multi-factor_authentication_continuous_authentication_en_veilige_communicatie\"><\/span>Art.21(2)(j) Multi-factor authentication, continuous authentication en veilige communicatie<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th><\/th><th>Controle om aan te tonen<\/th><th>Minimumbewijs<\/th><th>Status<\/th><\/tr><\/thead><tbody><tr><td><\/td><td>Controle om aan te tonen<\/td><td>Minimumbewijs<\/td><td>Status<\/td><\/tr><tr><td>37<\/td><td>MFA is ge\u00efmplementeerd voor remote access tot systemen binnen scope.<\/td><td>MFA-configuratiebewijs voor VPN, remote administration, cloud admin of gelijkwaardige remote access-paden.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>38<\/td><td>MFA is ge\u00efmplementeerd voor administratieve toegang tot kritieke systemen en infrastructuur.<\/td><td>Admin MFA-beleid, configuratie van identity provider, privileged access-record of bevestiging uit security assessment.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>39<\/td><td>MFA of continuous authentication is ge\u00efmplementeerd voor e-mail- en productiviteitssystemen die gevoelige data verwerken.<\/td><td>Bewijs uit Microsoft 365, Google Workspace of identity provider policy.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><tr><td>40<\/td><td>Er bestaat een uitzonderingsproces voor systemen waarop MFA, continuous authentication of veilige communicatiecontroles nog niet zijn ge\u00efmplementeerd.<\/td><td>Uitzonderingsregister met risicoacceptatie, owner, compenserende controle en herstelplanning.<\/td><td>RED \/ AMBER \/ GREEN<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Authenticatiecontroles moeten laten zien waar MFA wordt afgedwongen, waar uitzonderingen nog bestaan en wanneer die uitzonderingen worden gesloten.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Een tijdelijke uitzondering blijft een risicobesluit. Deze moet een owner, vervaldatum, compenserende controle en herstelplan hebben. Open-ended MFA-uitzonderingen moeten als AMBER of RED worden behandeld, afhankelijk van de blootstelling.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een checklist identificeert wat ontbreekt. Een gestructureerde NIS2 readiness assessment bepaalt hoe ernstig elke gap is, welke controles eerst bewijs nodig hebben en wat in de herstelroadmap moet worden opgenomen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes<\/a><\/strong> helpt EU-SMEs om checklistresultaten om te zetten in een praktisch NIS2 readiness-traject: gap report, risicogewogen register, herstelroadmap, board summary en evidence pack-structuur. <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybersecurity-compliance-readiness\/\" target=\"_blank\" rel=\"noreferrer noopener\">Start met een NIS2 compliance readiness assessment<\/a><\/strong>.<\/p>\n\n\n\n<figure class=\" wp-block-image aligncenter size-full is-resized eplus-wrapper\"><img decoding=\"async\" width=\"1000\" height=\"668\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/What-is-an-Answer-Pack-1.webp\" alt=\"What is an \u201cAnswer Pack\u201d \" class=\"wp-image-27424\" style=\"width:1000px\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/What-is-an-Answer-Pack-1.webp 1000w, https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/What-is-an-Answer-Pack-1-300x200.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/What-is-an-Answer-Pack-1-768x513.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_u_met_uw_checklistresultaten_doet\"><\/span>Wat u met uw checklistresultaten doet<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Behandel na het invullen van de checklist niet alle gaps hetzelfde. Een ontbrekende incidentrapportageprocedure is niet hetzelfde als een verouderd trainingsrecord. Een leverancierscontract zonder securityclausules is niet hetzelfde als een ontbrekende certificaatinventaris.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Gebruik de onderstaande tabel om de volgende stap te bepalen.<\/p>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th>Checklistresultaat<\/th><th>Wat het betekent<\/th><th>Volgende stap<\/th><\/tr><\/thead><tbody><tr><td>RED controles<\/td><td>Er bestaan kritieke gaps. De controle ontbreekt, is niet gedocumenteerd of heeft geen owner.<\/td><td>Start een <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-gap-analyse\/\" target=\"_blank\" rel=\"noreferrer noopener\">gestructureerde assessment<\/a><\/strong> om herstel te prioriteren.<\/td><\/tr><tr><td>AMBER controles<\/td><td>De controle bestaat deels, maar het bewijs is incompleet, verouderd of niet gereviewd.<\/td><td>Bepaal welke documentatie ontbreekt en bereid een <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 evidence pack voor<\/a><\/strong>.<\/td><\/tr><tr><td>Vooral GREEN controles<\/td><td>Controles bestaan en bewijs is beschikbaar.<\/td><td><strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\" target=\"_blank\" rel=\"noreferrer noopener\">Organiseer bewijs per Artikel 21<\/a><\/strong>-maatregel en houd reviewdatums actueel.<\/td><\/tr><tr><td>Gemengde RED, AMBER en GREEN resultaten<\/td><td>De meest voorkomende uitkomst voor SMEs. Sommige controles werken, andere hebben eigenaarschap of bewijs nodig.