{"id":27508,"date":"2026-01-20T07:11:48","date_gmt":"2026-01-20T06:11:48","guid":{"rendered":"https:\/\/sunbytes.io\/?p=27508"},"modified":"2026-06-30T06:04:41","modified_gmt":"2026-06-30T04:04:41","slug":"nis2-article-21-requirements-explained","status":"publish","type":"post","link":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/","title":{"rendered":"NIS2 Artikel 21: 10 beveiligingsmaatregelen die moeten worden ge\u00efmplementeerd (update 2026)"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_62 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title \" >In this post<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #0d023e;color:#0d023e\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #0d023e;color:#0d023e\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#TLDR\" title=\"TL;DR\">TL;DR<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Update_Nederland_status_Cyberbeveiligingswet_in_juni_2026\" title=\"Update Nederland: status Cyberbeveiligingswet in juni 2026\">Update Nederland: status Cyberbeveiligingswet in juni 2026<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Wat_vereist_NIS2_Artikel_21\" title=\"Wat vereist NIS2 Artikel 21?\">Wat vereist NIS2 Artikel 21?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#De_3_principes_achter_Artikel_21_zodat_u_niet_over-engineert\" title=\"De 3 principes achter Artikel 21, zodat u niet over-engineert\">De 3 principes achter Artikel 21, zodat u niet over-engineert<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Risicogebaseerd_niet_checklist-gedreven\" title=\"Risicogebaseerd, niet checklist-gedreven\">Risicogebaseerd, niet checklist-gedreven<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Beveiliging_strekt_zich_uit_tot_uw_supply_chain\" title=\"Beveiliging strekt zich uit tot uw supply chain\">Beveiliging strekt zich uit tot uw supply chain<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Bewijs_is_belangrijker_dan_intentie\" title=\"Bewijs is belangrijker dan intentie\">Bewijs is belangrijker dan intentie<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Wat_zijn_de_10_verplichte_cybersecurityrisicobeheersmaatregelen_in_Artikel_21\" title=\"Wat zijn de 10 verplichte cybersecurityrisicobeheersmaatregelen in Artikel 21?\">Wat zijn de 10 verplichte cybersecurityrisicobeheersmaatregelen in Artikel 21?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#NIS2_Artikel_21_Readiness_Assessment\" title=\"NIS2 Artikel 21 Readiness Assessment\">NIS2 Artikel 21 Readiness Assessment<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#NIS2_Artikel_21_Readiness_Assessment-2\" title=\"NIS2 Artikel 21 Readiness Assessment\">NIS2 Artikel 21 Readiness Assessment<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Maatregel_voor_maatregel_wat_het_betekent_en_welk_bewijs_u_moet_voorbereiden\" title=\"Maatregel voor maatregel: wat het betekent en welk bewijs u moet voorbereiden\">Maatregel voor maatregel: wat het betekent en welk bewijs u moet voorbereiden<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Risicoanalyse_beveiligingsbeleid\" title=\"Risicoanalyse &amp; beveiligingsbeleid\">Risicoanalyse &amp; beveiligingsbeleid<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Incidentafhandeling\" title=\"Incidentafhandeling\">Incidentafhandeling<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Business_continuity_crisismanagement\" title=\"Business continuity &amp; crisismanagement\">Business continuity &amp; crisismanagement<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Supply_chain_security\" title=\"Supply chain security\">Supply chain security<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Veilige_systeemverwerving_ontwikkeling_en_onderhoud\" title=\"Veilige systeemverwerving, ontwikkeling en onderhoud\">Veilige systeemverwerving, ontwikkeling en onderhoud<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Effectiviteitstesten_van_cybersecuritymaatregelen\" title=\"Effectiviteitstesten van cybersecuritymaatregelen\">Effectiviteitstesten van cybersecuritymaatregelen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Cyberhygiene_en_medewerkerstraining\" title=\"Cyberhygi\u00ebne en medewerkerstraining\">Cyberhygi\u00ebne en medewerkerstraining<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Cryptografie_en_encryptie\" title=\"Cryptografie en encryptie\">Cryptografie en encryptie<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-20\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Toegangsbeheer_assetmanagement_en_HR-beveiliging\" title=\"Toegangsbeheer, assetmanagement en HR-beveiliging\">Toegangsbeheer, assetmanagement en HR-beveiliging<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-21\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Multi-factor_authentication_en_veilige_communicatie\" title=\"Multi-factor authentication en veilige communicatie\">Multi-factor authentication en veilige communicatie<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-22\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#%E2%80%9CMinimum_Viable_Evidence_Pack%E2%80%9D_voor_mkb_onder_NIS2_Artikel_21\" title=\"\u201cMinimum Viable Evidence Pack\u201d voor mkb onder NIS2 Artikel 21\">\u201cMinimum Viable Evidence Pack\u201d voor mkb onder NIS2 Artikel 21<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-23\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Governance_Risk\" title=\"Governance &amp; Risk\">Governance &amp; Risk<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-24\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Cybersecurity_Risk_Assessment_Report\" title=\"Cybersecurity Risk Assessment Report\">Cybersecurity Risk Assessment Report<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-25\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Information_Security_Policy_door_management_goedgekeurd\" title=\"Information Security Policy (door management goedgekeurd)\">Information Security Policy (door management goedgekeurd)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-26\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Risk_Treatment_of_Remediation_Plan\" title=\"Risk Treatment of Remediation Plan\">Risk Treatment of Remediation Plan<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-27\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Asset_Inventory_systemen_data\" title=\"Asset Inventory (systemen &amp; data)\">Asset Inventory (systemen &amp; data)<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-28\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Incident_Continuity_Readiness\" title=\"Incident &amp; Continuity Readiness\">Incident &amp; Continuity Readiness<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-29\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Incident_Response_Plan_met_NIS2-rapportageafstemming\" title=\"Incident Response Plan (met NIS2-rapportageafstemming)\">Incident Response Plan (met NIS2-rapportageafstemming)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-30\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Incident_Log_of_Incident_Report_Template\" title=\"Incident Log of Incident Report Template\">Incident Log of Incident Report Template<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-31\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Business_Continuity_Back-upbewijs\" title=\"Business Continuity \/ Back-upbewijs\">Business Continuity \/ Back-upbewijs<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-32\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Technische_operationele_controls\" title=\"Technische &amp; operationele controls\">Technische &amp; operationele controls<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-33\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Access_Control_MFA_Evidence\" title=\"Access Control &amp; MFA Evidence\">Access Control &amp; MFA Evidence<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-34\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Patch_Vulnerability_Management_Records\" title=\"Patch &amp; Vulnerability Management Records\">Patch &amp; Vulnerability Management Records<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-35\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Secure_Configuration_of_Hardening_Evidence\" title=\"Secure Configuration of Hardening Evidence\">Secure Configuration of Hardening Evidence<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-36\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Encryption_of_Data_Protection_Evidence\" title=\"Encryption of Data Protection Evidence\">Encryption of Data Protection Evidence<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-37\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Penetration_Test_of_Security_Assessment_Summary\" title=\"Penetration Test of Security Assessment Summary\">Penetration Test of Security Assessment Summary<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-38\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Mensen_awareness\" title=\"Mensen &amp; awareness\">Mensen &amp; awareness<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-39\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Cybersecurity_Awareness_Training_Materials\" title=\"Cybersecurity Awareness Training Materials\">Cybersecurity Awareness Training Materials<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-40\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Training_Attendance_Records\" title=\"Training Attendance Records\">Training Attendance Records<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-41\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Joiner_Mover_Leaver_Access_Checklist\" title=\"Joiner \/ Mover \/ Leaver Access Checklist\">Joiner \/ Mover \/ Leaver Access Checklist<\/a><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-42\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Drie_veelvoorkomende_gaps_in_Artikel_21-readiness\" title=\"Drie veelvoorkomende gaps in Artikel 21-readiness\">Drie veelvoorkomende gaps in Artikel 21-readiness<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-43\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Controls_bestaan_maar_zijn_niet_gedocumenteerd\" title=\"Controls bestaan, maar zijn niet gedocumenteerd\">Controls bestaan, maar zijn niet gedocumenteerd<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-44\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Leveranciersrisicos_zijn_niet_beoordeeld\" title=\"Leveranciersrisico\u2019s zijn niet beoordeeld\">Leveranciersrisico\u2019s zijn niet beoordeeld<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-45\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Geen_bewijs_van_effectiviteitstesten\" title=\"Geen bewijs van effectiviteitstesten\">Geen bewijs van effectiviteitstesten<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-46\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Voorbereiden_op_Artikel_21_zonder_over-engineering\" title=\"Voorbereiden op Artikel 21 zonder over-engineering\">Voorbereiden op Artikel 21 zonder over-engineering<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-47\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Een_praktische_mapping_maatregel_%E2%86%92_bewijs_%E2%86%92_eigenaar_%E2%86%92_inspanning\" title=\"Een praktische mapping: maatregel \u2192 bewijs \u2192 eigenaar \u2192 inspanning\">Een praktische mapping: maatregel \u2192 bewijs \u2192 eigenaar \u2192 inspanning<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-48\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#De_inspanningsschaal_begrijpen_mkb-reality_check\" title=\"De inspanningsschaal begrijpen (mkb-reality check)\">De inspanningsschaal begrijpen (mkb-reality check)<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-49\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Hoe_Sunbytes_NIS2_Artikel_21_Compliance_Readiness_ondersteunt\" title=\"Hoe Sunbytes NIS2 Artikel 21 Compliance Readiness ondersteunt\">Hoe Sunbytes NIS2 Artikel 21 Compliance Readiness ondersteunt<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-50\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Voor_Nederlandse_lezers_wat_veranderde_er_in_juni_2026\" title=\"Voor Nederlandse lezers: wat veranderde er in juni 2026?