{"id":27508,"date":"2026-01-20T07:11:48","date_gmt":"2026-01-20T06:11:48","guid":{"rendered":"https:\/\/sunbytes.io\/?p=27508"},"modified":"2026-01-20T07:11:50","modified_gmt":"2026-01-20T06:11:50","slug":"nis2-article-21-requirements-explained","status":"publish","type":"post","link":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/","title":{"rendered":"NIS2 Article 21 Requirements uitgelegd: De 10 risicobeheersmaatregelen (en het bewijs dat je moet kunnen tonen)"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_62 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title \" >In this post<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #0d023e;color:#0d023e\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #0d023e;color:#0d023e\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#TLDR\" title=\"TL;DR\">TL;DR<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Wat_vereist_NIS2_Article_21\" title=\"Wat vereist NIS2 Article 21?\">Wat vereist NIS2 Article 21?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#De_3_principes_achter_NIS2_Article_21_zodat_je_niet_overbouwt\" title=\"De 3 principes achter NIS2 Article 21 (zodat je niet overbouwt)\">De 3 principes achter NIS2 Article 21 (zodat je niet overbouwt)<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Risicogebaseerd_niet_checklist-gedreven\" title=\"Risicogebaseerd, niet checklist-gedreven\">Risicogebaseerd, niet checklist-gedreven<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Cybersecurity_strekt_zich_uit_tot_de_supply_chain\" title=\"Cybersecurity strekt zich uit tot de supply chain\">Cybersecurity strekt zich uit tot de supply chain<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Bewijs_is_belangrijker_dan_intentie\" title=\"Bewijs is belangrijker dan intentie\">Bewijs is belangrijker dan intentie<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Wat_zijn_de_10_verplichte_cybersecurity-maatregelen_binnen_NIS2_Article_21\" title=\"Wat zijn de 10 verplichte cybersecurity-maatregelen binnen NIS2 Article 21?\">Wat zijn de 10 verplichte cybersecurity-maatregelen binnen NIS2 Article 21?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Per_maatregel_wat_het_betekent_en_welk_bewijs_je_moet_voorbereiden\" title=\"Per maatregel: wat het betekent en welk bewijs je moet voorbereiden\">Per maatregel: wat het betekent en welk bewijs je moet voorbereiden<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Risicoanalyse_beveiligingsbeleid\" title=\"Risicoanalyse &amp; beveiligingsbeleid\">Risicoanalyse &amp; beveiligingsbeleid<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Incidentafhandeling\" title=\"Incidentafhandeling\">Incidentafhandeling<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Bedrijfscontinuiteit_crisismanagement\" title=\"Bedrijfscontinu\u00efteit &amp; crisismanagement\">Bedrijfscontinu\u00efteit &amp; crisismanagement<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Supply_chain-beveiliging\" title=\"Supply chain-beveiliging\">Supply chain-beveiliging<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Veilige_systeeminkoop_-ontwikkeling_en_-onderhoud\" title=\"Veilige systeeminkoop, -ontwikkeling en -onderhoud\">Veilige systeeminkoop, -ontwikkeling en -onderhoud<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Effectiviteitstesten_van_cybersecuritymaatregelen\" title=\"Effectiviteitstesten van cybersecuritymaatregelen\">Effectiviteitstesten van cybersecuritymaatregelen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Cyberhygiene_en_medewerkerstraining\" title=\"Cyberhygi\u00ebne en medewerkers\u00adtraining\">Cyberhygi\u00ebne en medewerkers\u00adtraining<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Cryptografie_en_encryptie\" title=\"Cryptografie en encryptie\">Cryptografie en encryptie<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Toegangsbeheer_assetmanagement_en_HR-beveiliging\" title=\"Toegangsbeheer, assetmanagement en HR-beveiliging\">Toegangsbeheer, assetmanagement en HR-beveiliging<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Multi-factor_authenticatie_en_veilige_communicatie\" title=\"Multi-factor authenticatie en veilige communicatie\">Multi-factor authenticatie en veilige communicatie<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#%E2%80%9CMinimum_Viable_Evidence_Pack%E2%80%9D_voor_mkb-organisaties_onder_NIS2_Article_21\" title=\"\u201cMinimum Viable Evidence Pack\u201d voor mkb-organisaties onder NIS2 Article 21\">\u201cMinimum Viable Evidence Pack\u201d voor mkb-organisaties onder NIS2 Article 21<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-20\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Governance_risico\" title=\"Governance &amp; risico\">Governance &amp; risico<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-21\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Cybersecurity_Risk_Assessment_Report\" title=\"Cybersecurity Risk Assessment Report\">Cybersecurity Risk Assessment Report<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-22\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Informatiebeveiligingsbeleid_door_management_goedgekeurd\" title=\"Informatiebeveiligingsbeleid (door management goedgekeurd)\">Informatiebeveiligingsbeleid (door management goedgekeurd)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-23\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Risicobehandelings-_of_remediatieplan\" title=\"Risicobehandelings- of remediatieplan\">Risicobehandelings- of remediatieplan<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-24\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Asset-inventaris_systemen_en_data\" title=\"Asset-inventaris (systemen en data)\">Asset-inventaris (systemen en data)<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-25\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Incident-_en_continuiteitsgereedheid\" title=\"Incident- en continu\u00efteitsgereedheid\">Incident- en continu\u00efteitsgereedheid<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-26\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Incident_Response_Plan_afgestemd_op_NIS2-meldplicht\" title=\"Incident Response Plan (afgestemd op NIS2-meldplicht)\">Incident Response Plan (afgestemd op NIS2-meldplicht)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-27\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Incidentlog_of_Incident_Report-template\" title=\"Incidentlog of Incident Report-template\">Incidentlog of Incident Report-template<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-28\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Bedrijfscontinuiteits-_en_back-upbewijs\" title=\"Bedrijfscontinu\u00efteits- en back-upbewijs\">Bedrijfscontinu\u00efteits- en back-upbewijs<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-29\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Technische_en_operationele_beheersmaatregelen\" title=\"Technische en operationele beheersmaatregelen\">Technische en operationele beheersmaatregelen<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-30\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Bewijs_van_toegangsbeheer_en_MFA\" title=\"Bewijs van toegangsbeheer en MFA\">Bewijs van toegangsbeheer en MFA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-31\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Patch-_en_vulnerabilitymanagement-registraties\" title=\"Patch- en vulnerabilitymanagement-registraties\">Patch- en vulnerabilitymanagement-registraties<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-32\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Bewijs_van_secure_configuratie_of_hardening\" title=\"Bewijs van secure configuratie of hardening\">Bewijs van secure configuratie of hardening<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-33\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Bewijs_van_encryptie_of_databescherming\" title=\"Bewijs van encryptie of databescherming\">Bewijs van encryptie of databescherming<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-34\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Samenvatting_van_penetratietest_of_security_assessment\" title=\"Samenvatting van penetratietest of security assessment\">Samenvatting van penetratietest of security assessment<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-35\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Mensen_awareness\" title=\"Mensen &amp; awareness\">Mensen &amp; awareness<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-36\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Trainingsmateriaal_voor_cybersecurity-awareness\" title=\"Trainingsmateriaal voor cybersecurity-awareness\">Trainingsmateriaal voor cybersecurity-awareness<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-37\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Registraties_van_trainingsdeelname\" title=\"Registraties van trainingsdeelname\">Registraties van trainingsdeelname<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-38\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Joiner_Mover_Leaver-toegangschecklist\" title=\"Joiner \/ Mover \/ Leaver-toegangschecklist\">Joiner \/ Mover \/ Leaver-toegangschecklist<\/a><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-39\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Drie_veelvoorkomende_hiaten_in_NIS2_Article_21_Readiness\" title=\"Drie veelvoorkomende hiaten in NIS2 Article 21 Readiness\">Drie veelvoorkomende hiaten in NIS2 Article 21 Readiness<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-40\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Beheersmaatregelen_bestaan_maar_zijn_niet_gedocumenteerd\" title=\"Beheersmaatregelen bestaan, maar zijn niet