<\/td><td>Plan herstel over 12 weken. Bekijk de NIS2 implementation roadmap.<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Checklistresultaten moeten worden omgezet in een gap register, evidence plan of herstelroadmap.<\/figcaption><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_u_de_NIS2_compliance_checklist_omzet_in_een_gap_register\"><\/span>Hoe u de NIS2 compliance checklist omzet in een gap register<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Een gap register moet meer bevatten dan de naam van de ontbrekende controle. Leg voor elk RED of AMBER item vast:<\/p>\n\n\n\n<p class=\" eplus-wrapper\">\u25cf Controlenummer en Artikel 21(2)-maatregelgebied<br>\u25cf Huidige score<br>\u25cf Ontbrekend bewijs<br>\u25cf Risico-impact<br>\u25cf Owner<br>\u25cf Doeldatum<br>\u25cf Herstelactie<br>\u25cf Status van managementgoedkeuring<br>\u25cf Link naar ondersteunend bewijs<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Zo wordt het gap register bruikbaar voor security, compliance, leadership en delivery teams. Het voorkomt ook dat de checklist een statisch document wordt dat \u00e9\u00e9n keer wordt ingevuld en daarna wordt vergeten.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_u_het_evidence_pack_opbouwt_na_scoring\"><\/span>Hoe u het evidence pack opbouwt na scoring<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Een <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 evidence pack <\/a><\/strong>moet per maatregelgebied worden georganiseerd. Bewaar per controle het meest recente goedgekeurde document, technisch bewijs, reviewdatum, owner en volgende reviewdatum.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Toegangsbeheerbewijs hoort bijvoorbeeld dicht bij asset inventory-bewijs te staan, omdat reviewers vaak moeten controleren of toegangsregels aansluiten op de systemen binnen scope. Leveranciersbewijs hoort dicht bij procurement- en contractrecords te staan, omdat reviewers zowel de assessment als de contractuele controle moeten kunnen zien.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Bewijs moet makkelijk te verifi\u00ebren zijn. Als een reviewer vijf gesprekken nodig heeft om te begrijpen of een controle bestaat, is het evidence pack niet klaar.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_Sunbytes_NIS2_compliance_readiness_ondersteunt\"><\/span>Hoe Sunbytes NIS2 compliance readiness ondersteunt<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes<\/a><\/strong> helpt EU-SMEs om van checklistresultaten naar evidence-ready NIS2-voorbereiding te gaan. Het werk wordt ingericht rond wat uw team moet kunnen aantonen: gaps, owners, herstelvolgorde, managementgoedkeuring en bewijs.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Sunbytes is<strong><a href=\"https:\/\/sunbytes.io\/nl\/sunbytes-is-iso-27001-certified\/\" target=\"_blank\" rel=\"noreferrer noopener\"> ISO 27001<\/a><\/strong> gecertificeerd. Engagements kunnen werken onder een getekende DPA met een gedocumenteerd auditspoor. Voor NIS2 readiness is dat relevant, omdat het werk records moet opleveren die uw managementteam, auditor, klant of regulator kan reviewen.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-28379f\">\n<li class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">CyberSecurity Solutions<\/a><\/strong> helpen risico te verlagen zonder delivery te vertragen. Voor NIS2 readiness ligt de focus praktisch: scope bevestigen, Artikel 21-control gaps in kaart brengen, evidence maturity beoordelen en een risicogewogen herstelplan voorbereiden.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/tech-service\/\" target=\"_blank\" rel=\"noreferrer noopener\">Digital Transformation Solutions<\/a><\/strong>: Sunbytes kan herstel ondersteunen wanneer de gap binnen software delivery, QA\/testing, maintenance, technische documentatie of architectuurbeslissingen zit.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/hr-diensten\/\" target=\"_blank\" rel=\"noreferrer noopener\">Accelerate Workforce Solutions<\/a><\/strong>: Sunbytes ondersteunt teams die recruitment- of workforce support nodig hebben om de capaciteit op te schalen die nodig is voor doorlopend compliancewerk.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">De checklist is de basislijn. De output moet een gap register, herstelplan en evidence pack zijn dat uw team na de assessment kan onderhouden. <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybersecurity-compliance-readiness\/#contact\" target=\"_blank\" rel=\"noreferrer noopener\">Bespreek NIS2 compliance readiness met Sunbytes.<\/a><\/strong><\/p>\n\n\n<div\n    class=\"block-faq row justify-content-lg-center \"\n    id=\"block_50152018d9f0b33eb99b2419244642f4\"\n  >\n    <div class=\"col-lg-10\">\n      <h2 class=\"block-faq__title\"><span class=\"ez-toc-section\" id=\"FAQs\"><\/span>FAQs<span class=\"ez-toc-section-end\"><\/span><\/h2>\n      <div class=\"block-faq__content\" id=\"faq-accordion\">\n                              <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-0\" aria-expanded=\"false\" aria-controls=\"faq-0\">\n                Is NIS2 van toepassing op mkb-bedrijven, of alleen op grote ondernemingen?