\">Voor Nederlandse lezers: wat veranderde er in juni 2026?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-51\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#FAQs\" title=\"FAQs\">FAQs<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-52\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#Laten_we_beginnen_met_Sunbytes\" title=\"Laten we beginnen met Sunbytes\">Laten we beginnen met Sunbytes<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\" eplus-wrapper\">Onder de NIS2-richtlijn is Artikel 21 het punt waarop \u201cwe nemen beveiliging serieus\u201d verandert in \u201cbewijs het\u201d. De vereisten van Artikel 21 bepalen de minimale cybersecurityrisicobeheersmaatregelen die organisaties binnen scope moeten implementeren en in de praktijk moeten kunnen aantonen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">EU-lidstaten kunnen verschillen in hoe zij NIS2 omzetten naar nationaal recht, maar de bedoeling van Artikel 21 is consistent: risicogebaseerde, proportionele controls, ondersteund door operationeel bewijs.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Deze gids vertaalt Artikel 21 naar praktische acties, voorbeelden van bewijs en een Minimum Viable Evidence Pack dat mkb-organisaties kunnen opbouwen zonder te over-engineeren.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"TLDR\"><\/span><strong>TL;DR<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Artikel 21 vereist dat organisaties binnen scope <em>passende en proportionele<\/em> cybersecurityrisicobeheersmaatregelen implementeren en <strong>aantonen dat deze in de praktijk werken<\/strong>. Het artikel behandelt 10 verplichte gebieden: risico, incidenten, continu\u00efteit, supply chain, veilige ontwikkeling, testen, training, crypto, toegangs-\/HR-beveiliging en MFA\/veilige communicatie. Readiness betekent drie dingen: eigenaarschap, bewijs en een verbetercyclus. Gebruik de <strong>NIS2 Artikel 21 Readiness Assessment<\/strong> hieronder om uw huidige controls te scoren en de gaps te identificeren die eerst aandacht nodig hebben.<br>Wilt u gestructureerde ondersteuning, dan helpt <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/sunbytes-compliance-readiness\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes Compliance Readiness<\/a><\/strong> u bij het opbouwen van een evidence pack en een geprioriteerde remediation-roadmap die aansluit op Artikel 21.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Update_Nederland_status_Cyberbeveiligingswet_in_juni_2026\"><\/span><strong>Update Nederland: status Cyberbeveiligingswet in juni 2026<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse organisaties wordt NIS2 omgezet via de <strong>Cyberbeveiligingswet (Cbw)<\/strong>. Per juni 2026 moet de wet nog niet worden beschreven als volledig van kracht: de Tweede Kamer nam het voorstel aan op <a href=\"https:\/\/www.rijksoverheid.nl\/actueel\/nieuws\/2026\/04\/15\/tweede-kamer-stemt-in-met-wetsvoorstellen-cyberbeveiligingswet-en-wet-weerbaarheid-kritieke-entiteiten\" target=\"_blank\" rel=\"noreferrer noopener\">15 april 2026<\/a>, en het voorstel was in juni 2026 nog in behandeling bij de <a href=\"https:\/\/www.eerstekamer.nl\/wetsvoorstel\/36764_cyberbeveiligingswet\" target=\"_blank\" rel=\"noreferrer noopener\">Eerste Kamer<\/a>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De NCTV vermeldt dat de Eerste Kamer haar verslag op 2 juni 2026 uitbracht, dat de regering de gestelde vragen heeft beantwoord en dat de plenaire behandeling vervolgens werd verwacht. Totdat de Cyberbeveiligingswet in werking treedt, stelt NCTV dat er geen directe NIS2- of CER-verplichtingen voor organisaties gelden onder de Nederlandse implementatiewet, hoewel bepaalde rechten al kunnen gelden door rechtstreekse werking van sommige NIS2-bepalingen. De praktische implicatie is eenvoudig: claim nog geen definitieve compliance onder Nederlands recht, maar begin nu wel met het opbouwen van controlbewijs voor Artikel 21.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_vereist_NIS2_Artikel_21\"><\/span><strong>Wat vereist NIS2 Artikel 21?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Artikel 21 vereist \u201cpassende en proportionele\u201d cybersecurityrisicobeheersmaatregelen en het vermogen om aan te tonen dat die maatregelen in de praktijk werken. Zie ook de offici\u00eble tekst van de <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/HTML\/?uri=CELEX%3A32022L2555\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2-richtlijn<\/a>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">In gewone taal wordt van u verwacht dat u laat zien dat beveiliging als een herhaalbaar proces wordt beheerd:<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-e9189b\">\n<li class=\" eplus-wrapper\">Risico\u2019s worden ge\u00efdentificeerd en geprioriteerd<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Controls worden ge\u00efmplementeerd en hebben een eigenaar<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Controls worden gemonitord en beoordeeld<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Beslissingen worden gedocumenteerd, inclusief trade-offs<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Bewijs kan snel worden geleverd wanneer daarom wordt gevraagd<\/li>\n<\/ul>\n\n\n<figure class=\" wp-block-image aligncenter size-full eplus-wrapper\"><img decoding=\"async\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Article-21-Requirements.webp\" alt=\"NIS2 Artikel 21 vereisten\"\/><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"De_3_principes_achter_Artikel_21_zodat_u_niet_over-engineert\"><\/span><strong>De 3 principes achter Artikel 21, zodat u niet over-engineert<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Artikel 21 is bewust resultaatgericht. In plaats van specifieke technologie\u00ebn of frameworks voor te schrijven, definieert het artikel <strong>hoe organisaties moeten nadenken over cybersecurityrisico\u2019s, hoe zij die risico\u2019s beheren en hoe zij bewijs leveren<\/strong>. Drie principes liggen onder elke control in Artikel 21, en inzicht in deze principes helpt over-engineering te voorkomen.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Risicogebaseerd_niet_checklist-gedreven\"><\/span>Risicogebaseerd, niet checklist-gedreven<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Artikel 21 verwacht dat beslissingen worden gestuurd door uw werkelijke dreigingen en zakelijke impact, niet door generieke templates. U moet kunnen uitleggen waarom u voor een bepaald controlniveau koos, of waarom u niet simpelweg een template kopieerde.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Beveiliging_strekt_zich_uit_tot_uw_supply_chain\"><\/span>Beveiliging strekt zich uit tot uw supply chain<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">U bent verantwoordelijk voor risico\u2019s die worden ge\u00efntroduceerd door leveranciers en dienstverleners, vooral wanneer zij kritieke diensten ondersteunen. Dit is vaak waar mkb-organisaties worden verrast.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Bewijs_is_belangrijker_dan_intentie\"><\/span>Bewijs is belangrijker dan intentie<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Toezichthouders en kopers vragen niet wat u van plan was te doen. Zij vragen wat u kunt aantonen: logs, tickets, testresultaten, trainingsvoltooiing en reviewnotities.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_zijn_de_10_verplichte_cybersecurityrisicobeheersmaatregelen_in_Artikel_21\"><\/span><strong>Wat zijn de 10 verplichte cybersecurityrisicobeheersmaatregelen in Artikel 21?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Artikel 21 definieert tien minimale gebieden die u moet afdekken. Het doel is niet \u201cperfecte volwassenheid\u201d, maar een verdedigbare basislijn die eigenaar heeft, gedocumenteerd is en werkt.<\/p>\n\n\n\n<figure class=\"is-style-stripes eplus-wrapper wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th><strong>Maatregelgebied<\/strong><\/th><th><strong>Hoe \u201cgoed genoeg\u201d eruitziet (mkb-basislijn)<\/strong><\/th><th><strong>Bewijsvoorbeelden die kopers\/toezichthouders controleren<\/strong><\/th><\/tr><\/thead><tbody><tr><td>1) Risicoanalyse &amp; beveiligingsbeleid<\/td><td>Documenteer toprisico\u2019s + overeengekomen behandeling<\/td><td>Risicoregister, beleidsgoedkeuring, assetinventaris<\/td><\/tr><tr><td>2) Incidentafhandeling<\/td><td>U kunt detecteren, reageren en leren<\/td><td>IR-plan, escalatiematrix, incidenttickets, PIR-template<\/td><\/tr><tr><td>3) Business continuity &amp; crisismanagement<\/td><td>U kunt diensten herstellen<\/td><td>Back-upbeleid, restoretestresultaten, RTO\/RPO, DR-runbook<\/td><\/tr><tr><td>4) Supply chain security<\/td><td>U kent uw kritieke leveranciers en verwachtingen<\/td><td>Leveranciersinventaris, securityclausules, reviewchecklist, communicatieproces<\/td><\/tr><tr><td>5) Veilige aankoop\/ontwikkeling\/onderhoud<\/td><td>Security is ingebed in change en patching<\/td><td>SDLC-gates, changerecords, patch-SLA\u2019s, vulnerabilityproces<\/td><\/tr><tr><td>6) Effectiviteitstesten<\/td><td>Controls worden getest en verbeterd<\/td><td>Scan-\/pentest-samenvatting, KPI-dashboard, actietracker<\/td><\/tr><tr><td>7) Cyberhygi\u00ebne &amp; training<\/td><td>Mensen kennen basisgedrag rond cybersecurity<\/td><td>Trainingsmateriaal, voltooiingsrecords, onboarding-\/offboardingchecklist<\/td><\/tr><tr><td>8) Cryptografie\/encryptie<\/td><td>Data wordt beschermd waar dat ertoe doet<\/td><td>Encryptiebeleid, configuraties, TLS-instellingen, key-aanpak<\/td><\/tr><tr><td>9) Toegangsbeheer, assetmanagement, HR-beveiliging<\/td><td>Toegang wordt lifecycle-gestuurd beheerd<\/td><td>JML-proces, toegangsreviews, assetinventaris, baselineconfiguraties<\/td><\/tr><tr><td>10) MFA &amp; veilige communicatie<\/td><td>MFA op kritieke toegang + fallbackcommunicatie<\/td><td>MFA-configuratiebewijs, adminhardening, noodcommunicatiedrill<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"NIS2_Artikel_21_Readiness_Assessment\"><\/span><strong>NIS2 Artikel 21 Readiness Assessment<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Gebruik deze self-assessment met 10 vragen om Artikel 21 om te zetten in een eerste gaplijst. Dit is geen juridisch advies en geen formele audit. Het is een praktische manier om te zien of uw huidige controls gedocumenteerd zijn, een eigenaar hebben en door bewijs worden ondersteund.