gedocumenteerd\">Beheersmaatregelen bestaan, maar zijn niet gedocumenteerd<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-41\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Leveranciersrisicos_worden_niet_beoordeeld\" title=\"Leveranciersrisico\u2019s worden niet beoordeeld\">Leveranciersrisico\u2019s worden niet beoordeeld<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-42\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Geen_bewijs_van_effectiviteitstesten\" title=\"Geen bewijs van effectiviteitstesten\">Geen bewijs van effectiviteitstesten<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-43\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Hoe_je_je_voorbereidt_op_NIS2_Article_21_zonder_over-engineering\" title=\"Hoe je je voorbereidt op NIS2 Article 21 zonder over-engineering\">Hoe je je voorbereidt op NIS2 Article 21 zonder over-engineering<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-44\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Een_praktische_mapping_maatregel_%E2%86%92_bewijs_%E2%86%92_eigenaar_%E2%86%92_inspanning\" title=\"Een praktische mapping: maatregel \u2192 bewijs \u2192 eigenaar \u2192 inspanning\">Een praktische mapping: maatregel \u2192 bewijs \u2192 eigenaar \u2192 inspanning<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-45\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Begrip_van_de_inspanningsschaal_realiteitscheck_voor_mkb\" title=\"Begrip van de inspanningsschaal (realiteitscheck voor mkb)\">Begrip van de inspanningsschaal (realiteitscheck voor mkb)<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-46\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Hoe_Sunbytes_NIS2_Article_21_Compliance_Readiness_ondersteunt\" title=\"Hoe Sunbytes NIS2 Article 21 Compliance Readiness ondersteunt\">Hoe Sunbytes NIS2 Article 21 Compliance Readiness ondersteunt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-47\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#FAQs\" title=\"FAQs\">FAQs<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-48\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Laten_we_beginnen_met_Sunbytes\" title=\"Laten we beginnen met Sunbytes\">Laten we beginnen met Sunbytes<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\" eplus-wrapper\">Onder de NIS2-richtlijn is <strong>NIS2 Article 21<\/strong> het punt waarop <em>\u201cwe nemen cybersecurity serieus\u201d<\/em> verandert in <em>\u201cbewijs het maar\u201d<\/em>. NIS2 Article 21 beschrijft de <strong>minimale cybersecurity-risicobeheersmaatregelen<\/strong> die organisaties die onder NIS2 vallen moeten <strong>implementeren \u00e9n aantoonbaar in de praktijk moeten laten werken<\/strong>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">EU-lidstaten kunnen verschillen in hoe zij NIS2 vertalen naar nationale wetgeving, maar de <strong>bedoeling van NIS2 Article 21 is overal gelijk<\/strong>: <strong>risicogebaseerde, proportionele maatregelen \u2014 ondersteund door operationeel bewijs<\/strong>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Deze gids vertaalt NIS2 Article 21 naar <strong>praktische acties<\/strong>, <strong>concrete voorbeelden van bewijs<\/strong> en een <strong>Minimum Viable Evidence Pack<\/strong> dat mkb-organisaties kunnen opbouwen <strong>zonder onnodige complexiteit of bureaucratie<\/strong>.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"TLDR\"><\/span>TL;DR<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Article 21 vereist dat organisaties die onder de richtlijn vallen: passende en proportionele cybersecurity-risicobeheersmaatregelen implementeren; en kunnen aantonen dat deze maatregelen daadwerkelijk functioneren in de praktijk.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-57fa0d\"><\/ul>\n\n\n<p class=\" eplus-wrapper\">NIS2 Article 21 omvat <strong>10 verplichte domeinen<\/strong>, waaronder risicoanalyse, incidentafhandeling, bedrijfscontinu\u00efteit, supply-chain security, secure development, testing, training, cryptografie, toegangsbeheer en MFA\/secure communicatie. <strong>Readiness = eigenaarschap + bewijsset + continue verbetering<\/strong><\/p>\n\n\n\n<p class=\" eplus-wrapper\">Wil je hierbij gestructureerde ondersteuning, dan helpt <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/sunbytes-compliance-readiness\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes Compliance Readiness<\/a><\/strong> je bij het opbouwen van een <strong>evidence pack<\/strong> en een <strong>geprioriteerde remediatie-roadmap<\/strong>, volledig afgestemd op NIS2 Article 21.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_vereist_NIS2_Article_21\"><\/span>Wat vereist NIS2 Article 21?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Article 21 vereist <strong>\u201cappropriate and proportionate\u201d cybersecurity-risicobeheersmaatregelen<\/strong> \u00e9n het vermogen om aan te tonen dat deze maatregelen <strong>in de praktijk werken<\/strong>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">In gewone taal betekent dit dat cybersecurity wordt beheerd als een <strong>herhaalbaar en bestuurbaar proces<\/strong>:<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-99e9d8\">\n<li class=\" eplus-wrapper\">Risico\u2019s worden ge\u00efdentificeerd en geprioriteerd<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Beheersmaatregelen zijn ge\u00efmplementeerd en toegewezen aan duidelijke eigenaren<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Beheersmaatregelen worden gemonitord en periodiek herzien<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Beslissingen en afwegingen worden vastgelegd<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Bewijs kan snel worden overlegd wanneer daarom wordt gevraagd<\/li>\n<\/ul>\n\n\n<figure class=\" wp-block-image aligncenter size-full eplus-wrapper\"><img decoding=\"async\" width=\"1000\" height=\"643\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Article-21-Requirements.webp\" alt=\"NIS2 Article 21 Requirements\" class=\"wp-image-27425\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Article-21-Requirements.webp 1000w, https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Article-21-Requirements-300x193.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Article-21-Requirements-768x494.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"De_3_principes_achter_NIS2_Article_21_zodat_je_niet_overbouwt\"><\/span>De 3 principes achter NIS2 Article 21 (zodat je niet overbouwt)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Article 21 is <strong>bewust outcome-gedreven<\/strong> opgesteld. In plaats van specifieke technologie\u00ebn of frameworks voor te schrijven, beschrijft het <strong>hoe organisaties geacht worden te denken over, omgaan met en bewijs leveren voor cybersecurity-risico\u2019s<\/strong>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Drie principes liggen ten grondslag aan elke maatregel binnen NIS2 Article 21. Inzicht in deze principes voorkomt <strong>onnodige over-engineering<\/strong>.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Risicogebaseerd_niet_checklist-gedreven\"><\/span>Risicogebaseerd, niet checklist-gedreven<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Article 21 verwacht beslissingen die zijn gebaseerd op <strong>daadwerkelijke dreigingen en bedrijfsimpact<\/strong>, niet op generieke templates. Je moet kunnen uitleggen <strong>waarom<\/strong> je een bepaald control-niveau hebt gekozen \u2014 of waarom juist niet.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Cybersecurity_strekt_zich_uit_tot_de_supply_chain\"><\/span>Cybersecurity strekt zich uit tot de supply chain<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Je bent verantwoordelijk voor risico\u2019s die worden ge\u00efntroduceerd door leveranciers en dienstverleners, vooral wanneer zij <strong>kritieke diensten<\/strong> ondersteunen. Dit is een punt waarop mkb-organisaties vaak onverwacht tekortschieten.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Bewijs_is_belangrijker_dan_intentie\"><\/span>Bewijs is belangrijker dan intentie<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Toezichthouders en afnemers vragen niet wat je van plan was \u2014 ze vragen wat je kunt <strong>aantonen<\/strong>: logs, tickets, testresultaten, trainingsregistraties en review-notities.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_zijn_de_10_verplichte_cybersecurity-maatregelen_binnen_NIS2_Article_21\"><\/span>Wat zijn de 10 verplichte cybersecurity-maatregelen binnen NIS2 Article 21?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Article 21 definieert <strong>tien minimale domeinen<\/strong> die je moet adresseren. Het doel is geen perfecte volwassenheid, maar een <strong>verdedigbare basis<\/strong> die is toegewezen, gedocumenteerd en operationeel.