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-0\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p data-start=\"232\" data-end=\"769\">NIS2 is van toepassing op zowel mkb-bedrijven als grote ondernemingen die actief zijn in sectoren die onder de richtlijn vallen. In het algemeen geldt dat organisaties met <strong data-start=\"404\" data-end=\"430\">50 of meer medewerkers<\/strong> of een <strong data-start=\"438\" data-end=\"476\">jaaromzet van meer dan \u20ac10 miljoen<\/strong> binnen scope vallen.<br data-start=\"497\" data-end=\"500\" \/>Kleinere bedrijven kunnen echter ook onder NIS2 vallen wanneer zij als kritisch worden aangemerkt vanwege hun rol, sector of belang binnen een toeleveringsketen. Ook <strong data-start=\"666\" data-end=\"687\">niet-EU-bedrijven<\/strong> die diensten aanbieden binnen de EU kunnen verplicht zijn om aan NIS2 te voldoen.<\/p>\n<p>&nbsp;<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-1\" aria-expanded=\"false\" aria-controls=\"faq-1\">\n                Wanneer moeten organisaties zich registreren bij de autoriteiten onder NIS2?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-1\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Registratieverplichtingen en bijbehorende tijdslijnen worden vastgelegd in nationale implementatiewetgeving. Indien je organisatie binnen scope valt, is het belangrijk om de richtlijnen van de bevoegde nationale autoriteit te volgen en voorbereid te zijn om je te registreren zodra dit wordt vereist.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-2\" aria-expanded=\"false\" aria-controls=\"faq-2\">\n                Wat zijn de sancties bij niet-naleving van NIS2?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-2\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Boetes kunnen oplopen tot <strong data-start=\"1245\" data-end=\"1295\">\u20ac10 miljoen of 2% van de wereldwijde jaaromzet<\/strong> voor essenti\u00eble entiteiten, en <strong data-start=\"1327\" data-end=\"1349\">\u20ac7 miljoen of 1,4%<\/strong> voor belangrijke entiteiten. In sommige landen omvat de handhaving ook <strong data-start=\"1421\" data-end=\"1455\">bestuurlijke aansprakelijkheid<\/strong> of verplichte audits.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-3\" aria-expanded=\"false\" aria-controls=\"faq-3\">\n                Welk bewijs moeten organisaties leveren om NIS2 compliance readiness aan te tonen?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-3\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p data-start=\"1572\" data-end=\"1735\">Organisaties moeten <strong data-start=\"1592\" data-end=\"1634\">helder, actueel en verdedigbaar bewijs<\/strong> kunnen overleggen dat laat zien hoe cybersecurity wordt bestuurd en uitgevoerd. Dit omvat doorgaans:<\/p>\n<ul data-start=\"1737\" data-end=\"2011\">\n<li data-start=\"1737\" data-end=\"1767\">\n<p data-start=\"1739\" data-end=\"1767\">risico- en assetregisters;<\/p>\n<\/li>\n<li data-start=\"1768\" data-end=\"1836\">\n<p data-start=\"1770\" data-end=\"1836\">securitybeleid dat aantoonbaar is gekoppeld aan concrete acties;<\/p>\n<\/li>\n<li data-start=\"1837\" data-end=\"1867\">\n<p data-start=\"1839\" data-end=\"1867\">incidentresponsprocedures;<\/p>\n<\/li>\n<li data-start=\"1868\" data-end=\"1897\">\n<p data-start=\"1870\" data-end=\"1897\">systeem- en toegangslogs;<\/p>\n<\/li>\n<li data-start=\"1898\" data-end=\"1955\">\n<p data-start=\"1900\" data-end=\"1955\">leveranciersbeoordelingen op het gebied van security;<\/p>\n<\/li>\n<li data-start=\"1956\" data-end=\"2011\">\n<p data-start=\"1958\" data-end=\"2011\">bewijs van bewustwording en training van medewerkers.<\/p>\n<\/li>\n<\/ul>\n<p data-start=\"2013\" data-end=\"2147\">Het bewijs moet de <strong data-start=\"2032\" data-end=\"2066\">lopende praktijk weerspiegelen<\/strong> en op verzoek beschikbaar zijn tijdens audits, incidenten of klantbeoordelingen.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                        <\/div>\n    <\/div>\n  <\/div>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" id=\"spacer\" class=\" wp-block-spacer eplus-wrapper\"><\/div>\n\n\n<section\n    class=\"conversion-form \"\n    id=\"block_299af18e66ae58a99bf8f8fedd10d216\"\n    style=\"background-image: url(https:\/\/sunbytes.io\/app\/uploads\/2018\/05\/background-network-1.png)\"\n  >\n    <div class=\"container\">\n      <div class=\"row justify-content-md-center\">\n        <div class=\"col-md-10 col-lg-8\">\n          <div class=\"conversion-form__inner\">\n            <div class=\"col-12 col-sm-10 offset-sm-1\">\n              <h2 class=\"conversion-form__title\"><span class=\"ez-toc-section\" id=\"Sunbytes_NIS2_Readiness_Checklist\"><\/span>Sunbytes&#8217; NIS2 Readiness Checklist<span class=\"ez-toc-section-end\"><\/span><\/h2>\n                              <p>Download de checklist om je huidige situatie te beoordelen en prioritaire hiaten inzichtelijk te maken.