<\/p>\n\n\n\n<div id=\"nis2-article21-assessment\" style=\"border:1px solid #d8e0ea;border-radius:16px;padding:24px;margin:28px 0;background:#f8fbff;\">\n  <style>\n    #nis2-article21-assessment * { box-sizing: border-box; }\n    #nis2-article21-assessment h3 { margin-top: 0; margin-bottom: 8px; font-size: 24px; line-height: 1.25; }\n    #nis2-article21-assessment p { margin: 0 0 16px; }\n    #nis2-article21-assessment .nis2-question { padding: 16px; margin: 12px 0; border: 1px solid #e2e8f0; border-radius: 12px; background: #ffffff; }\n    #nis2-article21-assessment .nis2-question strong { display: block; margin-bottom: 10px; }\n    #nis2-article21-assessment .nis2-options { display: flex; gap: 10px; flex-wrap: wrap; }\n    #nis2-article21-assessment label { display: inline-flex; align-items: center; gap: 6px; padding: 8px 10px; border: 1px solid #cbd5e1; border-radius: 999px; background: #ffffff; cursor: pointer; }\n    #nis2-article21-assessment button { border: 0; border-radius: 999px; padding: 12px 18px; margin-top: 16px; cursor: pointer; font-weight: 700; }\n    #nis2-article21-assessment .nis2-score-btn { background: #102a43; color: #ffffff; }\n    #nis2-article21-assessment .nis2-reset-btn { background: #e2e8f0; color: #102a43; margin-left: 8px; }\n    #nis2-article21-assessment .nis2-results { display: none; margin-top: 20px; padding: 18px; border-radius: 14px; background: #ffffff; border: 1px solid #cbd5e1; }\n    #nis2-article21-assessment .nis2-score { font-size: 30px; font-weight: 800; margin-bottom: 8px; }\n    #nis2-article21-assessment .nis2-gap-list { margin: 10px 0 0 20px; }\n    #nis2-article21-assessment .nis2-note { font-size: 14px; color: #475569; margin-top: 12px; }\n  <\/style>\n\n  <h3><span class=\"ez-toc-section\" id=\"NIS2_Artikel_21_Readiness_Assessment-2\"><\/span>NIS2 Artikel 21 Readiness Assessment<span class=\"ez-toc-section-end\"><\/span><\/h3>\n  <p>Beantwoord elke vraag op basis van wat u vandaag kunt aantonen, niet op basis van wat gepland is.<\/p>\n\n  <form id=\"nis2-a21-form\">\n    <div class=\"nis2-question\" data-gap=\"Maak of actualiseer een cybersecurityrisicoregister, wijs risico-eigenaren toe en documenteer de behandelingsbeslissing voor elk toprisico.\">\n      <strong>1. Risicoanalyse en beveiligingsbeleid: kunt u uw belangrijkste cyberrisico\u2019s, eigenaren en behandelingsbeslissingen aantonen?<\/strong>\n      <div class=\"nis2-options\"><label><input type=\"radio\" name=\"q1\" value=\"2\"> Ja<\/label><label><input type=\"radio\" name=\"q1\" value=\"1\"> Deels<\/label><label><input type=\"radio\" name=\"q1\" value=\"0\"> Nee<\/label><\/div>\n    <\/div>\n\n    <div class=\"nis2-question\" data-gap=\"Documenteer een incidentresponsplan met rollen, escalatiepaden, beslislogs en NIS2-rapportagetriggers.\">\n      <strong>2. Incidentafhandeling: heeft u een incidentresponsproces dat uw team daadwerkelijk kan uitvoeren?<\/strong>\n      <div class=\"nis2-options\"><label><input type=\"radio\" name=\"q2\" value=\"2\"> Ja<\/label><label><input type=\"radio\" name=\"q2\" value=\"1\"> Deels<\/label><label><input type=\"radio\" name=\"q2\" value=\"0\"> Nee<\/label><\/div>\n    <\/div>\n\n    <div class=\"nis2-question\" data-gap=\"Voer restoretests uit en documenteer ze, definieer RTO\/RPO-doelen en houd een business continuity- of disaster recovery-runbook bij.\">\n      <strong>3. Business continuity: kunt u aantonen dat back-ups herstelbaar zijn en dat herstelverantwoordelijkheden duidelijk zijn?<\/strong>\n      <div class=\"nis2-options\"><label><input type=\"radio\" name=\"q3\" value=\"2\"> Ja<\/label><label><input type=\"radio\" name=\"q3\" value=\"1\"> Deels<\/label><label><input type=\"radio\" name=\"q3\" value=\"0\"> Nee<\/label><\/div>\n    <\/div>\n\n    <div class=\"nis2-question\" data-gap=\"Bouw een leveranciersinventaris op, beoordeel kritieke leveranciers en voeg basisbeveiligingseisen of clausules toe aan leveranciersbeheer.\">\n      <strong>4. Supply chain security: weet u welke leveranciers kritiek zijn en welk beveiligingsbewijs zij moeten leveren?<\/strong>\n      <div class=\"nis2-options\"><label><input type=\"radio\" name=\"q4\" value=\"2\"> Ja<\/label><label><input type=\"radio\" name=\"q4\" value=\"1\"> Deels<\/label><label><input type=\"radio\" name=\"q4\" value=\"0\"> Nee<\/label><\/div>\n    <\/div>\n\n    <div class=\"nis2-question\" data-gap=\"Voeg beveiligingsgates toe aan aankoop, ontwikkeling, wijzigingsbeheer, patching en vulnerability intake.\">\n      <strong>5. Veilige aankoop, ontwikkeling en onderhoud: zijn beveiligingschecks ingebed in change- en patchingworkflows?<\/strong>\n      <div class=\"nis2-options\"><label><input type=\"radio\" name=\"q5\" value=\"2\"> Ja<\/label><label><input type=\"radio\" name=\"q5\" value=\"1\"> Deels<\/label><label><input type=\"radio\" name=\"q5\" value=\"0\"> Nee<\/label><\/div>\n    <\/div>\n\n    <div class=\"nis2-question\" data-gap=\"Cre\u00eber een testcadans voor controls met vulnerability scans, toegangsreviews, back-uptests, tabletop-oefeningen of interne controlereviews.\">\n      <strong>6. Effectiviteitstesten: test u of cybersecuritymaatregelen daadwerkelijk werken?<\/strong>\n      <div class=\"nis2-options\"><label><input type=\"radio\" name=\"q6\" value=\"2\"> Ja<\/label><label><input type=\"radio\" name=\"q6\" value=\"1\"> Deels<\/label><label><input type=\"radio\" name=\"q6\" value=\"0\"> Nee<\/label><\/div>\n    <\/div>\n\n    <div class=\"nis2-question\" data-gap=\"Maak rolgerichte cyberhygi\u00ebnerichtlijnen, onboardingtraining, voltooiingsrecords en periodieke refreshers.\">\n      <strong>7. Cyberhygi\u00ebne en training: kunt u aantonen dat medewerkers relevante beveiligingsrichtlijnen krijgen?<\/strong>\n      <div class=\"nis2-options\"><label><input type=\"radio\" name=\"q7\" value=\"2\"> Ja<\/label><label><input type=\"radio\" name=\"q7\" value=\"1\"> Deels<\/label><label><input type=\"radio\" name=\"q7\" value=\"0\"> Nee<\/label><\/div>\n    <\/div>\n\n    <div class=\"nis2-question\" data-gap=\"Documenteer waar encryptie vereist is, bevestig TLS- en encryptie-at-rest-instellingen en leg het eigenaarschap voor key management op hoofdlijnen vast.\">\n      <strong>8. Cryptografie en encryptie: weet u waar encryptie wordt toegepast en waarom?<\/strong>\n      <div class=\"nis2-options\"><label><input type=\"radio\" name=\"q8\" value=\"2\"> Ja<\/label><label><input type=\"radio\" name=\"q8\" value=\"1\"> Deels<\/label><label><input type=\"radio\" name=\"q8\" value=\"0\"> Nee<\/label><\/div>\n    <\/div>\n\n    <div class=\"nis2-question\" data-gap=\"Versterk joiner\/mover\/leaver-controls, toegangsreviews, least privilege, assetinventaris en endpoint baseline-bewijs.\">\n      <strong>9. Toegangsbeheer, assetmanagement en HR-beveiliging: wordt toegang gedurende de volledige lifecycle beheerst, van onboarding tot offboarding?<\/strong>\n      <div class=\"nis2-options\"><label><input type=\"radio\" name=\"q9\" value=\"2\"> Ja<\/label><label><input type=\"radio\" name=\"q9\" value=\"1\"> Deels<\/label><label><input type=\"radio\" name=\"q9\" value=\"0\"> Nee<\/label><\/div>\n    <\/div>\n\n    <div class=\"nis2-question\" data-gap=\"Dwing MFA af voor kritieke systemen en adminaccounts, definieer veilige communicatiekanalen en test noodcommunicatie.\">\n      <strong>10. MFA en veilige communicatie: is MFA afgedwongen voor kritieke toegang en zijn noodcommunicatiekanalen gedefinieerd?<\/strong>\n      <div class=\"nis2-options\"><label><input type=\"radio\" name=\"q10\" value=\"2\"> Ja<\/label><label><input type=\"radio\" name=\"q10\" value=\"1\"> Deels<\/label><label><input type=\"radio\" name=\"q10\" value=\"0\"> Nee<\/label><\/div>\n    <\/div>\n\n    <button type=\"button\" class=\"nis2-score-btn\" id=\"nis2-score-btn\">Bereken readiness-score<\/button>\n    <button type=\"button\" class=\"nis2-reset-btn\" id=\"nis2-reset-btn\">Reset<\/button>\n  <\/form>\n\n  <div class=\"nis2-results\" id=\"nis2-results\" aria-live=\"polite\">\n    <div class=\"nis2-score\" id=\"nis2-score\"><\/div>\n    <p id=\"nis2-rating\"><\/p>\n    <strong>Prioritaire gaplijst<\/strong>\n    <ul class=\"nis2-gap-list\" id=\"nis2-gap-list\"><\/ul>\n    <p class=\"nis2-note\">Gebruik deze output als startpunt voor een interne readiness-discussie. Stem de uitkomst voor een formeel standpunt af op uw nationale implementatieregels, sectorrichtlijnen en juridisch advies.<\/p>\n  <\/div>\n\n  <script>\n    (function () {\n      var root = document.getElementById('nis2-article21-assessment');\n      if (!root) return;\n      var scoreBtn = root.querySelector('#nis2-score-btn');\n      var resetBtn = root.querySelector('#nis2-reset-btn');\n      var results = root.querySelector('#nis2-results');\n      var scoreEl = root.querySelector('#nis2-score');\n      var ratingEl = root.querySelector('#nis2-rating');\n      var gapList = root.querySelector('#nis2-gap-list');\n      var form = root.querySelector('#nis2-a21-form');\n\n      function rating(score) {\n        if (score < 40) return 'Grote gap: bouw eerst een basislijn. Start met eigenaarschap, MFA, incidentrespons, back-ups en leverancierszichtbaarheid.';\n        if (score < 70) return 'Gedeeltelijke readiness: de basis bestaat, maar meerdere controls hebben nog bewijs, eigenaren of tests nodig.';\n        if (score < 85) return 'Evidence pack in opbouw: focus op controltests, reviewcadans en het sluiten van resterende gaps v\u00f3\u00f3r externe review.';\n        return 'Sterke uitgangspositie: onderhoud de bewijscyclus, houd eigenaren toegewezen en review wijzigingen na incidenten, leverancierswijzigingen of grote releases.';\n      }\n\n      scoreBtn.addEventListener('click', function () {\n        var total = 0;\n        var answered = 0;\n        var gaps = [];\n        var questions = root.querySelectorAll('.nis2-question');\n\n        questions.forEach(function (question, index) {\n          var selected = question.querySelector('input[name=\"q' + (index + 1) + '\"]:checked');\n          if (selected) {\n            answered += 1;\n            total += parseInt(selected.value, 10);\n            if (selected.value !== '2') gaps.push(question.getAttribute('data-gap'));\n          } else {\n            gaps.push('Vraag ' + (index + 1) + ' is niet beantwoord. Bevestig de status van deze control voordat u op de score vertrouwt.');\n          }\n        });\n\n        var percent = Math.round((total \/ 20) * 100);\n        scoreEl.textContent = percent + '\/100';\n        ratingEl.textContent = answered < 10 ? 