<\/p>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th><strong>Measure area<\/strong><\/th><th><strong>What \u201cgood enough\u201d looks like (SME baseline)<\/strong><\/th><th><strong>Evidence examples buyers\/regulators verify<\/strong><\/th><\/tr><\/thead><tbody><tr><td>1) Risicoanalyse &amp; security policies<\/td><td>Toprisico\u2019s zijn gedocumenteerd met afgesproken behandeling<\/td><td>Risicoregister, goedgekeurde policies, asset-inventaris<\/td><\/tr><tr><td>2) Incidentafhandeling<\/td><td>Je kunt incidenten detecteren, erop reageren en ervan leren<\/td><td>IR-plan, escalatiematrix, incidenttickets, PIR-template<\/td><\/tr><tr><td>3) Business continuity &amp; crisismanagement<\/td><td>Je kunt diensten herstellen<\/td><td>Back-upbeleid, restore-tests, RTO\/RPO, DR-runbook<\/td><\/tr><tr><td>4) Supply-chain security<\/td><td>Je kent je kritieke leveranciers en verwachtingen<\/td><td>Leverancierslijst, security-clausules, review-checklists<\/td><\/tr><tr><td>5) Secure acquisition, development &amp; maintenance<\/td><td>Security is ingebed in changes en patching<\/td><td>SDLC-gates, change-records, patch-SLA\u2019s<\/td><\/tr><tr><td>6) Effectiviteitstesten<\/td><td>Controls worden getest en verbeterd<\/td><td>Scan\/pentest-samenvattingen, KPI-dashboards<\/td><\/tr><tr><td>7) Cyberhygi\u00ebne &amp; training<\/td><td>Medewerkers kennen basis cybergedrag<\/td><td>Trainingsmateriaal, deelname-registraties<\/td><\/tr><tr><td>8) Cryptografie \/ encryptie<\/td><td>Data is beschermd waar het ertoe doet<\/td><td>Encryptiebeleid, TLS-instellingen, key-aanpak<\/td><\/tr><tr><td>9) Toegangsbeheer, asset management &amp; HR-security<\/td><td>Toegang wordt lifecycle-gecontroleerd<\/td><td>JML-processen, access reviews, asset-inventaris<\/td><\/tr><tr><td>10) MFA &amp; secure communicatie<\/td><td>MFA op kritieke toegang en fallback-communicatie<\/td><td>MFA-configuraties, admin hardening, emergency drills<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Per_maatregel_wat_het_betekent_en_welk_bewijs_je_moet_voorbereiden\"><\/span>Per maatregel: wat het betekent en welk bewijs je moet voorbereiden<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Risicoanalyse_beveiligingsbeleid\"><\/span>Risicoanalyse &amp; beveiligingsbeleid<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Je moet cybersecurity-risico\u2019s voor kritieke systemen en diensten identificeren en vastleggen hoe deze worden beheerd. Het bewijs moet aantonen dat risico\u2019s worden <strong>geprioriteerd en herzien<\/strong>, niet alleen beschreven.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Voorbeelden van bewijs:<\/strong> risicoanalyse-rapport, risicoregister, beveiligingsbeleid (goedgekeurd), inventaris van assets\/diensten, review-notities.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Incidentafhandeling\"><\/span>Incidentafhandeling<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Je hebt een werkbaar incident response-proces nodig: rollen, escalatie, acties en leerloops. Toezichthouders kijken vooral naar paraatheid: <strong>kan je team dit daadwerkelijk uitvoeren?<\/strong><\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Voorbeelden van bewijs:<\/strong> incident response-plan, escalatiematrix, incidentlog\/tickets, template voor post-incident review, notities van tabletop-oefeningen.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Bedrijfscontinuiteit_crisismanagement\"><\/span>Bedrijfscontinu\u00efteit &amp; crisismanagement<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Je moet de beschikbaarheid van diensten kunnen behouden tijdens en na incidenten. Back-ups die \u201cdraaien\u201d zijn niet voldoende \u2014 <strong>restore-testing is de geloofwaardigheidsindicator<\/strong>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Voorbeelden van bewijs:<\/strong> back-upbeleid, resultaten van restore-tests, RTO\/RPO-definities, disaster recovery-runbook, crisiscommunicatieplan.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Supply_chain-beveiliging\"><\/span>Supply chain-beveiliging<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Je moet risico\u2019s van derde partijen beheersen. Voor mkb-organisaties gaat een eenvoudige leveranciersinventaris + criticaliteitsclassificatie + basale verwachtingen al ver.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Voorbeelden van bewijs:<\/strong> leverancierslijst met criticaliteit, security-addendum\/-clausules, checklist voor leveranciersreviews, procedure voor incidentcommunicatie.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Veilige_systeeminkoop_-ontwikkeling_en_-onderhoud\"><\/span>Veilige systeeminkoop, -ontwikkeling en -onderhoud<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Security moet onderdeel zijn van hoe je systemen <strong>inkoopt, bouwt, wijzigt en patcht<\/strong> \u2014 niet iets wat je er later aan vastplakt. Mkb-organisaties hebben geen zware bureaucratie nodig, maar wel <strong>herhaalbare gates<\/strong>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Voorbeelden van bewijs:<\/strong> notities over secure SDLC, change management-registraties, patchbeleid + SLA\u2019s, proces voor vulnerability intake\/disclosure.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Effectiviteitstesten_van_cybersecuritymaatregelen\"><\/span>Effectiviteitstesten van cybersecuritymaatregelen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Je moet verifi\u00ebren dat beheersmaatregelen daadwerkelijk werken. De nadruk ligt op <strong>verbetering in de tijd<\/strong>, niet op continu overal penetratietesten uitvoeren.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Voorbeelden van bewijs:<\/strong> samenvattingen van scans\/pentests, interne review-notities, KPI-dashboard (MFA-dekking, patch-SLA, restore-tests), actietracker.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Cyberhygiene_en_medewerkerstraining\"><\/span>Cyberhygi\u00ebne en medewerkers\u00adtraining<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Awareness moet consistent en rolgericht zijn. Het bewijs is eenvoudig: <strong>materiaal + deelname + onboarding\/offboarding-stappen<\/strong>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Voorbeelden van bewijs:<\/strong> trainingsmateriaal, completion-logs, phishing-simulatie-rapport (optioneel), JML-checklist.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Cryptografie_en_encryptie\"><\/span>Cryptografie en encryptie<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Waar passend moet cryptografie worden ingezet om vertrouwelijkheid en integriteit te beschermen \u2014 met name voor gevoelige data en admin-verkeer.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Voorbeelden van bewijs:<\/strong> encryptiebeleid, TLS-instellingen, bewijs van encryptie-at-rest, key management-aanpak (op hoofdlijnen).<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Toegangsbeheer_assetmanagement_en_HR-beveiliging\"><\/span>Toegangsbeheer, assetmanagement en HR-beveiliging<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Dit gaat over lifecycle-beheer: <strong>least privilege + joiner\/mover\/leaver-discipline + zichtbaarheid van assets<\/strong>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Voorbeelden van bewijs:<\/strong> logs van toegangsreviews, JML-proces, asset-inventaris, baseline endpoint-configuraties.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Multi-factor_authenticatie_en_veilige_communicatie\"><\/span>Multi-factor authenticatie en veilige communicatie<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">MFA op kritieke systemen en admin-toegang is een basisverwachting. Daarnaast moeten veilige kanalen en noodcommunicatie zijn vastgelegd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Voorbeelden van bewijs:<\/strong> screenshots\/configuraties van MFA-afdwinging, admin hardening, break-glass-controls, notities van emergency channel-oefeningen.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"%E2%80%9CMinimum_Viable_Evidence_Pack%E2%80%9D_voor_mkb-organisaties_onder_NIS2_Article_21\"><\/span>\u201cMinimum Viable Evidence Pack\u201d voor mkb-organisaties onder NIS2 Article 21<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\" wp-block-image aligncenter size-full eplus-wrapper\"><img decoding=\"async\" width=\"1000\" height=\"563\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/Minimum-Viable-Evidence-Pack.webp\" alt=\"Minimum Viable Evidence Pack\" class=\"wp-image-27493\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/Minimum-Viable-Evidence-Pack.webp 1000w, https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/Minimum-Viable-Evidence-Pack-300x169.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/Minimum-Viable-Evidence-Pack-768x432.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Voor mkb-organisaties draait compliance met <strong>NIS2 Article 21<\/strong> om het kunnen <strong>aantonen van beheersing<\/strong> op een geloofwaardige en proportionele manier.<br>Een <strong>Minimum Viable Evidence Pack<\/strong> is een <strong>gerichte set van policies, registraties en technisch bewijs<\/strong> die gezamenlijk laten zien dat toezichthouders dat je de vereiste cybersecurity-risicobeheersmaatregelen hebt <strong>ge\u00efmplementeerd, operationeel hebt gemaakt en periodiek hebt beoordeeld<\/strong>.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Governance_risico\"><\/span>Governance &amp; risico<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Cybersecurity_Risk_Assessment_Report\"><\/span>Cybersecurity Risk Assessment Report<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Identificeert de meest relevante cybersecurity-risico\u2019s voor systemen en diensten en prioriteert deze op basis van <strong>impact en waarschijnlijkheid<\/strong>. Laat zien dat securitybeslissingen <strong>risicogebaseerd<\/strong> zijn en niet generiek.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Informatiebeveiligingsbeleid_door_management_goedgekeurd\"><\/span>Informatiebeveiligingsbeleid (door management goedgekeurd)<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Definieert beveiligingsdoelstellingen, rollen en principes, met expliciete goedkeuring door het management. Toont <strong>aansprakelijkheid en governance op directieniveau<\/strong> aan.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Risicobehandelings-_of_remediatieplan\"><\/span>Risicobehandelings- of remediatieplan<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Verbindt ge\u00efdentificeerde risico\u2019s aan <strong>mitigerende maatregelen, eigenaren en tijdslijnen<\/strong>. Laat zien dat risico\u2019s <strong>actief worden beheerd<\/strong> en niet alleen zijn vastgelegd.