<\/p>\n                                            <script type=\"text\/javascript\">var gform;gform||(document.addEventListener(\"gform_main_scripts_loaded\",function(){gform.scriptsLoaded=!0}),window.addEventListener(\"DOMContentLoaded\",function(){gform.domLoaded=!0}),gform={domLoaded:!1,scriptsLoaded:!1,initializeOnLoaded:function(o){gform.domLoaded&&gform.scriptsLoaded?o():!gform.domLoaded&&gform.scriptsLoaded?window.addEventListener(\"DOMContentLoaded\",o):document.addEventListener(\"gform_main_scripts_loaded\",o)},hooks:{action:{},filter:{}},addAction:function(o,n,r,t){gform.addHook(\"action\",o,n,r,t)},addFilter:function(o,n,r,t){gform.addHook(\"filter\",o,n,r,t)},doAction:function(o){gform.doHook(\"action\",o,arguments)},applyFilters:function(o){return gform.doHook(\"filter\",o,arguments)},removeAction:function(o,n){gform.removeHook(\"action\",o,n)},removeFilter:function(o,n,r){gform.removeHook(\"filter\",o,n,r)},addHook:function(o,n,r,t,i){null==gform.hooks[o][n]&&(gform.hooks[o][n]=[]);var e=gform.hooks[o][n];null==i&&(i=n+\"_\"+e.length),gform.hooks[o][n].push({tag:i,callable:r,priority:t=null==t?10:t})},doHook:function(n,o,r){var t;if(r=Array.prototype.slice.call(r,1),null!=gform.hooks[n][o]&&((o=gform.hooks[n][o]).sort(function(o,n){return o.priority-n.priority}),o.forEach(function(o){\"function\"!=typeof(t=o.callable)&&(t=window[t]),\"action\"==n?t.apply(null,r):r[0]=t.apply(null,r)})),\"filter\"==n)return r[0]},removeHook:function(o,n,t,i){var r;null!=gform.hooks[o][n]&&(r=(r=gform.hooks[o][n]).filter(function(o,n,r){return!!(null!=i&&i!=o.tag||null!=t&&t!=o.priority)}),gform.hooks[o][n]=r)}});<\/script>\n                <div class='gf_browser_gecko gform_wrapper gravity-theme gform-theme--no-framework' data-form-theme='gravity-theme' data-form-index='0' id='gform_wrapper_17' style='display:none'><div id='gf_17' class='gform_anchor' tabindex='-1'><\/div><form method='post' enctype='multipart\/form-data' target='gform_ajax_frame_17' id='gform_17'  action='\/nl\/wp-json\/wp\/v2\/posts\/27418#gf_17' data-formid='17' novalidate> \r\n <input type='hidden' class='gforms-pum' value='{\"closepopup\":false,\"closedelay\":0,\"openpopup\":false,\"openpopup_id\":0}' \/>\n                        <div class='gform-body gform_body'><div id='gform_fields_17' class='gform_fields top_label form_sublabel_below description_below'><div id=\"field_17_16\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-full hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_17_16\" ><label class='gfield_label gform-field-label' for='input_17_16'>Full name<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_16' id='input_17_16' type='text' value='' class='large'    placeholder='Full name' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_17_2\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-full hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_17_2\" ><label class='gfield_label gform-field-label' for='input_17_2'>Organization<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_2' id='input_17_2' type='text' value='' class='large'    placeholder='Company' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_17_3\" class=\"gfield gfield--type-email gfield--input-type-email gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_17_3\" ><label class='gfield_label gform-field-label' for='input_17_3'>Email<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_email'>\n                            <input name='input_3' id='input_17_3' type='email' value='' class='large'   placeholder='Email Address' aria-required=\"true\" aria-invalid=\"false\"  \/>\n                        <\/div><\/div><div id=\"field_17_13\" class=\"gfield gfield--type-phone gfield--input-type-phone gfield--width-half field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_17_13\" ><label class='gfield_label gform-field-label' for='input_17_13'>Phone<\/label><div class='ginput_container ginput_container_phone'><input name='input_13' id='input_17_13' type='tel' value='' class='large'  placeholder='Phone Number'  aria-invalid=\"false\"   \/><\/div><\/div><div id=\"field_17_19\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_17_19\" ><label class='gfield_label gform-field-label' for='input_17_19'>Are you interested in learning more about Sunbytes\u2019 services?<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_19' id='input_17_19' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='Yes' selected='selected'>Yes<\/option><option value='No, I don&#039;t' >No, I don&#039;t<\/option><\/select><\/div><\/div><div id=\"field_17_11\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_17_11\" ><label class='gfield_label gform-field-label screen-reader-text' for='input_17_11'>Please let us know your requirements<\/label><div class='ginput_container ginput_container_select'><select name='input_11' id='input_17_11' class='large gfield_select'     aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Please let us know your requirements<\/option><option value='Dedicated resources services' >Dedicated resources services<\/option><option