'U heeft ' + answered + ' van de 10 vragen beantwoord. ' + rating(percent) : rating(percent);\n        gapList.innerHTML = '';\n\n        if (gaps.length === 0) {\n          var li = document.createElement('li');\n          li.textContent = 'Geen directe gaps vanuit deze self-assessment. Valideer de kwaliteit van het bewijs en de reviewcyclus voordat u het resultaat als audit-ready beschouwt.';\n          gapList.appendChild(li);\n        } else {\n          gaps.forEach(function (gap) {\n            var li = document.createElement('li');\n            li.textContent = gap;\n            gapList.appendChild(li);\n          });\n        }\n\n        results.style.display = 'block';\n      });\n\n      resetBtn.addEventListener('click', function () {\n        form.reset();\n        results.style.display = 'none';\n        scoreEl.textContent = '';\n        ratingEl.textContent = '';\n        gapList.innerHTML = '';\n      });\n    })();\n  <\/script>\n<\/div>\n\n\n\n<p class=\" eplus-wrapper\">Als de assessment meerdere antwoorden \u201cDeels\u201d of \u201cNee\u201d oplevert, behandel dit dan als een prioriteringssignaal. De volgende stap is niet meer beleid schrijven. De volgende stap is bevestigen welke gaps het hoogste operationele of compliancerisico cre\u00ebren, eigenaren toewijzen en ze omzetten in een remediation-plan.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Maatregel_voor_maatregel_wat_het_betekent_en_welk_bewijs_u_moet_voorbereiden\"><\/span><strong>Maatregel voor maatregel: wat het betekent en welk bewijs u moet voorbereiden<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Risicoanalyse_beveiligingsbeleid\"><\/span><strong>Risicoanalyse &amp; beveiligingsbeleid<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">U moet cybersecurityrisico\u2019s voor kritieke systemen\/diensten identificeren en defini\u00ebren hoe ze worden beheerd. Bewijs moet laten zien dat risico\u2019s <strong>geprioriteerd en gereviewd<\/strong> worden, niet alleen beschreven.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Bewijsvoorbeelden:<\/strong> risicobeoordelingsrapport, risicoregister, beveiligingsbeleid (goedgekeurd), asset-\/service-inventaris, reviewnotities.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Incidentafhandeling\"><\/span><strong>Incidentafhandeling<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">U heeft een werkbaar incidentresponsproces nodig: rollen, escalatie, acties en leerloops. Toezichthouders kijken naar voorbereidheid: kan uw team het daadwerkelijk uitvoeren?<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Bewijsvoorbeelden:<\/strong> IR-plan, escalatiematrix, incidentlog\/tickets, template voor post-incident review, tabletop-notities.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Business_continuity_crisismanagement\"><\/span><strong>Business continuity &amp; crisismanagement<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">U moet de beschikbaarheid van diensten tijdens en na incidenten behouden. Back-ups die \u201cdraaien\u201d zijn niet genoeg \u2014 <strong>restoretesten<\/strong> is de geloofwaardigheidsmarker.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Bewijsvoorbeelden:<\/strong> back-upbeleid, restoretestresultaten, RTO\/RPO-definities, DR-runbook, crisiscommunicatieplan.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Supply_chain_security\"><\/span><strong>Supply chain security<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">U moet third-party risks beheren. Voor mkb-organisaties brengt een eenvoudige leveranciersinventaris + criticality rating + basisverwachtingen al veel duidelijkheid.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Bewijsvoorbeelden:<\/strong> leverancierslijst met criticality, security-addendum\/clausules, vendor review checklist, incidentcommunicatieprocedure.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Veilige_systeemverwerving_ontwikkeling_en_onderhoud\"><\/span><strong>Veilige systeemverwerving, ontwikkeling en onderhoud<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Security moet onderdeel zijn van hoe u systemen koopt, bouwt, wijzigt en patcht, niet iets dat later wordt toegevoegd. Mkb-organisaties hebben geen zware bureaucratie nodig, maar wel herhaalbare gates.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Bewijsvoorbeelden:<\/strong> secure SDLC-notities, changemanagementrecords, patchbeleid + SLA\u2019s, vulnerability intake\/disclosure channel.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Effectiviteitstesten_van_cybersecuritymaatregelen\"><\/span><strong>Effectiviteitstesten van cybersecuritymaatregelen<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">U moet verifi\u00ebren dat controls daadwerkelijk werken. De nadruk ligt op verbetering in de tijd, niet op constante pentests overal.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Bewijsvoorbeelden:<\/strong> scan-\/pentest-samenvattingen, interne reviewnotities, KPI-dashboard (MFA-dekking, patch-SLA, restoretests), actietracker.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Cyberhygiene_en_medewerkerstraining\"><\/span><strong>Cyberhygi\u00ebne en medewerkerstraining<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Awareness moet consistent en rolgericht zijn. Het bewijs is eenvoudig: materialen + aanwezigheid + onboarding-\/offboardingstappen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Bewijsvoorbeelden:<\/strong> trainingscontent, voltooiingslogs, phishing-simulatierapport (optioneel), JML-checklist.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Cryptografie_en_encryptie\"><\/span><strong>Cryptografie en encryptie<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Gebruik waar passend cryptografie om vertrouwelijkheid en integriteit te beschermen, vooral voor gevoelige data en adminverkeer.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Bewijsvoorbeelden:<\/strong> encryptiebeleid, TLS-instellingen, bewijs van encryptie-at-rest, key management-aanpak (op hoofdlijnen).<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Toegangsbeheer_assetmanagement_en_HR-beveiliging\"><\/span><strong>Toegangsbeheer, assetmanagement en HR-beveiliging<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Dit gaat over lifecycle-control: least privilege + joiner\/mover\/leaver-discipline + assetzichtbaarheid.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Bewijsvoorbeelden:<\/strong> toegangsreviewlogs, JML-proces, assetinventaris, endpoint-baseline-instellingen.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Multi-factor_authentication_en_veilige_communicatie\"><\/span><strong>Multi-factor authentication en veilige communicatie<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">MFA op kritieke systemen en admintoegang is een basisverwachting. Definieer ook veilige kanalen en noodcommunicatie.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>Bewijsvoorbeelden:<\/strong> screenshots\/configuraties van MFA-afdwinging, adminhardening, break-glass-controls, notities van noodcommunicatiedrills.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"%E2%80%9CMinimum_Viable_Evidence_Pack%E2%80%9D_voor_mkb_onder_NIS2_Artikel_21\"><\/span><strong>\u201cMinimum Viable Evidence Pack\u201d voor mkb onder NIS2 Artikel 21<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\" wp-block-image aligncenter size-full eplus-wrapper\"><img decoding=\"async\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/Minimum-Viable-Evidence-Pack.webp\" alt=\"Minimum Viable Evidence Pack\"\/><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Voor mkb-organisaties draait de vereiste van NIS2 Artikel 21 om het vermogen om <strong>control op een geloofwaardige, proportionele manier aan te tonen<\/strong>. Een <em>Minimum Viable Evidence Pack<\/em> is een gerichte set policies, records en technisch bewijs die samen laten zien dat u de vereiste cybersecurityrisicobeheersmaatregelen heeft ge\u00efmplementeerd, uitgevoerd en gereviewd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voordat veel mkb-organisaties een volledig evidence pack voor Artikel 21 bouwen, hebben zij eerst een security baseline nodig: welke controls werken al, welke gaps vragen remediation en welke acties moeten naar de komende 30\/60\/90 dagen. <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybercheck\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes CyberCheck<\/a><\/strong> ondersteunt dat startpunt door uw huidige posture te beoordelen en bevindingen om te zetten in een praktische remediation-roadmap.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Governance_Risk\"><\/span><strong>Governance &amp; Risk<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Cybersecurity_Risk_Assessment_Report\"><\/span><em>Cybersecurity Risk Assessment Report<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Identificeert de meest relevante cybersecurityrisico\u2019s voor systemen en diensten en prioriteert ze op basis van impact en waarschijnlijkheid. Laat zien dat securitybeslissingen risicogebaseerd zijn in plaats van generiek.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Information_Security_Policy_door_management_goedgekeurd\"><\/span><em>Information Security Policy (door management goedgekeurd)<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Definieert securitydoelen, rollen en principes, met duidelijke managementgoedkeuring. Toont accountability en governance op directieniveau.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Risk_Treatment_of_Remediation_Plan\"><\/span><em>Risk Treatment of Remediation Plan<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Koppelt ge\u00efdentificeerde risico\u2019s aan mitigerende acties, eigenaren en timelines. Laat zien dat risico\u2019s actief worden beheerd, niet alleen gedocumenteerd.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Asset_Inventory_systemen_data\"><\/span><em>Asset Inventory (systemen &amp; data)<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Lijst kritieke systemen, diensten en datatypes op. Vormt de basis voor toegangsbeheer, risicoanalyse en incidentrespons.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Incident_Continuity_Readiness\"><\/span><strong>Incident &amp; Continuity Readiness<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Incident_Response_Plan_met_NIS2-rapportageafstemming\"><\/span><em>Incident Response Plan (met NIS2-rapportageafstemming)<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Definieert hoe incidenten worden gedetecteerd, ge\u00ebscaleerd, beheerd en opgelost, inclusief beslisrollen en rapportagetriggers.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Incident_Log_of_Incident_Report_Template\"><\/span><em>Incident Log of Incident Report Template<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Biedt een gestructureerde manier om incidenten, root causes en lessons learned te documenteren. Kan records bevatten van tests of tabletop-oefeningen.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Business_Continuity_Back-upbewijs\"><\/span><em>Business Continuity \/ Back-upbewijs<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Laat zien dat back-ups bestaan en hersteld kunnen worden. Bevat meestal back-upbeleid en recente restoretestresultaten.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Technische_operationele_controls\"><\/span><strong>Technische &amp; operationele controls<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Access_Control_MFA_Evidence\"><\/span><em>Access Control &amp; MFA Evidence<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Toont aan dat toegang tot kritieke systemen is beperkt en beschermd met multi-factor authentication. Screenshots of configuratierecords zijn voor mkb-organisaties meestal voldoende.