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Asset-inventaris_systemen_en_data\"><\/span>Asset-inventaris (systemen en data)<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Overzicht van kritieke systemen, diensten en datatypen. Vormt de basis voor <strong>toegangsbeheer, risicoanalyse en incident response<\/strong>.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Incident-_en_continuiteitsgereedheid\"><\/span>Incident- en continu\u00efteitsgereedheid<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Incident_Response_Plan_afgestemd_op_NIS2-meldplicht\"><\/span>Incident Response Plan (afgestemd op NIS2-meldplicht)<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Beschrijft hoe incidenten worden <strong>gedetecteerd, ge\u00ebscaleerd, beheerd en opgelost<\/strong>, inclusief beslissingsrollen en meldcriteria.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Incidentlog_of_Incident_Report-template\"><\/span>Incidentlog of Incident Report-template<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Biedt een gestructureerde manier om <strong>incidenten, root causes en geleerde lessen<\/strong> vast te leggen. Kan ook records bevatten van tests of tabletop-oefeningen.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Bedrijfscontinuiteits-_en_back-upbewijs\"><\/span>Bedrijfscontinu\u00efteits- en back-upbewijs<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Toont aan dat back-ups bestaan en <strong>daadwerkelijk kunnen worden hersteld<\/strong>. Bestaat doorgaans uit back-upbeleid en recente restore-testresultaten.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Technische_en_operationele_beheersmaatregelen\"><\/span>Technische en operationele beheersmaatregelen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Bewijs_van_toegangsbeheer_en_MFA\"><\/span>Bewijs van toegangsbeheer en MFA<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Toont aan dat toegang tot kritieke systemen is beperkt en beschermd met <strong>multi-factor authenticatie<\/strong>. Screenshots of configuratie-exports zijn voor mkb-organisaties doorgaans voldoende.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Patch-_en_vulnerabilitymanagement-registraties\"><\/span>Patch- en vulnerabilitymanagement-registraties<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Laat zien hoe kwetsbaarheden en patches worden <strong>ge\u00efdentificeerd, geprioriteerd en toegepast<\/strong>. Bevat policies en voorbeeldlogs of scanresultaten.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Bewijs_van_secure_configuratie_of_hardening\"><\/span>Bewijs van secure configuratie of hardening<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Documenteert baseline-beveiligingsconfiguraties voor systemen of endpoints. Tool-output of screenshots zijn acceptabel voor mkb-organisaties.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Bewijs_van_encryptie_of_databescherming\"><\/span>Bewijs van encryptie of databescherming<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Legt uit <strong>waar<\/strong> encryptie wordt toegepast (in transit en\/of at rest) en <strong>waarom<\/strong>. Ondersteund door beleid en configuratievoorbeelden.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Samenvatting_van_penetratietest_of_security_assessment\"><\/span>Samenvatting van penetratietest of security assessment<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Levert bewijs dat securitymaatregelen op effectiviteit worden getest. Een <strong>samenvatting op managementniveau<\/strong> is voldoende.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Mensen_awareness\"><\/span>Mensen &amp; awareness<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Trainingsmateriaal_voor_cybersecurity-awareness\"><\/span>Trainingsmateriaal voor cybersecurity-awareness<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Presentaties, video\u2019s of leerplatform-content tonen aan dat medewerkers worden ge\u00efnstrueerd over <strong>basale cyberrisico\u2019s en verwacht gedrag<\/strong>.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Registraties_van_trainingsdeelname\"><\/span>Registraties van trainingsdeelname<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Overzicht van deelnemers en afrondingsdata toont aan dat training <strong>daadwerkelijk wordt gegeven en gevolgd<\/strong>, met vastgelegde data en deelnemers.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Joiner_Mover_Leaver-toegangschecklist\"><\/span>Joiner \/ Mover \/ Leaver-toegangschecklist<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Bevestigt dat toegangsrechten <strong>consistent worden toegekend, aangepast en ingetrokken<\/strong> gedurende de volledige employee lifecycle.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Als je wilt begrijpen hoe deze <strong>evidence-vereisten van NIS2 Article 21<\/strong> passen binnen je bredere NIS2-verplichtingen, lees dan onze <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 Compliance Readiness voor EU-mkb: Essential Guide + Practical Checklist<\/a><\/strong> voor een gestructureerd, end-to-end overzicht van de vervolgstappen.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Drie_veelvoorkomende_hiaten_in_NIS2_Article_21_Readiness\"><\/span>Drie veelvoorkomende hiaten in NIS2 Article 21 Readiness<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Beheersmaatregelen_bestaan_maar_zijn_niet_gedocumenteerd\"><\/span>Beheersmaatregelen bestaan, maar zijn niet gedocumenteerd<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Cybersecuritymaatregelen zijn vaak <strong>informeel ge\u00efmplementeerd<\/strong>: MFA is ingeschakeld, back-ups draaien, toegang is beperkt \u2014 maar niets staat op papier. Zonder documentatie zijn deze maatregelen <strong>moeilijk uit te leggen, te beoordelen of te verdedigen<\/strong>. Toezichthouders beoordelen wat <strong>aantoonbaar<\/strong> is, niet wat verondersteld wordt te bestaan.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Leveranciersrisicos_worden_niet_beoordeeld\"><\/span>Leveranciersrisico\u2019s worden niet beoordeeld<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Veel organisaties zijn sterk afhankelijk van derde partijen, maar hebben <strong>onvoldoende inzicht<\/strong> in welke leveranciers kritisch zijn of hoe hun risico\u2019s worden beheerd. Contracten bevatten vaak geen expliciete security-afspraken en incidentscenario\u2019s met leveranciers worden zelden meegenomen in plannen of oefeningen. Onder <strong>NIS2 Article 21<\/strong> is dit een <strong>duidelijk en terugkerend zwak punt<\/strong>.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Geen_bewijs_van_effectiviteitstesten\"><\/span>Geen bewijs van effectiviteitstesten<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Zelfs wanneer beheersmaatregelen bestaan en zijn vastgelegd, kunnen organisaties vaak niet aantonen dat deze <strong>daadwerkelijk werken<\/strong>. Back-ups worden niet getest, incidentplannen niet geoefend en kwetsbaarheden niet systematisch beoordeeld. NIS2 Article 21 verwacht <strong>bewijs van testen, review en verbetering<\/strong> \u2014 niet statische controls die alleen op papier bestaan.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_je_je_voorbereidt_op_NIS2_Article_21_zonder_over-engineering\"><\/span>Hoe je je voorbereidt op NIS2 Article 21 zonder over-engineering<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\" wp-block-image aligncenter size-full eplus-wrapper\"><img decoding=\"async\" width=\"1000\" height=\"667\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-controls.webp\" alt=\"\" class=\"wp-image-27495\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-controls.webp 1000w, https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-controls-300x200.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-controls-768x512.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Article 21 verwacht <strong>niet<\/strong> dat mkb-organisaties enterprise-grade securityprogramma\u2019s opzetten. De richtlijn vereist expliciet <strong>passende en proportionele maatregelen<\/strong>, waarbij rekening wordt gehouden met risicoblootstelling, omvang en implementatiekosten.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De uitdaging voor de meeste organisaties is <strong>hoe je precies genoeg doet \u2014 en niet meer \u2014 terwijl je wel verdedigbaar blijft<\/strong>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een praktische manier om dit aan te pakken is door NIS2 Article 21 per vereiste maatregel te vertalen naar vier eenvoudige vragen:<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-620da9\">\n<li class=\" eplus-wrapper\">Wat moeten we implementeren?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Hoe tonen we dit aan?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Wie is eigenaar?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Hoeveel inspanning kost dit realistisch gezien?<\/li>\n<\/ul>\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Een_praktische_mapping_maatregel_%E2%86%92_bewijs_%E2%86%92_eigenaar_%E2%86%92_inspanning\"><\/span>Een praktische mapping: maatregel \u2192 bewijs \u2192 eigenaar \u2192 inspanning<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Deze mapping vertaalt NIS2 Article 21 van juridische tekst naar een <strong>operationele roadmap<\/strong>.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-0fefe9\">\n<li class=\" eplus-wrapper\"><strong>Maatregel<\/strong>: Wat NIS2 Article 21(2)(a)\u2013(j) expliciet vereist dat je adresseert.