value='Recruitment services' >Recruitment services<\/option><option value='HR services' >HR services<\/option><option value='Software development projects' >Software development projects<\/option><option value='Others' >Others<\/option><\/select><\/div><\/div><div id=\"field_17_17\" class=\"gfield gfield--type-html gfield--input-type-html gfield--width-full gfield_html gfield_html_formatted gfield_no_follows_desc field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_17_17\" >We are deeply committed to protecting your personal data. <a href=\"\/privacy-policy\/\" target=\"_blank\">Privacy Policy<\/a><\/div><fieldset id=\"field_17_7\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree mb-0 gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_17_7\" ><legend class='gfield_label gform-field-label screen-reader-text gfield_label_before_complex' ><span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_17_7'><div class='gchoice gchoice_17_7_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_7.1' type='checkbox'  value='I allow Sunbytes to contact me via email and phone'  id='choice_17_7_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_17_7_1' id='label_17_7_1' class='gform-field-label gform-field-label--type-inline'>I allow Sunbytes to contact me via email and phone<\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><fieldset id=\"field_17_14\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_17_14\" ><legend class='gfield_label gform-field-label gfield_label_before_complex' >Untitled<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_17_14'><div class='gchoice gchoice_17_14_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_14.1' type='checkbox'  value='I agree to the &lt;a href=&quot;https:\/\/sunbytes.io\/general-terms-and-conditions\/&quot;&gt;general terms &amp; conditions&lt;\/a&gt;'  id='choice_17_14_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_17_14_1' id='label_17_14_1' class='gform-field-label gform-field-label--type-inline'>I agree to the <a href=\"https:\/\/sunbytes.io\/general-terms-and-conditions\/\">general terms &amp; conditions<\/a><\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><div id=\"field_17_18\" class=\"gfield gfield--type-captcha gfield--input-type-captcha gfield--width-full d-none field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_17_18\" ><label class='gfield_label gform-field-label' for='input_17_18'>CAPTCHA<\/label><div id='input_17_18' class='ginput_container ginput_recaptcha' data-sitekey='6LeTwBcdAAAAAKDurfTYCHGQQNGUBiDURxfjNI3V'  data-theme='light' data-tabindex='-1' data-size='invisible' data-badge='bottomright'><\/div><\/div><div id=\"field_17_20\" class=\"gfield gfield--type-honeypot gform_validation_container field_sublabel_below gfield--has-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_17_20\" ><label class='gfield_label gform-field-label' for='input_17_20'>Email<\/label><div class='ginput_container'><input name='input_20' id='input_17_20' type='text' value='' autocomplete='new-password'\/><\/div><div class='gfield_description' id='gfield_description_17_20'>Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.<\/div><\/div><\/div><\/div>\n        <div class='gform_footer top_label'> <input type='submit' id='gform_submit_button_17' class='gform_button button' value='Download'  onclick='if(window[\"gf_submitting_17\"]){return false;}  if( !jQuery(\"#gform_17\")[0].checkValidity || jQuery(\"#gform_17\")[0].checkValidity()){window[\"gf_submitting_17\"]=true;}  ' onkeypress='if( event.keyCode == 13 ){ if(window[\"gf_submitting_17\"]){return false;} if( !jQuery(\"#gform_17\")[0].checkValidity || jQuery(\"#gform_17\")[0].checkValidity()){window[\"gf_submitting_17\"]=true;}  jQuery(\"#gform_17\").trigger(\"submit\",[true]); }' \/> <input type='hidden' name='gform_ajax' value='form_id=17&amp;title=&amp;description=&amp;tabindex=0&amp;theme=gravity-theme' \/>\n            <input type='hidden' class='gform_hidden' name='is_submit_17' value='1' \/>\n            <input type='hidden' class='gform_hidden' name='gform_submit' value='17' \/>\n            \n            <input type='hidden' class='gform_hidden' name='gform_unique_id' value='' \/>\n            <input type='hidden' class='gform_hidden' name='state_17' value='WyJ7XCIxOVwiOltcIjhhZGVlYzM0MjFlNTk4ZTcwYzk4ZTIwNjkyOGZlZjdhXCIsXCIyMjRiNzkwNDJlNGQyMTM0ZTViNzA5MGY3NzRlMDM5NFwiXX0iLCI3NTg2MGZhZWVkN2IwMzEyZGVlNGVlODc0NjExNDhmNyJd' \/>\n            <input type='hidden' class='gform_hidden' name='gform_target_page_number_17' id='gform_target_page_number_17' value='0' \/>\n            <input type='hidden' class='gform_hidden' name='gform_source_page_number_17' id='gform_source_page_number_17' value='1' \/>\n            <input type='hidden' name='gform_field_values' value='' \/>\n            \n        <\/div>\n                        <p style=\"display: none !important;\" class=\"akismet-fields-container\" data-prefix=\"ak_\"><label>&#916;<textarea name=\"ak_hp_textarea\" cols=\"45\" rows=\"8\" maxlength=\"100\"><\/textarea><\/label><input type=\"hidden\" id=\"ak_js_1\" name=\"ak_js\" value=\"233\"\/><script>document.getElementById( \"ak_js_1\" ).setAttribute( \"value\", ( new Date() ).getTime() );<\/script><\/p><\/form>\n                        <\/div>\n\t\t                <iframe style='display:none;width:0px;height:0px;' src='about:blank' name='gform_ajax_frame_17' id='gform_ajax_frame_17' title='Dit iframe bevat de vereiste logica om Ajax aangedreven Gravity Forms te verwerken.'