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Patch_Vulnerability_Management_Records\"><\/span><em>Patch &amp; Vulnerability Management Records<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Laat zien hoe kwetsbaarheden en patches worden ge\u00efdentificeerd, geprioriteerd en toegepast. Bevat policies en voorbeeldlogs of scanresultaten.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Secure_Configuration_of_Hardening_Evidence\"><\/span><em>Secure Configuration of Hardening Evidence<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Documenteert baseline beveiligingsconfiguraties voor systemen of endpoints. Tooloutputs of screenshots zijn acceptabel voor mkb-organisaties.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Encryption_of_Data_Protection_Evidence\"><\/span><em>Encryption of Data Protection Evidence<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Legt uit waar encryptie wordt toegepast (in transit en\/of at rest) en waarom. Ondersteund door beleid en configuratievoorbeelden.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Penetration_Test_of_Security_Assessment_Summary\"><\/span><em>Penetration Test of Security Assessment Summary<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Biedt bewijs dat securitycontrols op effectiviteit worden getest. Een executive-level samenvatting is voldoende.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Mensen_awareness\"><\/span><strong>Mensen &amp; awareness<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Cybersecurity_Awareness_Training_Materials\"><\/span><em>Cybersecurity Awareness Training Materials<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Slides, video\u2019s of content uit een leerplatform laten zien dat medewerkers richtlijnen krijgen over basis-cyberrisico\u2019s en verwacht gedrag.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Training_Attendance_Records\"><\/span><em>Training Attendance Records<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Deelnemerslijsten en voltooiingsdatums tonen aan dat training wordt geleverd en afgerond, met datums en deelnemers vastgelegd.<\/p>\n\n\n\n<h4 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Joiner_Mover_Leaver_Access_Checklist\"><\/span><em>Joiner \/ Mover \/ Leaver Access Checklist<\/em><span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p class=\" eplus-wrapper\">Bevestigt dat toegangsrechten consistent worden toegekend, gewijzigd en ingetrokken gedurende de volledige employee lifecycle.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Wilt u begrijpen hoe deze bewijsvereisten uit Artikel 21 passen binnen uw bredere NIS2-verplichtingen, lees dan onze <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-compliance-readiness-checklist-voor-eu-mkb\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 compliance checklist: 40 controles die EU-bedrijven kunnen gebruiken<\/a><\/strong> voor een gestructureerd end-to-end overzicht van wat u daarna moet doen.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Drie_veelvoorkomende_gaps_in_Artikel_21-readiness\"><\/span><strong>Drie veelvoorkomende gaps in Artikel 21-readiness<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Controls_bestaan_maar_zijn_niet_gedocumenteerd\"><\/span>Controls bestaan, maar zijn niet gedocumenteerd<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Securitymaatregelen worden vaak informeel ge\u00efmplementeerd: MFA staat aan, back-ups draaien, toegang is beperkt, maar niets is vastgelegd. Zonder documentatie zijn deze controls moeilijk uit te leggen, te reviewen of te verdedigen. Toezichthouders beoordelen wat kan worden aangetoond, niet wat wordt verondersteld te bestaan.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Leveranciersrisicos_zijn_niet_beoordeeld\"><\/span>Leveranciersrisico\u2019s zijn niet beoordeeld<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Veel organisaties leunen zwaar op derde partijen, maar hebben weinig zicht op welke leveranciers kritiek zijn of hoe hun risico\u2019s worden beheerd. Contracten zeggen soms niets over security, en incidentscenario\u2019s met leveranciers worden zelden meegenomen. Onder Artikel 21 is dit een duidelijke en terugkerende zwakte.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Geen_bewijs_van_effectiviteitstesten\"><\/span>Geen bewijs van effectiviteitstesten<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Zelfs wanneer controls bestaan en gedocumenteerd zijn, kunnen organisaties vaak niet laten zien dat ze werken. Back-ups zijn niet getest, incidentplannen zijn niet geoefend en kwetsbaarheden worden niet systematisch gereviewd. Artikel 21 verwacht bewijs van testen, review en verbetering \u2014 geen statische controls.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Voorbereiden_op_Artikel_21_zonder_over-engineering\"><\/span><strong>Voorbereiden op Artikel 21 zonder over-engineering<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\" wp-block-image aligncenter size-full eplus-wrapper\"><img decoding=\"async\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-controls.webp\" alt=\"NIS2-controls\"\/><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Artikel 21 verwacht niet dat mkb-organisaties enterprise-grade securityprogramma\u2019s bouwen. Het vereist expliciet <strong>passende en proportionele maatregelen<\/strong>, rekening houdend met risicoblootstelling, omvang en implementatiekosten. De uitdaging voor de meeste organisaties is <em>hoe u precies genoeg doet \u2014 en niet meer \u2014 terwijl het nog steeds verdedigbaar blijft<\/em>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een praktische manier om dit aan te pakken is Artikel 21 te vertalen naar vier eenvoudige vragen voor elke vereiste maatregel:<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-0ea035\">\n<li class=\" eplus-wrapper\"><strong>Wat moeten we implementeren?<\/strong><\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>Hoe bewijzen we het?<\/strong><\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>Wie is eigenaar?<\/strong><\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>Hoeveel inspanning kost het realistisch?<\/strong><\/li>\n<\/ul>\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Een_praktische_mapping_maatregel_%E2%86%92_bewijs_%E2%86%92_eigenaar_%E2%86%92_inspanning\"><\/span><strong>Een praktische mapping: maatregel \u2192 bewijs \u2192 eigenaar \u2192 inspanning<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Deze mapping verandert Artikel 21 van juridische tekst in een operationele roadmap.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-f30b1b\">\n<li class=\" eplus-wrapper\"><strong>Maatregel:<\/strong> wat Artikel 21(2)(a)\u2013(j) expliciet vereist dat u adresseert.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>Bewijs:<\/strong> wat toezichthouders, auditors of klanten redelijkerwijs kunnen controleren om te bevestigen dat de maatregel is ge\u00efmplementeerd en werkt.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>Eigenaar:<\/strong> de persoon die verantwoordelijk is voor het onderhouden van de maatregel en het bewijs. In mkb-organisaties is dit vaak \u00e9\u00e9n persoon met meerdere petten, bijvoorbeeld een IT Manager die ook Security Lead is.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>Typische inspanning:<\/strong> een realistische inschatting van het werk dat nodig is om een verdedigbare basislijn te bereiken, niet theoretische volwassenheid.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">Deze aanpak zorgt ervoor dat elke vereiste een duidelijk doel, bewijs en accountable owner heeft, waardoor duplicatie en onnodig werk worden verminderd.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"De_inspanningsschaal_begrijpen_mkb-reality_check\"><\/span><strong>De inspanningsschaal begrijpen (mkb-reality check)<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Om over-engineering te voorkomen, moet inspanning consistent worden beoordeeld:<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-ee8311\">\n<li class=\" eplus-wrapper\"><strong>S (Small): 1\u20135 werkdagen<\/strong><br>Vooral documentatie, lichte configuratie of het formaliseren van wat al bestaat.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>M (Medium): 2\u20136 weken<\/strong><br>Procesdefinitie, toolingverbeteringen, evidence setup en basistesten.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong>L (Large): 6\u201312+ weken<\/strong><br>Cross-team co\u00f6rdinatie, architectuurwijzigingen, nieuwe tooling of herhaalde testcycli.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">Voor de meeste mkb-organisaties valt het grootste deel van de Artikel 21-maatregelen in <strong>Small of Medium<\/strong> wanneer ze pragmatisch worden aangepakt.<\/p>\n\n\n\n<figure class=\"is-style-stripes eplus-wrapper wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th><strong>Maatregel (Artikel 21(2))<\/strong><\/th><th><strong>Bewijs (wat auditors\/kopers kunnen controleren)<\/strong><\/th><th><strong>Eigenaar (typisch mkb)<\/strong><\/th><th><strong>Typische inspanning<\/strong><\/th><\/tr><\/thead><tbody><tr><td>(a) Beleid voor risicoanalyse &amp; beveiliging van informatiesystemen<\/td><td>Risicoregister (toprisico\u2019s + behandeling); set beveiligingsbeleid; asset-\/service-inventaris; periodieke risicoreviewnotities<\/td><td>Security Lead \/ IT Manager + CTO-sponsor<\/td><td>M<\/td><\/tr><tr><td>(b) Incidentafhandeling<\/td><td>Incidentresponsplan + rollen; escalatiematrix; incidentticketrecords; post-incident review-template; on-callproces<\/td><td>Security Lead + Engineering Lead<\/td><td>M<\/td><\/tr><tr><td>(c) Business continuity (back-up\/DR) &amp; crisismanagement<\/td><td>Back-upbeleid; restoretestresultaten; RTO\/RPO-doelen; DR-runbook; crisiscommunicatieplan<\/td><td>IT Ops \/ Platform Lead<\/td><td>M\u2013L (afhankelijk van systemen)<\/td><\/tr><tr><td>(d) Supply chain security (directe leveranciers\/providers)<\/td><td>Leveranciersinventaris + criticality; securityclausules in contracten; vendor review checklist; gevolgde bewijsverzoeken; third-party incidentcommunicatieproces<\/td><td>Procurement\/Operations + Security Lead<\/td><td>M<\/td><\/tr><tr><td>(e) Security in systeemverwerving, ontwikkeling en onderhoud<\/td><td>SDLC\/security-gates; changemanagementrecords; vulnerability management-procedure; patch-SLA\u2019s; vulnerability disclosure\/contact channel<\/td><td>Engineering Lead + AppSec \/ Security Lead<\/td><td>M\u2013L<\/td><\/tr><tr><td>(f) Effectiviteit van maatregelen beoordelen (testen\/meten)<\/td><td>KPI-dashboard (patch-SLA, MFA-dekking, back-uptests); interne audits; pentest\/scans indien gebruikt; actietracker<\/td><td>Security Lead + CTO<\/td><td>S\u2013M<\/td><\/tr><tr><td>(g) Basis cyberhygi\u00ebne &amp; cybersecuritytraining<\/td><td>Security awareness policy; trainingsvoltooiingsrecords; phishing-simulaties (optioneel); onboarding-\/offboardingchecklist<\/td><td>HR\/People Ops + Security Lead<\/td><td>S\u2013M<\/td><\/tr><tr><td>(h) Cryptografie &amp; encryptie (waar passend)<\/td><td>Encryptie-at-rest\/in-transit-instellingen; key management-aanpak; TLS-configs; dataclassificatie + \u201cwat moet worden