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>Bewijs<\/strong>: Wat toezichthouders, auditors of klanten redelijkerwijs kunnen verifi\u00ebren om vast te stellen dat de maatregel is ge\u00efmplementeerd en operationeel is.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>Eigenaar<\/strong>: De persoon die verantwoordelijk is voor het onderhouden van de maatregel en het bijbehorende bewijs. In mkb-organisaties is dit vaak \u00e9\u00e9n persoon met meerdere rollen (bijvoorbeeld een IT Manager die ook optreedt als Security Lead).<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>Typische inspanning<\/strong>: Een realistische inschatting van het werk dat nodig is om een <strong>verdedigbare basis<\/strong> te bereiken \u2014 geen theoretische volwassenheid.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">Deze aanpak zorgt ervoor dat elke vereiste een <strong>duidelijk doel, aantoonbaar bewijs en een verantwoordelijke eigenaar<\/strong> heeft, en voorkomt dubbel werk en onnodige complexiteit.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Begrip_van_de_inspanningsschaal_realiteitscheck_voor_mkb\"><\/span>Begrip van de inspanningsschaal (realiteitscheck voor mkb)<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Om over-engineering te voorkomen, moet inspanning <strong>consistent<\/strong> worden beoordeeld:<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-9b6840\">\n<li class=\" eplus-wrapper\"><strong>S (Small): 1\u20135 werkdagen<\/strong><br>Voornamelijk documentatie, lichte configuratie of het formaliseren van wat al bestaat.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>M (Medium): 2\u20136 weken<\/strong><br>Procesdefinitie, verbeteringen in tooling, opzetten van bewijs en basis-testing.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>L (Large): 6\u201312+ weken<\/strong><br>Afstemming tussen teams, architecturale wijzigingen, nieuwe tooling of herhaalde testcycli.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\"><em>Voor de meeste mkb-organisaties vallen de meeste maatregelen uit NIS2 Article 21, wanneer pragmatisch benaderd, in <strong>Small<\/strong> of <strong>Medium<\/strong> inspanning.<\/em><\/p>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th>Maatregel (Article 21(2))<\/th><th>Bewijs (wat auditors\/kopers kunnen verifi\u00ebren)<\/th><th>Eigenaar (typische mkb-organisatie)<\/th><th>Typische inspanning<\/th><\/tr><\/thead><tbody><tr><td><strong>(a) Beleid voor risicoanalyse en informatiebeveiliging van informatiesystemen<\/strong><a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/HTML\/?uri=CELEX%3A32022L2555\"><\/a><\/td><td>risicoregister (toprisico\u2019s + behandeling), set beveiligingspolicies, asset-\/diensteninventaris, periodieke risicoreview-notities<\/td><td>Security Lead \/ IT Manager + CTO sponsor<\/td><td>M<\/td><\/tr><tr><td><strong>(b) Incidentafhandeling<\/strong><a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/HTML\/?uri=CELEX%3A32022L2555\"><\/a><\/td><td>incident response-plan + rollen, escalatiematrix, incidenttickets, post-incident review-template, on-call-proces<\/td><td>Security Lead + Engineering Lead<\/td><td>M<\/td><\/tr><tr><td><strong>(c) Bedrijfscontinu\u00efteit (back-up\/DR) en crisismanagement<\/strong><a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/HTML\/?uri=CELEX%3A32022L2555\"><\/a><\/td><td>back-upbeleid, restore-testresultaten, RTO\/RPO-doelstellingen, DR-runbook, crisiscommunicatieplan<\/td><td>IT Ops \/ Platform Lead<\/td><td>M\u2013L (depends on systems)<\/td><\/tr><tr><td><strong>(d) Supply chain-beveiliging (directe leveranciers\/dienstverleners)<\/strong><a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/HTML\/?uri=CELEX%3A32022L2555\"><\/a><\/td><td>leveranciersinventaris + criticaliteit, security-clausules in contracten, leveranciersreview-checklist, vastgelegde bewijsverzoeken, incidentcommunicatieproces met derden<\/td><td>Inkoop\/Operations + Security Lead<\/td><td>M<\/td><\/tr><tr><td><strong>(e)<\/strong> <strong>Beveiliging in systeeminkoop, ontwikkeling en onderhoud<\/strong><\/td><td>SDLC-\/security-gates, change management-registraties, vulnerabilitymanagementproces, patch-SLA\u2019s, vulnerability disclosure\/contactkanaal<\/td><td>Engineering Lead + AppSec \/ Security Lead<\/td><td>M\u2013L<\/td><\/tr><tr><td><strong>(f) Beoordeling van de effectiviteit van maatregelen (testen\/meten)<\/strong><a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/HTML\/?uri=CELEX%3A32022L2555\"><\/a><\/td><td>KPI-dashboard (patch-SLA, MFA-dekking, back-up-tests), interne audits, penetratietests\/scans (indien gebruikt), actietracker<\/td><td>Security Lead + CTO<\/td><td>S\u2013M<\/td><\/tr><tr><td><strong>(g) Basis cyberhygi\u00ebne en cybersecuritytraining<\/strong><\/td><td>security awareness-beleid, trainingsregistraties, phishing-simulaties (optioneel), onboarding-\/offboarding-checklists<\/td><td>HR\/People Ops + Security Lead<\/td><td>S\u2013M<\/td><\/tr><tr><td><strong>(h) Cryptografie en encryptie (waar passend)<\/strong><\/td><td>encryptie-instellingen in transit\/at rest, key management-aanpak, TLS-configuraties, dataclassificatie + \u201cwat moet worden versleuteld\u201d<\/td><td>IT Ops \/ Platform Lead<\/td><td>S\u2013M<\/td><\/tr><tr><td><strong>(i) HR-beveiliging, toegangsbeheer en assetmanagement<\/strong><\/td><td>joiner\u2013mover\u2013leaver-proces, toegangsreview-logs, least-privilege-beleid, asset-inventaris, endpoint-baselines<\/td><td>IT Manager + HR<\/td><td>M<\/td><\/tr><tr><td><strong>(j) MFA\/continue authenticatie + beveiligde communicatie + noodcommunicatie (waar passend)<\/strong><\/td><td>MFA-afdwinging voor kernsystemen, admin hardening, secure-communicatiebeleid, break-glass-accounts, noodkanaal-oefeningen<\/td><td>IT Manager \/ Security Lead<\/td><td>S\u2013M<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_Sunbytes_NIS2_Article_21_Compliance_Readiness_ondersteunt\"><\/span>Hoe Sunbytes NIS2 Article 21 Compliance Readiness ondersteunt<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Sunbytes hanteert een <strong>evidence-first, toezichthouder-aligned aanpak<\/strong> voor NIS2 Article 21 readiness. Wij richten ons op wat autoriteiten, auditors en klanten <strong>daadwerkelijk vragen<\/strong>: duidelijke risico-onderbouwing, operationeel bewijs en realistische prioritering. Onze ervaring met Europese mkb-organisaties stelt ons in staat om <strong>juridische vereisten te vertalen naar praktische, verdedigbare uitkomsten<\/strong>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Heb je wel policies, maar kun je niet snel bewijs leveren (logs, tickets, trainingsregistraties, restore-tests), dan richt een <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/sunbytes-compliance-readiness\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes Compliance Readiness<\/a><\/strong> zich op het opbouwen van een <strong>evidence pack<\/strong> en een <strong>geprioriteerde remediatie-roadmap<\/strong>, volledig afgestemd op NIS2 Article 21. <strong><a href=\"https:\/\/sunbytes.io\/nl\/contact\/\" target=\"_blank\" rel=\"noreferrer noopener\">Plan een vrijblijvend gesprek<\/a><\/strong> om een Compliance Readiness-traject te bespreken.<\/p>\n\n\n<div\n    class=\"block-faq row justify-content-lg-center \"\n    id=\"block_8da415930e128fee8a1a4c880409daea\"\n  >\n    <div class=\"col-lg-10\">\n      <h2 class=\"block-faq__title\"><span class=\"ez-toc-section\" id=\"FAQs\"><\/span>FAQs<span class=\"ez-toc-section-end\"><\/span><\/h2>\n      <div class=\"block-faq__content\" id=\"faq-accordion\">\n                              <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-0\" aria-expanded=\"false\" aria-controls=\"faq-0\">\n                Moeten we alle 10 domeinen op dag \u00e9\u00e9n hebben ingericht?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-0\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p data-start=\"6618\" data-end=\"6784\">Niet per se \u201cperfect\u201d, maar je moet wel streven naar een <strong data-start=\"6675\" data-end=\"6721\">basisniveau voor alle 10 maatregelgebieden<\/strong>, omdat NIS2 Article 21(2) deze als minimale vereisten benoemt.<\/p>\n<p data-start=\"6786\" data-end=\"6830\">Een praktische aanpak voor mkb-organisaties:<\/p>\n<ul data-start=\"6832\" data-end=\"7113\">\n<li data-start=\"6832\" data-end=\"6917\">\n<p data-start=\"6834\" data-end=\"6917\">Week 1\u20132: eigenaren vaststellen + minimale policies + mappenstructuur voor bewijs<\/p>\n<\/li>\n<li data-start=\"6918\" data-end=\"7033\">\n<p data-start=\"6920\" data-end=\"7033\">Week 3\u20136: implementeren van de hoogste-risico-maatregelen (MFA, back-ups\/restore-tests, vulnerability handling)<\/p>\n<\/li>\n<li data-start=\"7034\" data-end=\"7113\">\n<p data-start=\"7036\" data-end=\"7113\">Doorlopend: volwassenheid verhogen met meetbare KPI\u2019s en periodieke reviews<\/p>\n<\/li>\n<\/ul>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-1\" aria-expanded=\"false\" aria-controls=\"faq-1\">\n                Wat betekent \u201cproportionate\u201d voor mkb-organisaties?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-1\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p data-start=\"7180\" data-end=\"7422\">NIS2 benoemt expliciet dat maatregelen <strong data-start=\"7219\" data-end=\"7254\">\u201cappropriate and proportionate\u201d<\/strong> moeten zijn en noemt factoren zoals stand van de techniek, relevante standaarden, implementatiekosten, risicoblootstelling, omvang en potenti\u00eble impact van incidenten.