><\/iframe>\n\t\t                <script type=\"text\/javascript\">\n\/* <![CDATA[ *\/\n gform.initializeOnLoaded( function() {gformInitSpinner( 17, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery('#gform_ajax_frame_17').on('load',function(){var contents = jQuery(this).contents().find('*').html();var is_postback = contents.indexOf('GF_AJAX_POSTBACK') >= 0;if(!is_postback){return;}var form_content = jQuery(this).contents().find('#gform_wrapper_17');var is_confirmation = jQuery(this).contents().find('#gform_confirmation_wrapper_17').length > 0;var is_redirect = contents.indexOf('gformRedirect(){') >= 0;var is_form = form_content.length > 0 && ! is_redirect && ! is_confirmation;var mt = parseInt(jQuery('html').css('margin-top'), 10) + parseInt(jQuery('body').css('margin-top'), 10) + 100;if(is_form){jQuery('#gform_wrapper_17').html(form_content.html());if(form_content.hasClass('gform_validation_error')){jQuery('#gform_wrapper_17').addClass('gform_validation_error');} else {jQuery('#gform_wrapper_17').removeClass('gform_validation_error');}setTimeout( function() { \/* delay the scroll by 50 milliseconds to fix a bug in chrome *\/ jQuery(document).scrollTop(jQuery('#gform_wrapper_17').offset().top - mt); }, 50 );if(window['gformInitDatepicker']) {gformInitDatepicker();}if(window['gformInitPriceFields']) {gformInitPriceFields();}var current_page = jQuery('#gform_source_page_number_17').val();gformInitSpinner( 17, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery(document).trigger('gform_page_loaded', [17, current_page]);window['gf_submitting_17'] = false;}else if(!is_redirect){var confirmation_content = jQuery(this).contents().find('.GF_AJAX_POSTBACK').html();if(!confirmation_content){confirmation_content = contents;}setTimeout(function(){jQuery('#gform_wrapper_17').replaceWith(confirmation_content);jQuery(document).scrollTop(jQuery('#gf_17').offset().top - mt);jQuery(document).trigger('gform_confirmation_loaded', [17]);window['gf_submitting_17'] = false;wp.a11y.speak(jQuery('#gform_confirmation_message_17').text());}, 50);}else{jQuery('#gform_17').append(contents);if(window['gformRedirect']) {gformRedirect();}}jQuery(document).trigger(\"gform_pre_post_render\", [{ formId: \"17\", currentPage: \"current_page\", abort: function() { this.preventDefault(); } }]);                if (event.defaultPrevented) {                return;         }        const gformWrapperDiv = document.getElementById( \"gform_wrapper_17\" );        if ( gformWrapperDiv ) {            const visibilitySpan = document.createElement( \"span\" );            visibilitySpan.id = \"gform_visibility_test_17\";            gformWrapperDiv.insertAdjacentElement( \"afterend\", visibilitySpan );        }        const visibilityTestDiv = document.getElementById( \"gform_visibility_test_17\" );        let postRenderFired = false;                function triggerPostRender() {            if ( postRenderFired ) {                return;            }            postRenderFired = true;            jQuery( document ).trigger( 'gform_post_render', [17, current_page] );            gform.utils.trigger( { event: 'gform\/postRender', native: false, data: { formId: 17, currentPage: current_page } } );            if ( visibilityTestDiv ) {                visibilityTestDiv.parentNode.removeChild( visibilityTestDiv );            }        }        function debounce( func, wait, immediate ) {            var timeout;            return function() {                var context = this, args = arguments;                var later = function() {                    timeout = null;                    if ( !immediate ) func.apply( context, args );                };                var callNow = immediate && !timeout;                clearTimeout( timeout );                timeout = setTimeout( later, wait );                if ( callNow ) func.apply( context, args );            };        }        const debouncedTriggerPostRender = debounce( function() {            triggerPostRender();        }, 200 );        if ( visibilityTestDiv && visibilityTestDiv.offsetParent === null ) {            const observer = new MutationObserver( ( mutations ) => {                mutations.forEach( ( mutation ) => {                    if ( mutation.type === 'attributes' && visibilityTestDiv.offsetParent !