versleuteld\u201d<\/td><td>IT Ops \/ Platform Lead<\/td><td>S\u2013M<\/td><\/tr><tr><td>(i) HR-beveiliging, toegangsbeheerbeleid &amp; assetmanagement<\/td><td>Joiner-Mover-Leaver-proces; toegangsreviewlogs; least-privilegebeleid; assetinventaris; endpoint baseline<\/td><td>IT Manager + HR<\/td><td>M<\/td><\/tr><tr><td>(j) MFA\/continuous authentication + beveiligde communicatie + noodcommunicatie (waar passend)<\/td><td>MFA afgedwongen voor kernsystemen; hardening van admintoegang; beleid voor veilige communicatietools; break-glass-accounts; noodkanaaldrill<\/td><td>IT Manager \/ Security Lead<\/td><td>S\u2013M<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_Sunbytes_NIS2_Artikel_21_Compliance_Readiness_ondersteunt\"><\/span><strong>Hoe Sunbytes NIS2 Artikel 21 Compliance Readiness ondersteunt<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Sunbytes hanteert een <strong>evidence-first, regulator-aligned aanpak<\/strong> voor NIS2 Artikel 21-readiness. We focussen op wat autoriteiten, auditors en klanten daadwerkelijk vragen: duidelijke risicoredenering, operationeel bewijs en realistische prioritering. Ons Secure by Design-werk brengt beleid, controls, technische remediation en bewijsstructuur samen, zodat teams compliancewerk kunnen uitvoeren zonder delivery onnodig te vertragen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Weet u niet zeker waar de echte gaps zitten, start dan met <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybercheck\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes CyberCheck<\/a><\/strong> om een baseline en remediation-roadmap vast te stellen. Kent u de gaps al en moet u audit-ready bewijs opbouwen, dan richt <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/sunbytes-compliance-readiness\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes Compliance Readiness<\/a><\/strong> zich op evidence packs, controle-eigenaarschap en geprioriteerde remediation die is afgestemd op de vereisten van NIS2 Artikel 21.<\/p>\n\n\n\n<div class=\"eplus-wrapper wp-block-group has-background is-layout-flow wp-block-group-is-layout-flow\" style=\"border-left-color:#111A4D;border-left-width:4px;background-color:#EEF3FF;padding-top:16px;padding-right:18px;padding-bottom:16px;padding-left:18px\">\n<p class=\" eplus-wrapper\">Wilt u weten of u moet starten met een baseline-assessment of direct met evidence pack-opbouw?<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong><a href=\"#contact\">Plan een gratis gesprek met Sunbytes \u2192<\/a><\/strong><\/p>\n<\/div>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Voor_Nederlandse_lezers_wat_veranderde_er_in_juni_2026\"><\/span><strong>Voor Nederlandse lezers: wat veranderde er in juni 2026?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">De belangrijkste verandering is duidelijkheid over timing. De Cyberbeveiligingswet was aangenomen door de Tweede Kamer en was in juni 2026 nog in behandeling bij de Eerste Kamer. Dat betekent dat Nederlandse organisaties voorzichtig moeten zijn met claims over definitieve compliance onder de Cbw, maar niet moeten wachten met voorbereiding. Artikel 21-bewijs \u2014 risicoanalyse, incidentrespons, business continuity, supply chain security, access control, MFA en testrecords \u2014 blijft het praktische fundament om readiness aan te tonen zodra nationale verplichtingen van kracht worden.<\/p>\n\n\n<div\n    class=\"block-faq row justify-content-lg-center \"\n    id=\"block_b061b752c910e6c777c5a0e675206365\"\n  >\n    <div class=\"col-lg-10\">\n      <h2 class=\"block-faq__title\"><span class=\"ez-toc-section\" id=\"FAQs\"><\/span>FAQs<span class=\"ez-toc-section-end\"><\/span><\/h2>\n      <div class=\"block-faq__content\" id=\"faq-accordion\">\n                              <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-0\" aria-expanded=\"false\" aria-controls=\"faq-0\">\n                Hebben we alle 10 gebieden op de eerste dag nodig?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-0\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Niet per se &#8220;perfect&#8221;, maar streef ernaar om alle 10 meetgebieden op een basisniveau te dekken, omdat artikel 21(2) ze als minimumgebieden noemt.<\/p>\n<p>Een praktische aanpak voor mkb&#8217;s:<\/p>\n<p>Week 1-2: bepaal verantwoordelijkheden + minimale beleidsregels + structuur voor bewijsmateriaal<br \/>\nWeek 3-6: implementeer de beheersmaatregelen met het hoogste risico (MFA, back-up-\/hersteltesten, afhandeling van kwetsbaarheden)<br \/>\nDoorlopend: verbeter de volwassenheid met meetbare KPI&#8217;s en periodieke evaluaties<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-1\" aria-expanded=\"false\" aria-controls=\"faq-1\">\n                Wat wordt voor het mkb als &quot;evenredig&quot; beschouwd?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-1\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>NIS2 omschrijft maatregelen duidelijk als &#8220;passend en proportioneel&#8221; en benadrukt factoren zoals de stand van de techniek, relevante normen, implementatiekosten, uw risicoblootstelling, omvang en potenti\u00eble impact van incidenten.<\/p>\n<p>In de praktijk betekent &#8220;proportioneel&#8221; meestal:<\/p>\n<p>U kunt rechtvaardigen waarom een \u200b\u200bmaatregel op een bepaalde manier wordt ge\u00efmplementeerd (risicogebaseerd)<br \/>\nU hebt bewijs dat de maatregel werkt (niet alleen een beleidsdocument)<br \/>\nU geeft prioriteit aan beheersmaatregelen die waarschijnlijke\/risico&#8217;s met grote impact verminderen<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-2\" aria-expanded=\"false\" aria-controls=\"faq-2\">\n                Als we al voldoen aan ISO 27001, zijn we dan automatisch NIS2-klaar?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-2\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>ISO 27001 kan veel helpen, maar de gereedheid voor NIS2 hangt nog steeds af van de reikwijdte, de specifieke verplichtingen en het bewijs van operationele ervaring. NIS2 legt ook de nadruk op termijnen voor incidentrapportage (artikel 23) en praktijken in de toeleveringsketen. Beschouw ISO als een solide basis en valideer vervolgens eventuele tekortkomingen aan de hand van artikel 21\/23 en lokale implementatieregels.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-3\" aria-expanded=\"false\" aria-controls=\"faq-3\">\n                Wat is het verschil tussen &quot;een beleid hebben&quot; en &quot;klaar zijn met bewijsmateriaal&quot;?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-3\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Een beleid beschrijft de intentie. Bewijs toont aan dat de controle daadwerkelijk en herhaalbaar is.<\/p>\n<p>Voorbeeld: &#8220;We maken back-ups&#8221; (beleid) versus testresultaten van het herstelproces + RTO\/RPO + runbook + de laatste 3 testtickets (bewijs). Bewijslevering is vaak het eerste waar inkoopteams en auditors naar vragen.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                        <\/div>\n    <\/div>\n  <\/div>\n\n\n\n<div style=\"height:47px\" aria-hidden=\"true\" id=\"contact\" class=\"contact wp-block-spacer eplus-wrapper\"><\/div>\n\n\n<section\n    class=\"conversion-form \"\n    id=\"block_6e89f987316d0e9610cfa53622463c85\"\n    style=\"background-image: url(https:\/\/sunbytes.io\/app\/uploads\/2018\/05\/background-network-1.png)\"\n  >\n    <div class=\"container\">\n      <div class=\"row justify-content-md-center\">\n        <div class=\"col-md-10 col-lg-8\">\n          <div class=\"conversion-form__inner\">\n            <div class=\"col-12 col-sm-10 offset-sm-1\">\n              <h2 class=\"conversion-form__title\"><span class=\"ez-toc-section\" id=\"Laten_we_beginnen_met_Sunbytes\"><\/span>Laten we beginnen met Sunbytes<span class=\"ez-toc-section-end\"><\/span><\/h2>\n                              <p>Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.<\/p>\n                                            <script type=\"text\/javascript\">var gform;gform||(document.addEventListener(\"gform_main_scripts_loaded\",function(){gform.scriptsLoaded=!0}),window.addEventListener(\"DOMContentLoaded\",function(){gform.domLoaded=!0}),gform={domLoaded:!1,scriptsLoaded:!1,initializeOnLoaded:function(o){gform.domLoaded&&gform.scriptsLoaded?o():!gform.domLoaded&&gform.scriptsLoaded?window.addEventListener(\"DOMContentLoaded\",o):document.addEventListener(\"gform_main_scripts_loaded\",o)},hooks:{action:{},filter:{}},addAction:function(o,n,r,t){gform.addHook(\"action\",o,n,r,t)},addFilter:function(o,n,r,t){gform.addHook(\"filter\",o,n,r,t)},doAction:function(o){gform.doHook(\"action\",o,arguments)},applyFilters:function(o){return gform.doHook(\"filter\",o,arguments)},removeAction:function(o,n){gform.removeHook(\"action\",o,n)},removeFilter:function(o,n,r){gform.removeHook(\"filter\",o,n,r)},addHook:function(o,n,r,t,i){null==gform.hooks[o][n]&&(gform.hooks[o][n]=[]);var e=gform.hooks[o][n];null==i&&(i=n+\"_\"+e.length),gform.hooks[o][n].push({tag:i,callable:r,priority:t=null==t?10:t})},doHook:function(n,o,r){var t;if(r=Array.prototype.slice.call(r,1),null!=gform.hooks[n][o]&&((o=gform.hooks[n][o]).sort(function(o,n){return o.priority-n.priority}),o.forEach(function(o){\"function\"!=typeof(t=o.callable)&&(t=window[t]),\"action\"==n?t.apply(null,r):r[0]=t.apply(null,r)})),\"filter\"==n)return r[0]},removeHook:function(o,n,t,i){var r;null!=gform.hooks[o][n]&&(r=(r=gform.hooks[o][n]).filter(function(o,n,r){return!!(null!=i&&i!=o.tag||null!=t&&t!=o.priority)}),gform.hooks[o][n]=r)}});<\/script>\n                <div class='gf_browser_gecko gform_wrapper gravity-theme gform-theme--no-framework' data-form-theme='gravity-theme' data-form-index='0' id='gform_wrapper_11' ><div id='gf_11' class='gform_anchor' tabindex='-1'><\/div><form method='post' enctype='multipart\/form-data' target='gform_ajax_frame_11' id='gform_11'  action='\/nl\/wp-json\/wp\/v2\/posts\/27508#gf_11' data-formid='11' novalidate> \r\n <input type='hidden' class='gforms-pum' value='{\"closepopup\":false,\"closedelay\":0,\"openpopup\":false,\"openpopup_id\":0}' \/>\n                        <div class='gform-body gform_body'><div id='gform_fields_11' class='gform_fields top_label form_sublabel_below description_below'><div id=\"field_11_12\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-full hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_12\" ><label class='gfield_label gform-field-label' for='input_11_12'>Uw naam<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_12' id='input_11_12' type='text' value='' class='large'    placeholder='Uw naam' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_2\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_2\" ><label class='gfield_label gform-field-label' for='input_11_2'>Organization<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_2' id='input_11_2' type='text' value='' class='large'    placeholder='Organisatie' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_16\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_16\" ><label class='gfield_label gform-field-label' for='input_11_16'>Functietitel<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_16' id='input_11_16' type='text' value='' class='large'    