<\/p>\n<p data-start=\"7424\" data-end=\"7472\">In de praktijk betekent \u201cproportionate\u201d meestal:<\/p>\n<ul data-start=\"7474\" data-end=\"7741\">\n<li data-start=\"7474\" data-end=\"7572\">\n<p data-start=\"7476\" data-end=\"7572\">Je kunt onderbouwen waarom een maatregel op een bepaalde manier is ingericht (risicogebaseerd)<\/p>\n<\/li>\n<li data-start=\"7573\" data-end=\"7653\">\n<p data-start=\"7575\" data-end=\"7653\">Je hebt bewijs dat de maatregel operationeel is (niet alleen een policy-PDF)<\/p>\n<\/li>\n<li data-start=\"7654\" data-end=\"7741\">\n<p data-start=\"7656\" data-end=\"7741\">Je prioriteert maatregelen die waarschijnlijke en\/of impactvolle risico\u2019s reduceren<\/p>\n<\/li>\n<\/ul>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-2\" aria-expanded=\"false\" aria-controls=\"faq-2\">\n                Als we al ISO 27001 volgen, zijn we dan automatisch NIS2-ready?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-2\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p data-start=\"7820\" data-end=\"7959\">ISO 27001 helpt sterk, maar NIS2-readiness hangt nog steeds af van scope, specifieke verplichtingen en <strong data-start=\"7923\" data-end=\"7958\">bewijs van operationele werking<\/strong>. NIS2 legt daarnaast extra nadruk op <strong data-start=\"7997\" data-end=\"8035\">incidentmeldtermijnen (Article 23)<\/strong> en <strong data-start=\"8039\" data-end=\"8065\">supply-chain practices<\/strong>. Zie ISO 27001 als een stevige basis \u2014 en valideer daarna de resterende hiaten tegen NIS2 Article 21\/23 en nationale implementatieregels.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-3\" aria-expanded=\"false\" aria-controls=\"faq-3\">\n                Wat is het verschil tussen \u201ceen policy hebben\u201d en \u201cevidence-ready zijn\u201d?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-3\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p data-start=\"8293\" data-end=\"8389\">Een policy beschrijft intentie. <strong data-start=\"8327\" data-end=\"8389\">Bewijs toont aan dat een maatregel echt en herhaalbaar is.<\/strong><\/p>\n<p data-start=\"8391\" data-end=\"8523\">Voorbeeld: \u201cWij maken back-ups\u201d (policy) versus restore-testresultaten + RTO\/RPO + runbook + de laatste drie testtickets (bewijs). Evidence-readiness is waar procurement-teams en auditors doorgaans <strong data-start=\"8592\" data-end=\"8618\">als eerste naar vragen<\/strong>.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                        <\/div>\n    <\/div>\n  <\/div>\n\n\n\n<div style=\"height:31px\" aria-hidden=\"true\" id=\"contact\" class=\"contact wp-block-spacer eplus-wrapper\"><\/div>\n\n\n<section\n    class=\"conversion-form \"\n    id=\"block_6e89f987316d0e9610cfa53622463c85\"\n    style=\"background-image: url(https:\/\/sunbytes.io\/app\/uploads\/2018\/05\/background-network-1.png)\"\n  >\n    <div class=\"container\">\n      <div class=\"row justify-content-md-center\">\n        <div class=\"col-md-10 col-lg-8\">\n          <div class=\"conversion-form__inner\">\n            <div class=\"col-12 col-sm-10 offset-sm-1\">\n              <h2 class=\"conversion-form__title\"><span class=\"ez-toc-section\" id=\"Laten_we_beginnen_met_Sunbytes\"><\/span>Laten we beginnen met Sunbytes<span class=\"ez-toc-section-end\"><\/span><\/h2>\n                              <p>Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.<\/p>\n                                            <script type=\"text\/javascript\">var gform;gform||(document.addEventListener(\"gform_main_scripts_loaded\",function(){gform.scriptsLoaded=!0}),window.addEventListener(\"DOMContentLoaded\",function(){gform.domLoaded=!0}),gform={domLoaded:!1,scriptsLoaded:!1,initializeOnLoaded:function(o){gform.domLoaded&&gform.scriptsLoaded?o():!gform.domLoaded&&gform.scriptsLoaded?window.addEventListener(\"DOMContentLoaded\",o):document.addEventListener(\"gform_main_scripts_loaded\",o)},hooks:{action:{},filter:{}},addAction:function(o,n,r,t){gform.addHook(\"action\",o,n,r,t)},addFilter:function(o,n,r,t){gform.addHook(\"filter\",o,n,r,t)},doAction:function(o){gform.doHook(\"action\",o,arguments)},applyFilters:function(o){return gform.doHook(\"filter\",o,arguments)},removeAction:function(o,n){gform.removeHook(\"action\",o,n)},removeFilter:function(o,n,r){gform.removeHook(\"filter\",o,n,r)},addHook:function(o,n,r,t,i){null==gform.hooks[o][n]&&(gform.hooks[o][n]=[]);var e=gform.hooks[o][n];null==i&&(i=n+\"_\"+e.length),gform.hooks[o][n].push({tag:i,callable:r,priority:t=null==t?10:t})},doHook:function(n,o,r){var t;if(r=Array.prototype.slice.call(r,1),null!=gform.hooks[n][o]&&((o=gform.hooks[n][o]).sort(function(o,n){return o.priority-n.priority}),o.forEach(function(o){\"function\"!=typeof(t=o.callable)&&(t=window[t]),\"action\"==n?t.apply(null,r):r[0]=t.apply(null,r)})),\"filter\"==n)return r[0]},removeHook:function(o,n,t,i){var r;null!=gform.hooks[o][n]&&(r=(r=gform.hooks[o][n]).filter(function(o,n,r){return!!(null!=i&&i!=o.tag||null!=t&&t!=o.priority)}),gform.hooks[o][n]=r)}});<\/script>\n                <div class='gf_browser_gecko gform_wrapper gravity-theme gform-theme--no-framework' data-form-theme='gravity-theme' data-form-index='0' id='gform_wrapper_11' ><div id='gf_11' class='gform_anchor' tabindex='-1'><\/div><form method='post' enctype='multipart\/form-data' target='gform_ajax_frame_11' id='gform_11'  action='\/nl\/wp-json\/wp\/v2\/posts\/27508#gf_11' data-formid='11' novalidate> \r\n <input type='hidden' class='gforms-pum' value='{\"closepopup\":false,\"closedelay\":0,\"openpopup\":false,\"openpopup_id\":0}' \/>\n                        <div class='gform-body gform_body'><div id='gform_fields_11' class='gform_fields top_label form_sublabel_below description_below'><div id=\"field_11_12\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-full hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_12\" ><label class='gfield_label gform-field-label' for='input_11_12'>Uw naam<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_12' id='input_11_12' type='text' value='' class='large'    placeholder='Uw naam' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_2\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_2\" ><label class='gfield_label gform-field-label' for='input_11_2'>Organization<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_2' id='input_11_2' type='text' value='' class='large'    placeholder='Organisatie' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_16\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_16\" ><label class='gfield_label gform-field-label' for='input_11_16'>Functietitel<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_16' id='input_11_16' type='text' value='' class='large'    placeholder='Functietitel' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_3\" class=\"gfield gfield--type-email gfield--input-type-email gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_3\" ><label class='gfield_label gform-field-label' for='input_11_3'>Email<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_email'>\n                            <input name='input_3' id='input_11_3' type='email' value='' class='large'   placeholder='E-mailadres' aria-required=\"true\" aria-invalid=\"false\"  \/>\n                        <\/div><\/div><div id=\"field_11_13\" class=\"gfield gfield--type-phone gfield--input-type-phone gfield--width-half field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_13\" ><label class='gfield_label gform-field-label' for='input_11_13'>Phone<\/label><div class='ginput_container ginput_container_phone'><input name='input_13' id='input_11_13' type='tel' value='' class='large'  placeholder='Telefoonnummer'  aria-invalid=\"false\"   \/><\/div><\/div><div id=\"field_11_17\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_17\" ><label class='gfield_label gform-field-label' for='input_11_17'>Land<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_17' id='input_11_17' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Land<\/option><option value='Australia\/New Zealand (ANZ)' >Australia\/New Zealand (ANZ)<\/option><option value='Canada' >Canada<\/option><option value='Germany' >Germany<\/option><option value='Hong Kong' >Hong Kong<\/option><option value='Netherlands' >Netherlands<\/option><option value='Singapore' >Singapore<\/option><option value='United Kingdom' >United Kingdom<\/option><option value='United States of America' >United States of America<\/option><option value='Vietnam' >Vietnam<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_11\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_11\" ><label class='gfield_label gform-field-label' for='input_11_11'>Requirements<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_11' id='input_11_11' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Waar heeft u interesse in?<\/option><option value='Maatwerk Software ontwikkeling' >Maatwerk Software ontwikkeling<\/option><option value='Dedicated specialisten' >Dedicated specialisten<\/option><option value='Cybersecurity diensten' >Cybersecurity diensten<\/option><option value='HR Diensten' >HR Diensten<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_18\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_18\" ><label class='gfield_label gform-field-label' for='input_11_18'>Hoe heb je over ons gehoord?<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_18' id='input_11_18' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Hoe heb je over ons gehoord?<\/option><option value='LinkedIn' >LinkedIn<\/option><option value='Clutch' >Clutch<\/option><option value='Newsletter' >Newsletter<\/option><option value='Doorverwijzing' >Doorverwijzing<\/option><option value='Zoekmachine (Google, Bing, etc)' >Zoekmachine (Google, Bing, etc)<\/option><option value='Email' >Email<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_19\" class=\"gfield gfield--type-textarea gfield--input-type-textarea gfield--width-full field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_19\" ><label class='gfield_label gform-field-label' for='input_11_19'>Aanvullende informatie over uw verzoek.