== null ) {                        debouncedTriggerPostRender();                        observer.disconnect();                    }                });            });            observer.observe( document.body, {                attributes: true,                childList: false,                subtree: true,                attributeFilter: [ 'style', 'class' ],            });        } else {            triggerPostRender();        }    } );} ); \n\/* ]]> *\/\n<\/script>\n\n                          <\/div>\n          <\/div>\n        <\/div>\n      <\/div>\n    <\/div>\n  <\/section>\n","protected":false},"excerpt":{"rendered":"<p>Een NIS2 compliance checklist is alleen nuttig als deze laat zien wat uw bedrijf met bewijs kan aantonen. Alleen een beleidsnaam is niet genoeg. Alleen een scanrapport is niet genoeg. Voor EU-SMEs die zich voorbereiden op NIS2 is de praktische vraag: kan uw team bewijzen dat de vereiste cybersecurity\u00adcontroles bestaan, werken en worden beoordeeld? NIS2 &hellip; <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/\">Read more<\/a><\/p>\n","protected":false},"author":15,"featured_media":27428,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"editor_plus_copied_stylings":"{}","footnotes":""},"categories":[4,18,110],"tags":[],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.9 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>NIS2 compliance checklist: 40 controles die EU-bedrijven | Sunbytes<\/title>\n<meta name=\"description\" content=\"Gebruik deze NIS2 compliance checklist om 40 Artikel 21-controles te beoordelen, bewijs\u00adgaten in kaart te brengen en te bepalen wat u v\u00f3\u00f3r een audit of klantreview moet herstellen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/\" \/>\n<meta property=\"og:locale\" content=\"nl_NL\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"NIS2 compliance checklist: 40 controles die EU-bedrijven | Sunbytes\" \/>\n<meta property=\"og:description\" content=\"Gebruik deze NIS2 compliance checklist om 40 Artikel 21-controles te beoordelen, bewijs\u00adgaten in kaart te brengen en te bepalen wat u v\u00f3\u00f3r een audit of klantreview moet herstellen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/\" \/>\n<meta property=\"og:site_name\" content=\"Tech and Talent Solutions - Sunbytes\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/sunbytes\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-01-19T07:55:33+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-05-30T14:53:31+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Compliance-Readiness-for-EU-SMEs.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"628\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Uyen Pham\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:site\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:label1\" content=\"Geschreven door\" \/>\n\t<meta name=\"twitter:data1\" content=\"Uyen Pham\" \/>\n\t<meta name=\"twitter:label2\" content=\"Geschatte leestijd\" \/>\n\t<meta name=\"twitter:data2\" content=\"15 minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Organization\",\"name\":\"Sunbytes\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"contentUrl\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"width\":512,\"height\":512,\"caption\":\"Sunbytes\"},\"image\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/sunbytes\/\",\"https:\/\/twitter.com\/sunbytes\",\"https:\/\/www.linkedin.com\/company\/sunbytes\/\",\"https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/\"],\"knowsAbout\":[\"HR Solutions\",\"Payroll service\",\"EOR service\",\"Tech services\",\"Security services\"]},{\"@type\":\"Article\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/\"},\"author\":{\"name\":\"Uyen Pham\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\"},\"headline\":\"NIS2 compliance checklist: 40 controles die EU-bedrijven moeten kunnen aantonen\",\"datePublished\":\"2026-01-19T07:55:33+00:00\",\"dateModified\":\"2026-05-30T14:53:31+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/\"},\"wordCount\":3053,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"articleSection\":[\"Blog\",\"Blog\",\"Cyberbeveiliging\"],\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/\",\"url\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/\",\"name\":\"NIS2 compliance checklist: 40 controles die EU-bedrijven | Sunbytes\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\"},\"datePublished\":\"2026-01-19T07:55:33+00:00\",\"dateModified\":\"2026-05-30T14:53:31+00:00\",\"description\":\"Gebruik deze NIS2 compliance checklist om 40 Artikel 21-controles te beoordelen, bewijs\u00adgaten in kaart te brengen en te bepalen wat u v\u00f3\u00f3r een audit of klantreview moet herstellen.