placeholder='Functietitel' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_3\" class=\"gfield gfield--type-email gfield--input-type-email gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_3\" ><label class='gfield_label gform-field-label' for='input_11_3'>Email<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_email'>\n                            <input name='input_3' id='input_11_3' type='email' value='' class='large'   placeholder='E-mailadres' aria-required=\"true\" aria-invalid=\"false\"  \/>\n                        <\/div><\/div><div id=\"field_11_13\" class=\"gfield gfield--type-phone gfield--input-type-phone gfield--width-half field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_13\" ><label class='gfield_label gform-field-label' for='input_11_13'>Phone<\/label><div class='ginput_container ginput_container_phone'><input name='input_13' id='input_11_13' type='tel' value='' class='large'  placeholder='Telefoonnummer'  aria-invalid=\"false\"   \/><\/div><\/div><div id=\"field_11_17\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_17\" ><label class='gfield_label gform-field-label' for='input_11_17'>Land<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_17' id='input_11_17' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Land<\/option><option value='Australia\/New Zealand (ANZ)' >Australia\/New Zealand (ANZ)<\/option><option value='Canada' >Canada<\/option><option value='Germany' >Germany<\/option><option value='Hong Kong' >Hong Kong<\/option><option value='Netherlands' >Netherlands<\/option><option value='Singapore' >Singapore<\/option><option value='United Kingdom' >United Kingdom<\/option><option value='United States of America' >United States of America<\/option><option value='Vietnam' >Vietnam<\/option><option value='Anders...' >Anders...<\/option><\/select><\/div><\/div><div id=\"field_11_11\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_11\" ><label class='gfield_label gform-field-label' for='input_11_11'>Requirements<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_11' id='input_11_11' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Waar heeft u interesse in?<\/option><option value='Maatwerk Software ontwikkeling' >Maatwerk Software ontwikkeling<\/option><option value='Dedicated specialisten' >Dedicated specialisten<\/option><option value='Cybersecurity diensten' >Cybersecurity diensten<\/option><option value='HR Diensten' >HR Diensten<\/option><option value='Anders...' >Anders...<\/option><\/select><\/div><\/div><div id=\"field_11_18\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_18\" ><label class='gfield_label gform-field-label' for='input_11_18'>Hoe heb je over ons gehoord?<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_18' id='input_11_18' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Hoe heb je over ons gehoord?<\/option><option value='LinkedIn' >LinkedIn<\/option><option value='Clutch' >Clutch<\/option><option value='Newsletter' >Newsletter<\/option><option value='Doorverwijzing' >Doorverwijzing<\/option><option value='Zoekmachine (Google, Bing, etc)' >Zoekmachine (Google, Bing, etc)<\/option><option value='Email' >Email<\/option><option value='Anders...' >Anders...<\/option><\/select><\/div><\/div><div id=\"field_11_19\" class=\"gfield gfield--type-textarea gfield--input-type-textarea gfield--width-full field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_19\" ><label class='gfield_label gform-field-label' for='input_11_19'>Aanvullende informatie over uw verzoek.<\/label><div class='ginput_container ginput_container_textarea'><textarea name='input_19' id='input_11_19' class='textarea large'    placeholder='Aanvullende informatie over uw verzoek.'  aria-invalid=\"false\"   rows='10' cols='50'><\/textarea><\/div><\/div><fieldset id=\"field_11_7\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree mb-0 gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_7\" ><legend class='gfield_label gform-field-label screen-reader-text gfield_label_before_complex' ><span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_7'><div class='gchoice gchoice_11_7_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_7.1' type='checkbox'  value='Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.'  id='choice_11_7_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_7_1' id='label_11_7_1' class='gform-field-label gform-field-label--type-inline'>Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.<\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><fieldset id=\"field_11_14\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_14\" ><legend class='gfield_label gform-field-label gfield_label_before_complex' >Untitled<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_14'><div class='gchoice gchoice_11_14_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_14.1' type='checkbox'  value='Ik ga akkoord met &lt;a href=&quot;https:\/\/sunbytes.io\/general-terms-and-conditions\/&quot;&gt;de algemene voorwaarden &lt;\/a&gt;'  id='choice_11_14_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_14_1' id='label_11_14_1' class='gform-field-label gform-field-label--type-inline'>Ik ga akkoord met <a href=\"https:\/\/sunbytes.io\/general-terms-and-conditions\/\">de algemene voorwaarden <\/a><\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><div id=\"field_11_15\" class=\"gfield gfield--type-captcha gfield--input-type-captcha gfield--width-full d-none field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_15\" ><label class='gfield_label gform-field-label' for='input_11_15'>Captcha<\/label><div id='input_11_15' class='ginput_container ginput_recaptcha' data-sitekey='6LeTwBcdAAAAAKDurfTYCHGQQNGUBiDURxfjNI3V'  data-theme='light' data-tabindex='-1' data-size='invisible' data-badge='bottomright'><\/div><\/div><div id=\"field_11_20\" class=\"gfield gfield--type-honeypot gform_validation_container field_sublabel_below gfield--has-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_20\" ><label class='gfield_label gform-field-label' for='input_11_20'>Phone<\/label><div class='ginput_container'><input name='input_20' id='input_11_20' type='text' value='' autocomplete='new-password'\/><\/div><div class='gfield_description' id='gfield_description_11_20'>Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.<\/div><\/div><\/div><\/div>\n        <div class='gform_footer top_label'> <input type='submit' id='gform_submit_button_11' class='gform_button button' value='Verstuur!'  onclick='if(window[\"gf_submitting_11\"]){return false;}  if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  ' onkeypress='if( event.keyCode == 13 ){ if(window[\"gf_submitting_11\"]){return false;} if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  jQuery(\"#gform_11\").trigger(\"submit\",[true]); }' \/> <input type='hidden' name='gform_ajax' value='form_id=11&amp;title=&amp;description=&amp;tabindex=0&amp;theme=gravity-theme' \/>\n            <input type='hidden' class='gform_hidden' name='is_submit_11' value='1' \/>\n            <input type='hidden' class='gform_hidden' name='gform_submit' value='11' \/>\n            \n            <input type='hidden' class='gform_hidden' name='gform_unique_id' value='' \/>\n            <input type='hidden' class='gform_hidden' name='state_11' value='WyJbXSIsImMzZmY3ZDRjNjM0NWY0MGNlNjVlNjMzNWJlZThmMWVlIl0=' \/>\n            <input type='hidden' class='gform_hidden' name='gform_target_page_number_11' id='gform_target_page_number_11' value='0' \/>\n            <input type='hidden' class='gform_hidden' name='gform_source_page_number_11' id='gform_source_page_number_11' value='1' \/>\n            <input type='hidden' name='gform_field_values' value='' \/>\n            \n        <\/div>\n                        <p style=\"display: none !important;\" class=\"akismet-fields-container\" data-prefix=\"ak_\"><label>&#916;<textarea name=\"ak_hp_textarea\" cols=\"45\" rows=\"8\" maxlength=\"100\"><\/textarea><\/label><input type=\"hidden\" id=\"ak_js_1\" name=\"ak_js\" value=\"237\"\/><script>document.getElementById( \"ak_js_1\" ).setAttribute( \"value\", ( new Date() ).getTime() );<\/script><\/p><\/form>\n                        <\/div>\n\t\t                <iframe style='display:none;width:0px;height:0px;' src='about:blank' name='gform_ajax_frame_11' id='gform_ajax_frame_11' title='Dit iframe bevat de vereiste logica om Ajax aangedreven Gravity Forms te verwerken.'><\/iframe>\n\t\t                <script type=\"text\/javascript\">\n\/* <![CDATA[ *\/\n gform.initializeOnLoaded( function() {gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery('#gform_ajax_frame_11').on('load',function(){var contents = jQuery(this).contents().find('*').html();var is_postback = contents.indexOf('GF_AJAX_POSTBACK') >= 0;if(!is_postback){return;}var form_content = jQuery(this).contents().find('#gform_wrapper_11');var is_confirmation = jQuery(this).contents().find('#gform_confirmation_wrapper_11').length > 0;var is_redirect = contents.indexOf('gformRedirect(){') >= 0;var is_form = form_content.length > 0 && ! is_redirect && ! is_confirmation;var mt = parseInt(jQuery('html').css('margin-top'), 10) + parseInt(jQuery('body').css('margin-top'), 10) + 100;if(is_form){jQuery('#gform_wrapper_11').html(form_content.html());if(form_content.hasClass('gform_validation_error')){jQuery('#gform_wrapper_11').addClass('gform_validation_error');} else {jQuery('#gform_wrapper_11').removeClass('gform_validation_error');}setTimeout( function() { \/* delay the scroll by 50 milliseconds to fix a bug in chrome *\/ jQuery(document).scrollTop(jQuery('#gform_wrapper_11').offset().top - mt); }, 50 );if(window['gformInitDatepicker']) {gformInitDatepicker();}if(window['gformInitPriceFields']) {gformInitPriceFields();}var current_page = jQuery('#gform_source_page_number_11').val();gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery(document).trigger('gform_page_loaded', [11, current_page]);window['gf_submitting_11'] = false;}else if(!is_redirect){var confirmation_content = jQuery(this).contents().find('.GF_AJAX_POSTBACK').html();if(!confirmation_content){confirmation_content = contents;}setTimeout(function(){jQuery('#gform_wrapper_11').replaceWith(confirmation_content);jQuery(document).scrollTop(jQuery('#gf_11').offset().top - mt);jQuery(document).trigger('gform_confirmation_loaded', [11]);window['gf_submitting_11'] = false;wp.a11y.speak(jQuery('#gform_confirmation_message_11').text());}, 50);}else{jQuery('#gform_11').append(contents);if(window['gformRedirect']) {gformRedirect();}}jQuery(document).trigger(\"gform_pre_post_render\", [{ formId: \"11\", currentPage: \"current_page\", abort: function() { this.preventDefault(); } }]);                if (event.defaultPrevented) {                return;         }        const gformWrapperDiv = document.getElementById( \"gform_wrapper_11\" );        if ( gformWrapperDiv ) {            const visibilitySpan = document.createElement( \"span\" );            visibilitySpan.id = \"gform_visibility_test_11\";            gformWrapperDiv.insertAdjacentElement( \"afterend\", visibilitySpan );        }        const visibilityTestDiv = document.getElementById( \"gform_visibility_test_11\" );        let postRenderFired = false;                function triggerPostRender() {            if ( postRenderFired ) {                return;            }            postRenderFired = true;            jQuery( document ).trigger( 'gform_post_render', [11, current_page] );            gform.utils.trigger( { event: 'gform\/postRender', native: false, data: { formId: 11, currentPage: current_page } } );            if ( visibilityTestDiv ) {                visibilityTestDiv.parentNode.removeChild( visibilityTestDiv );            }        }        function debounce( func, wait, immediate ) {            var timeout;            return function() {                var context = this, args = arguments;                var later = function() {                    timeout = null;                    if ( !immediate ) func.apply( context, args );                };                var callNow = immediate && !timeout;                clearTimeout( timeout );                timeout = setTimeout( later, wait );                if ( callNow ) func.apply( context, args );            };        }        const debouncedTriggerPostRender = debounce( function() {            triggerPostRender();        }, 200 );        if ( visibilityTestDiv && visibilityTestDiv.offsetParent === null ) {            const observer = new MutationObserver( ( mutations ) => {                mutations.forEach( ( mutation ) => {                    if ( mutation.type === 'attributes' && visibilityTestDiv.offsetParent !