<\/label><div class='ginput_container ginput_container_textarea'><textarea name='input_19' id='input_11_19' class='textarea large'    placeholder='Aanvullende informatie over uw verzoek.'  aria-invalid=\"false\"   rows='10' cols='50'><\/textarea><\/div><\/div><fieldset id=\"field_11_7\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree mb-0 gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_7\" ><legend class='gfield_label gform-field-label screen-reader-text gfield_label_before_complex' ><span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_7'><div class='gchoice gchoice_11_7_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_7.1' type='checkbox'  value='Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.'  id='choice_11_7_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_7_1' id='label_11_7_1' class='gform-field-label gform-field-label--type-inline'>Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.<\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><fieldset id=\"field_11_14\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_14\" ><legend class='gfield_label gform-field-label gfield_label_before_complex' >Untitled<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_14'><div class='gchoice gchoice_11_14_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_14.1' type='checkbox'  value='Ik ga akkoord met &lt;a href=&quot;https:\/\/sunbytes.io\/general-terms-and-conditions\/&quot;&gt;de algemene voorwaarden &lt;\/a&gt;'  id='choice_11_14_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_14_1' id='label_11_14_1' class='gform-field-label gform-field-label--type-inline'>Ik ga akkoord met <a href=\"https:\/\/sunbytes.io\/general-terms-and-conditions\/\">de algemene voorwaarden <\/a><\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><div id=\"field_11_15\" class=\"gfield gfield--type-captcha gfield--input-type-captcha gfield--width-full d-none field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_15\" ><label class='gfield_label gform-field-label' for='input_11_15'>Captcha<\/label><div id='input_11_15' class='ginput_container ginput_recaptcha' data-sitekey='6LeTwBcdAAAAAKDurfTYCHGQQNGUBiDURxfjNI3V'  data-theme='light' data-tabindex='-1' data-size='invisible' data-badge='bottomright'><\/div><\/div><div id=\"field_11_20\" class=\"gfield gfield--type-honeypot gform_validation_container field_sublabel_below gfield--has-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_20\" ><label class='gfield_label gform-field-label' for='input_11_20'>Email<\/label><div class='ginput_container'><input name='input_20' id='input_11_20' type='text' value='' autocomplete='new-password'\/><\/div><div class='gfield_description' id='gfield_description_11_20'>Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.<\/div><\/div><\/div><\/div>\n        <div class='gform_footer top_label'> <input type='submit' id='gform_submit_button_11' class='gform_button button' value='Verstuur!'  onclick='if(window[\"gf_submitting_11\"]){return false;}  if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  ' onkeypress='if( event.keyCode == 13 ){ if(window[\"gf_submitting_11\"]){return false;} if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  jQuery(\"#gform_11\").trigger(\"submit\",[true]); }' \/> <input type='hidden' name='gform_ajax' value='form_id=11&amp;title=&amp;description=&amp;tabindex=0&amp;theme=gravity-theme' \/>\n            <input type='hidden' class='gform_hidden' name='is_submit_11' value='1' \/>\n            <input type='hidden' class='gform_hidden' name='gform_submit' value='11' \/>\n            \n            <input type='hidden' class='gform_hidden' name='gform_unique_id' value='' \/>\n            <input type='hidden' class='gform_hidden' name='state_11' value='WyJbXSIsImMzZmY3ZDRjNjM0NWY0MGNlNjVlNjMzNWJlZThmMWVlIl0=' \/>\n            <input type='hidden' class='gform_hidden' name='gform_target_page_number_11' id='gform_target_page_number_11' value='0' \/>\n            <input type='hidden' class='gform_hidden' name='gform_source_page_number_11' id='gform_source_page_number_11' value='1' \/>\n            <input type='hidden' name='gform_field_values' value='' \/>\n            \n        <\/div>\n                        <p style=\"display: none !important;\" class=\"akismet-fields-container\" data-prefix=\"ak_\"><label>&#916;<textarea name=\"ak_hp_textarea\" cols=\"45\" rows=\"8\" maxlength=\"100\"><\/textarea><\/label><input type=\"hidden\" id=\"ak_js_1\" name=\"ak_js\" value=\"224\"\/><script>document.getElementById( \"ak_js_1\" ).setAttribute( \"value\", ( new Date() ).getTime() );<\/script><\/p><\/form>\n                        <\/div>\n\t\t                <iframe style='display:none;width:0px;height:0px;' src='about:blank' name='gform_ajax_frame_11' id='gform_ajax_frame_11' title='Dit iframe bevat de vereiste logica om Ajax aangedreven Gravity Forms te verwerken.'><\/iframe>\n\t\t                <script type=\"text\/javascript\">\n\/* <![CDATA[ *\/\n gform.initializeOnLoaded( function() {gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery('#gform_ajax_frame_11').on('load',function(){var contents = jQuery(this).contents().find('*').html();var is_postback = contents.indexOf('GF_AJAX_POSTBACK') >= 0;if(!is_postback){return;}var form_content = jQuery(this).contents().find('#gform_wrapper_11');var is_confirmation = jQuery(this).contents().find('#gform_confirmation_wrapper_11').length > 0;var is_redirect = contents.indexOf('gformRedirect(){') >= 0;var is_form = form_content.length > 0 && ! is_redirect && ! is_confirmation;var mt = parseInt(jQuery('html').css('margin-top'), 10) + parseInt(jQuery('body').css('margin-top'), 10) + 100;if(is_form){jQuery('#gform_wrapper_11').html(form_content.html());if(form_content.hasClass('gform_validation_error')){jQuery('#gform_wrapper_11').addClass('gform_validation_error');} else {jQuery('#gform_wrapper_11').removeClass('gform_validation_error');}setTimeout( function() { \/* delay the scroll by 50 milliseconds to fix a bug in chrome *\/ jQuery(document).scrollTop(jQuery('#gform_wrapper_11').offset().top - mt); }, 50 );if(window['gformInitDatepicker']) {gformInitDatepicker();}if(window['gformInitPriceFields']) {gformInitPriceFields();}var current_page = jQuery('#gform_source_page_number_11').val();gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery(document).trigger('gform_page_loaded', [11, current_page]);window['gf_submitting_11'] = false;}else if(!is_redirect){var confirmation_content = jQuery(this).contents().find('.GF_AJAX_POSTBACK').html();if(!confirmation_content){confirmation_content = contents;}setTimeout(function(){jQuery('#gform_wrapper_11').replaceWith(confirmation_content);jQuery(document).scrollTop(jQuery('#gf_11').offset().top - mt);jQuery(document).trigger('gform_confirmation_loaded', [11]);window['gf_submitting_11'] = false;wp.a11y.speak(jQuery('#gform_confirmation_message_11').text());}, 50);}else{jQuery('#gform_11').append(contents);if(window['gformRedirect']) {gformRedirect();}}jQuery(document).trigger(\"gform_pre_post_render\", [{ formId: \"11\", currentPage: \"current_page\", abort: function() { this.preventDefault(); } }]);                if (event.defaultPrevented) {                return;         }        const gformWrapperDiv = document.getElementById( \"gform_wrapper_11\" );        if ( gformWrapperDiv ) {            const visibilitySpan = document.createElement( \"span\" );            visibilitySpan.id = \"gform_visibility_test_11\";            gformWrapperDiv.insertAdjacentElement( \"afterend\", visibilitySpan );        }        const visibilityTestDiv = document.getElementById( \"gform_visibility_test_11\" );        let postRenderFired = false;                function triggerPostRender() {            if ( postRenderFired ) {                return;            }            postRenderFired = true;            jQuery( document ).trigger( 'gform_post_render', [11, current_page] );            gform.utils.trigger( { event: 'gform\/postRender', native: false, data: { formId: 11, currentPage: current_page } } );            if ( visibilityTestDiv ) {                visibilityTestDiv.parentNode.removeChild( visibilityTestDiv );            }        }        function debounce( func, wait, immediate ) {            var timeout;            return function() {                var context = this, args = arguments;                var later = function() {                    timeout = null;                    if ( !immediate ) func.apply( context, args );                };                var callNow = immediate && !timeout;                clearTimeout( timeout );                timeout = setTimeout( later, wait );                if ( callNow ) func.apply( context, args );            };        }        const debouncedTriggerPostRender = debounce( function() {            triggerPostRender();        }, 200 );        if ( visibilityTestDiv && visibilityTestDiv.offsetParent === null ) {            const observer = new MutationObserver( ( mutations ) => {                mutations.forEach( ( mutation ) => {                    if ( mutation.type === 'attributes' && visibilityTestDiv.offsetParent !