\",\"breadcrumb\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#breadcrumb\"},\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/sunbytes.io\/nl\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Blog\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Cyberbeveiliging\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"NIS2 compliance checklist: 40 controles die EU-bedrijven moeten kunnen aantonen\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"name\":\"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate\",\"description\":\"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt\",\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/sunbytes.io\/nl\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"nl\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\",\"name\":\"Uyen Pham\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"caption\":\"Uyen Pham\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"NIS2 compliance checklist: 40 controles die EU-bedrijven | Sunbytes","description":"Gebruik deze NIS2 compliance checklist om 40 Artikel 21-controles te beoordelen, bewijs\u00adgaten in kaart te brengen en te bepalen wat u v\u00f3\u00f3r een audit of klantreview moet herstellen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/","og_locale":"nl_NL","og_type":"article","og_title":"NIS2 compliance checklist: 40 controles die EU-bedrijven | Sunbytes","og_description":"Gebruik deze NIS2 compliance checklist om 40 Artikel 21-controles te beoordelen, bewijs\u00adgaten in kaart te brengen en te bepalen wat u v\u00f3\u00f3r een audit of klantreview moet herstellen.","og_url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/","og_site_name":"Tech and Talent Solutions - Sunbytes","article_publisher":"https:\/\/www.facebook.com\/sunbytes\/","article_published_time":"2026-01-19T07:55:33+00:00","article_modified_time":"2026-05-30T14:53:31+00:00","og_image":[{"width":1200,"height":628,"url":"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Compliance-Readiness-for-EU-SMEs.webp","type":"image\/webp"}],"author":"Uyen Pham","twitter_card":"summary_large_image","twitter_creator":"@sunbytes","twitter_site":"@sunbytes","twitter_misc":{"Geschreven door":"Uyen Pham","Geschatte leestijd":"15 minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Organization","name":"Sunbytes","url":"https:\/\/sunbytes.io\/nl\/","logo":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/","url":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","contentUrl":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","width":512,"height":512,"caption":"Sunbytes"},"image":{"@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/sunbytes\/","https:\/\/twitter.com\/sunbytes","https:\/\/www.linkedin.com\/company\/sunbytes\/","https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/"],"knowsAbout":["HR Solutions","Payroll service","EOR service","Tech services","Security services"]},{"@type":"Article","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#article","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/"},"author":{"name":"Uyen Pham","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2"},"headline":"NIS2 compliance checklist: 40 controles die EU-bedrijven moeten kunnen aantonen","datePublished":"2026-01-19T07:55:33+00:00","dateModified":"2026-05-30T14:53:31+00:00","mainEntityOfPage":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/"},"wordCount":3053,"commentCount":0,"publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"articleSection":["Blog","Blog","Cyberbeveiliging"],"inLanguage":"nl","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/","url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/","name":"NIS2 compliance checklist: 40 controles die EU-bedrijven | Sunbytes","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/#website"},"datePublished":"2026-01-19T07:55:33+00:00","dateModified":"2026-05-30T14:53:31+00:00","description":"Gebruik deze NIS2 compliance checklist om 40 Artikel 21-controles te beoordelen, bewijs\u00adgaten in kaart te brengen en te bepalen wat u v\u00f3\u00f3r een audit of klantreview moet herstellen.","breadcrumb":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#breadcrumb"},"inLanguage":"nl","potentialAction":[{"@type":"ReadAction","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/sunbytes.io\/nl\/"},{"@type":"ListItem","position":2,"name":"Blog","item":"https:\/\/sunbytes.io\/nl\/blog\/"},{"@type":"ListItem","position":3,"name":"Cyberbeveiliging","item":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/"},{"@type":"ListItem","position":4,"name":"NIS2 compliance checklist: 40 controles die EU-bedrijven moeten kunnen aantonen"}]},{"@type":"WebSite","@id":"https:\/\/sunbytes.io\/nl\/#website","url":"https:\/\/sunbytes.io\/nl\/","name":"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate","description":"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt","publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/sunbytes.io\/nl\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"nl"},{"@type":"Person","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2","name":"Uyen Pham","image":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","caption":"Uyen Pham"}}]}},"_links":{"self":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/27418"}],"collection":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/comments?post=27418"}],"version-history":[{"count":0,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/27418\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media\/27428"}],"wp:attachment":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media?parent=27418"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/categories?post=27418"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/tags?post=27418"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}