== null ) {                        debouncedTriggerPostRender();                        observer.disconnect();                    }                });            });            observer.observe( document.body, {                attributes: true,                childList: false,                subtree: true,                attributeFilter: [ 'style', 'class' ],            });        } else {            triggerPostRender();        }    } );} ); \n\/* ]]> *\/\n<\/script>\n\n                          <\/div>\n          <\/div>\n        <\/div>\n      <\/div>\n    <\/div>\n  <\/section>\n","protected":false},"excerpt":{"rendered":"<p>Onder de NIS2-richtlijn is Artikel 21 het punt waarop \u201cwe nemen beveiliging serieus\u201d verandert in \u201cbewijs het\u201d. De vereisten van Artikel 21 bepalen de minimale cybersecurityrisicobeheersmaatregelen die organisaties binnen scope moeten implementeren en in de praktijk moeten kunnen aantonen. EU-lidstaten kunnen verschillen in hoe zij NIS2 omzetten naar nationaal recht, maar de bedoeling van Artikel &hellip; <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\">Read more<\/a><\/p>\n","protected":false},"author":15,"featured_media":27427,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"editor_plus_copied_stylings":"{}","footnotes":""},"categories":[18,110],"tags":[],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.9 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>NIS2 Artikel 21: 10 beveiligingsmaatregelen voor implementatie (update 2026)<\/title>\n<meta name=\"description\" content=\"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\" \/>\n<meta property=\"og:locale\" content=\"nl_NL\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"NIS2 Artikel 21: 10 beveiligingsmaatregelen voor implementatie (update 2026)\" \/>\n<meta property=\"og:description\" content=\"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\" \/>\n<meta property=\"og:site_name\" content=\"Tech and Talent Solutions - Sunbytes\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/sunbytes\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-01-20T06:11:48+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-06-30T04:04:41+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Compliance-Readiness-for-EU-SMEs.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"628\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Uyen Pham\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:site\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:label1\" content=\"Geschreven door\" \/>\n\t<meta name=\"twitter:data1\" content=\"Uyen Pham\" \/>\n\t<meta name=\"twitter:label2\" content=\"Geschatte leestijd\" \/>\n\t<meta name=\"twitter:data2\" content=\"13 minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Organization\",\"name\":\"Sunbytes\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"contentUrl\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"width\":512,\"height\":512,\"caption\":\"Sunbytes\"},\"image\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/sunbytes\/\",\"https:\/\/twitter.com\/sunbytes\",\"https:\/\/www.linkedin.com\/company\/sunbytes\/\",\"https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/\"],\"knowsAbout\":[\"HR Solutions\",\"Payroll service\",\"EOR service\",\"Tech services\",\"Security services\"]},{\"@type\":\"Article\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\"},\"author\":{\"name\":\"Uyen Pham\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\"},\"headline\":\"NIS2 Artikel 21: 10 beveiligingsmaatregelen die moeten worden ge\u00efmplementeerd (update 2026)\",\"datePublished\":\"2026-01-20T06:11:48+00:00\",\"dateModified\":\"2026-06-30T04:04:41+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\"},\"wordCount\":2763,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"articleSection\":[\"Blog\",\"Cyberbeveiliging\"],\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\",\"url\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\",\"name\":\"NIS2 Artikel 21: 10 beveiligingsmaatregelen voor implementatie (update 2026)\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\"},\"datePublished\":\"2026-01-20T06:11:48+00:00\",\"dateModified\":\"2026-06-30T04:04:41+00:00\",\"description\":\"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.\",\"breadcrumb\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#breadcrumb\"},\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/sunbytes.io\/nl\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Blog\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Cyberbeveiliging\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"NIS2 Artikel 21: 10 beveiligingsmaatregelen die moeten worden ge\u00efmplementeerd (update 2026)\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"name\":\"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate\",\"description\":\"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt\",\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/sunbytes.io\/nl\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"nl\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\",\"name\":\"Uyen Pham\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"caption\":\"Uyen Pham\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"NIS2 Artikel 21: 10 beveiligingsmaatregelen voor implementatie (update 2026)","description":"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/","og_locale":"nl_NL","og_type":"article","og_title":"NIS2 Artikel 21: 10 beveiligingsmaatregelen voor implementatie (update 2026)","og_description":"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.","og_url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/","og_site_name":"Tech and Talent Solutions - Sunbytes","article_publisher":"https:\/\/www.facebook.com\/sunbytes\/","article_published_time":"2026-01-20T06:11:48+00:00","article_modified_time":"2026-06-30T04:04:41+00:00","og_image":[{"width":1200,"height":628,"url":"https:\/\/sunbytes.io\/app\/uploads\/2026\/01\/NIS2-Compliance-Readiness-for-EU-SMEs.webp","type":"image\/webp"}],"author":"Uyen Pham","twitter_card":"summary_large_image","twitter_creator":"@sunbytes","twitter_site":"@sunbytes","twitter_misc":{"Geschreven door":"Uyen Pham","Geschatte leestijd":"13 minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Organization","name":"Sunbytes","url":"https:\/\/sunbytes.io\/nl\/","logo":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/","url":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","contentUrl":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","width":512,"height":512,"caption":"Sunbytes"},"image":{"@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/sunbytes\/","https:\/\/twitter.com\/sunbytes","https:\/\/www.linkedin.com\/company\/sunbytes\/","https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/"],"knowsAbout":["HR Solutions","Payroll service","EOR service","Tech services","Security services"]},{"@type":"Article","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#article","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/"},"author":{"name":"Uyen Pham","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2"},"headline":"NIS2 Artikel 21: 10 beveiligingsmaatregelen die moeten worden ge\u00efmplementeerd (update 2026)","datePublished":"2026-01-20T06:11:48+00:00","dateModified":"2026-06-30T04:04:41+00:00","mainEntityOfPage":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/"},"wordCount":2763,"commentCount":0,"publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"articleSection":["Blog","Cyberbeveiliging"],"inLanguage":"nl","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/","url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/","name":"NIS2 Artikel 21: 10 beveiligingsmaatregelen voor implementatie (update 2026)","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/#website"},"datePublished":"2026-01-20T06:11:48+00:00","dateModified":"2026-06-30T04:04:41+00:00","description":"Vertaal NIS2 Article 21-vereisten naar een praktisch evidence pack en een geprioriteerde remediatie-roadmap, afgestemd op re\u00eble verwachtingen van toezichthouders.","breadcrumb":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#breadcrumb"},"inLanguage":"nl","potentialAction":[{"@type":"ReadAction","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/sunbytes.io\/nl\/"},{"@type":"ListItem","position":2,"name":"Blog","item":"https:\/\/sunbytes.io\/nl\/blog\/"},{"@type":"ListItem","position":3,"name":"Cyberbeveiliging","item":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/"},{"@type":"ListItem","position":4,"name":"NIS2 Artikel 21: 10 beveiligingsmaatregelen die moeten worden ge\u00efmplementeerd (update 2026)"}]},{"@type":"WebSite","@id":"https:\/\/sunbytes.io\/nl\/#website","url":"https:\/\/sunbytes.io\/nl\/","name":"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate","description":"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt","publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/sunbytes.io\/nl\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"nl"},{"@type":"Person","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2","name":"Uyen Pham","image":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","caption":"Uyen Pham"}}]}},"_links":{"self":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/27508"}],"collection":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/comments?post=27508"}],"version-history":[{"count":0,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/27508\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media\/27427"}],"wp:attachment":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media?parent=27508"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/categories?post=27508"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/tags?post=27508"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}