== null ) {                        debouncedTriggerPostRender();                        observer.disconnect();                    }                });            });            observer.observe( document.body, {                attributes: true,                childList: false,                subtree: true,                attributeFilter: [ 'style', 'class' ],            });        } else {            triggerPostRender();        }    } );} ); \n\/* ]]> *\/\n<\/script>\n\n                          <\/div>\n          <\/div>\n        <\/div>\n      <\/div>\n    <\/div>\n  <\/section>\n","protected":false},"excerpt":{"rendered":"<p>Onder de NIS2-richtlijn is NIS2 Article 21 het punt waarop \u201cwe nemen cybersecurity serieus\u201d verandert in \u201cbewijs het maar\u201d. NIS2 Article 21 beschrijft de minimale cybersecurity-risicobeheersmaatregelen die organisaties die onder NIS2 vallen moeten implementeren \u00e9n aantoonbaar in de praktijk moeten laten werken. EU-lidstaten kunnen verschillen in hoe zij NIS2 vertalen naar nationale wetgeving, maar de &hellip; <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\">Read more<\/a><\/p>\n","protected":false},"author":15,"featured_media":27427,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"editor_plus_copied_stylings":"{}","footnotes":""},"categories":[18,110],"tags":[],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.9 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>NIS2 Article 21 Requirements uitgelegd: De 10 risicobeheersmaatregelen (en het bewijs dat je moet kunnen tonen) | Sunbytes<\/title>\n<meta name=\"description\" content=\"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\" \/>\n<meta property=\"og:locale\" content=\"nl_NL\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"NIS2 Article 21 Requirements uitgelegd: De 10 risicobeheersmaatregelen (en het bewijs dat je moet kunnen tonen) | Sunbytes\" \/>\n<meta property=\"og:description\" content=\"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\" \/>\n<meta property=\"og:site_name\" content=\"Tech and Talent Solutions - Sunbytes\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/sunbytes\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-01-20T06:11:48+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-01-20T06:11:50+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Compliance-Readiness-for-EU-SMEs.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"628\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Uyen Pham\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:site\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:label1\" content=\"Geschreven door\" \/>\n\t<meta name=\"twitter:data1\" content=\"Uyen Pham\" \/>\n\t<meta name=\"twitter:label2\" content=\"Geschatte leestijd\" \/>\n\t<meta name=\"twitter:data2\" content=\"11 minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Organization\",\"name\":\"Sunbytes\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"contentUrl\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"width\":512,\"height\":512,\"caption\":\"Sunbytes\"},\"image\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/sunbytes\/\",\"https:\/\/twitter.com\/sunbytes\",\"https:\/\/www.linkedin.com\/company\/sunbytes\/\",\"https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/\"],\"knowsAbout\":[\"HR Solutions\",\"Payroll service\",\"EOR service\",\"Tech services\",\"Security services\"]},{\"@type\":\"Article\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\"},\"author\":{\"name\":\"Uyen Pham\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\"},\"headline\":\"NIS2 Article 21 Requirements uitgelegd: De 10 risicobeheersmaatregelen (en het bewijs dat je moet kunnen tonen)\",\"datePublished\":\"2026-01-20T06:11:48+00:00\",\"dateModified\":\"2026-01-20T06:11:50+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\"},\"wordCount\":2238,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"articleSection\":[\"Blog\",\"Cyberbeveiliging\"],\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\",\"url\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\",\"name\":\"NIS2 Article 21 Requirements uitgelegd: De 10 risicobeheersmaatregelen (en het bewijs dat je moet kunnen tonen) | Sunbytes\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\"},\"datePublished\":\"2026-01-20T06:11:48+00:00\",\"dateModified\":\"2026-01-20T06:11:50+00:00\",\"description\":\"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.\",\"breadcrumb\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#breadcrumb\"},\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/sunbytes.io\/nl\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Blog\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Cyberbeveiliging\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"NIS2 Article 21 Requirements uitgelegd: De 10 risicobeheersmaatregelen (en het bewijs dat je moet kunnen tonen)\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"name\":\"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate\",\"description\":\"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt\",\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/sunbytes.io\/nl\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"nl\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\",\"name\":\"Uyen Pham\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"caption\":\"Uyen Pham\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"NIS2 Article 21 Requirements uitgelegd: De 10 risicobeheersmaatregelen (en het bewijs dat je moet kunnen tonen) | Sunbytes","description":"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/","og_locale":"nl_NL","og_type":"article","og_title":"NIS2 Article 21 Requirements uitgelegd: De 10 risicobeheersmaatregelen (en het bewijs dat je moet kunnen tonen) | Sunbytes","og_description":"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.","og_url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/","og_site_name":"Tech and Talent Solutions - Sunbytes","article_publisher":"https:\/\/www.facebook.com\/sunbytes\/","article_published_time":"2026-01-20T06:11:48+00:00","article_modified_time":"2026-01-20T06:11:50+00:00","og_image":[{"width":1200,"height":628,"url":"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Compliance-Readiness-for-EU-SMEs.webp","type":"image\/webp"}],"author":"Uyen Pham","twitter_card":"summary_large_image","twitter_creator":"@sunbytes","twitter_site":"@sunbytes","twitter_misc":{"Geschreven door":"Uyen Pham","Geschatte leestijd":"11 minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Organization","name":"Sunbytes","url":"https:\/\/sunbytes.io\/nl\/","logo":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/","url":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","contentUrl":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","width":512,"height":512,"caption":"Sunbytes"},"image":{"@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/sunbytes\/","https:\/\/twitter.com\/sunbytes","https:\/\/www.linkedin.com\/company\/sunbytes\/","https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/"],"knowsAbout":["HR Solutions","Payroll service","EOR service","Tech services","Security services"]},{"@type":"Article","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#article","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/"},"author":{"name":"Uyen Pham","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2"},"headline":"NIS2 Article 21 Requirements uitgelegd: De 10 risicobeheersmaatregelen (en het bewijs dat je moet kunnen tonen)","datePublished":"2026-01-20T06:11:48+00:00","dateModified":"2026-01-20T06:11:50+00:00","mainEntityOfPage":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/"},"wordCount":2238,"commentCount":0,"publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"articleSection":["Blog","Cyberbeveiliging"],"inLanguage":"nl","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/","url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/","name":"NIS2 Article 21 Requirements uitgelegd: De 10 risicobeheersmaatregelen (en het bewijs dat je moet kunnen tonen) | Sunbytes","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/#website"},"datePublished":"2026-01-20T06:11:48+00:00","dateModified":"2026-01-20T06:11:50+00:00","description":"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.","breadcrumb":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#breadcrumb"},"inLanguage":"nl","potentialAction":[{"@type":"ReadAction","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/sunbytes.io\/nl\/"},{"@type":"ListItem","position":2,"name":"Blog","item":"https:\/\/sunbytes.io\/nl\/blog\/"},{"@type":"ListItem","position":3,"name":"Cyberbeveiliging","item":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/"},{"@type":"ListItem","position":4,"name":"NIS2 Article 21 Requirements uitgelegd: De 10 risicobeheersmaatregelen (en het bewijs dat je moet kunnen tonen)"}]},{"@type":"WebSite","@id":"https:\/\/sunbytes.io\/nl\/#website","url":"https:\/\/sunbytes.io\/nl\/","name":"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate","description":"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt","publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/sunbytes.io\/nl\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"nl"},{"@type":"Person","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2","name":"Uyen Pham","image":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","caption":"Uyen Pham"}}]}},"_links":{"self":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/27508"}],"collection":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/comments?post=27508"}],"version-history":[{"count":0,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/27508\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media\/27427"}],"wp:attachment":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media?parent=27508"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/categories?post=27508"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/tags?post=27508"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}