{"id":33724,"date":"2026-05-24T05:50:34","date_gmt":"2026-05-24T03:50:34","guid":{"rendered":"https:\/\/sunbytes.io\/?p=33724"},"modified":"2026-05-24T05:53:27","modified_gmt":"2026-05-24T03:53:27","slug":"nis2-evidence-pack","status":"publish","type":"post","link":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/","title":{"rendered":"Het NIS2 minimum viable evidence pack: wat u moet voorbereiden voor compliance met Artikel 21"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_62 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title \" >In this post<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #0d023e;color:#0d023e\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #0d023e;color:#0d023e\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#TLDR\" title=\"TL;DR\">TL;DR<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#Wat_het_NIS2-evidence_pack_is_%E2%80%94_en_het_minimum_viable-principe\" title=\"Wat het NIS2-evidence pack is \u2014 en het minimum viable-principe\">Wat het NIS2-evidence pack is \u2014 en het minimum viable-principe<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#Wie_uw_NIS2-evidence_pack_moet_hebben_%E2%80%94_en_wat_zij_ermee_doen\" title=\"Wie uw NIS2-evidence pack moet hebben \u2014 en wat zij ermee doen\">Wie uw NIS2-evidence pack moet hebben \u2014 en wat zij ermee doen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#Bewijsvereisten_per_Artikel_21-maatregel_Tier_1_en_Tier_2\" title=\"Bewijsvereisten per Artikel 21-maatregel: Tier 1 en Tier 2\">Bewijsvereisten per Artikel 21-maatregel: Tier 1 en Tier 2<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#Het_NIS2_minimum_viable_evidence_pack_%E2%80%94_Artikel_21-bewijstabel\" title=\"Het NIS2 minimum viable evidence pack \u2014 Artikel 21-bewijstabel\">Het NIS2 minimum viable evidence pack \u2014 Artikel 21-bewijstabel<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#Hoe_u_uw_NIS2-evidence_pack_organiseert_een_aanbevolen_folderstructuur\" title=\"Hoe u uw NIS2-evidence pack organiseert: een aanbevolen folderstructuur\">Hoe u uw NIS2-evidence pack organiseert: een aanbevolen folderstructuur<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#Wat_Nederlandse_organisaties_moeten_voorbereiden_voordat_de_Cyberbeveiligingswet_in_werking_treedt\" title=\"Wat Nederlandse organisaties moeten voorbereiden voordat de Cyberbeveiligingswet in werking treedt\">Wat Nederlandse organisaties moeten voorbereiden voordat de Cyberbeveiligingswet in werking treedt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#Wat_NIS2-bewijs_zwak_of_ongeldig_maakt\" title=\"Wat NIS2-bewijs zwak of ongeldig maakt\">Wat NIS2-bewijs zwak of ongeldig maakt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#Hoe_u_het_evidence_pack_opbouwt_na_uw_gap_analyse\" title=\"Hoe u het evidence pack opbouwt na uw gap analyse\">Hoe u het evidence pack opbouwt na uw gap analyse<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#Hoe_Sunbytes_ondersteunt_bij_het_voorbereiden_van_een_NIS2-evidence_pack\" title=\"Hoe Sunbytes ondersteunt bij het voorbereiden van een NIS2-evidence pack\">Hoe Sunbytes ondersteunt bij het voorbereiden van een NIS2-evidence pack<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#Waarom_Sunbytes\" title=\"Waarom Sunbytes?\">Waarom Sunbytes?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#FAQs\" title=\"FAQs\">FAQs<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#Laten_we_beginnen_met_Sunbytes\" title=\"Laten we beginnen met Sunbytes\">Laten we beginnen met Sunbytes<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\" eplus-wrapper\">Een NIS2-evidence pack is de documentatie die uw organisatie gebruikt om te bewijzen dat cybersecurity-risicobeheermaatregelen onder <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 21<\/a><\/strong> niet alleen zijn vastgelegd, maar ook zijn ge\u00efmplementeerd. Voor EU-MKB\u2019s is het probleem versnipperd bewijs: \u00e9\u00e9n toegangsreview in een spreadsheet, \u00e9\u00e9n leverancierscheck bij procurement, \u00e9\u00e9n incidentprocedure bij IT, en geen totaaloverzicht dat deze registraties aan Artikel 21 koppelt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Als u uw huidige positie nog niet heeft beoordeeld, begin dan met een NIS2-gap analyse voordat u bewijs verzamelt en weet welke Artikel 21-maatregelen rood of oranje zijn. Zo niet, begin dan eerst met de gap analyse en gebruik daarna dit artikel om het evidence pack op te bouwen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Deze gids is algemene compliance guidance. Valideer juridische interpretaties altijd met uw juridisch adviseur of bevoegde autoriteit.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"TLDR\"><\/span>TL;DR<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Een NIS2-evidence pack is een gecontroleerde set van gedateerde, toegewezen en beoordeelbare documenten die bewijst dat uw organisatie Artikel 21-maatregelen heeft ge\u00efmplementeerd. Een minimum viable pack moet alle 10 maatregelgebieden van Artikel 21 dekken met Tier 1-bewijs. Tier 2-bewijs maakt het pakket sterker voor een regulator review, due diligence door een enterprise-klant of assurance op bestuursniveau.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-f99536\">\n<li class=\" eplus-wrapper\">Tier 1-bewijs toont aan dat de maatregel bestaat en is ge\u00efmplementeerd.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Tier 2-bewijs toont aan dat de maatregel wordt getest, beoordeeld en onderhouden.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Een ontbrekende bewijsfolder voor \u00e9\u00e9n Artikel 21-maatregel moet worden behandeld als een NIS2-documentatiegap.<\/li>\n<\/ul>\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_het_NIS2-evidence_pack_is_%E2%80%94_en_het_minimum_viable-principe\"><\/span>Wat het NIS2-evidence pack is \u2014 en het minimum viable-principe<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Een NIS2-evidence pack is een gestructureerde verzameling documenten, logs, goedkeuringen, testregistraties en reviewoutputs die zijn gekoppeld aan de cybersecurity-risicobeheermaatregelen uit Artikel 21.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">\u201cMinimum viable\u201d betekent niet zwak. Het betekent de kleinste set bewijs waarmee u de volgende stelling kunt verdedigen: \u201cDeze maatregel bestaat, heeft een eigenaar, is waar nodig goedgekeurd en is in de praktijk toegepast.\u201d<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een ondertekend informatiebeveiligingsbeleid is beter bewijs dan tien niet-ondertekende conceptversies. Een gedateerde toegangsreview met een eigenaar is beter dan een screenshot van gebruikersaccounts zonder context. Een leveranciersbeoordeling met bevindingen en vervolgacties is beter dan een leverancierscontract waarin staat dat \u201csecurityverplichtingen van toepassing zijn\u201d, maar dat nooit bewijst dat die zijn gecontroleerd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Het minimum viable evidence pack moet drie regels volgen:<\/p>\n\n\n<ol class=\" eplus-wrapper eplus-styles-uid-384772\">\n<li class=\" eplus-wrapper\">Elke Artikel 21-maatregel heeft minimaal \u00e9\u00e9n Tier 1-bewijsbestand.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Elk bestand heeft een datum, eigenaar, versie en reviewcyclus.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Elk beleid wordt waar mogelijk ondersteund door minimaal \u00e9\u00e9n implementatieregistratie.<\/li>\n<\/ol>\n\n\n<figure class=\" wp-block-image aligncenter size-full eplus-wrapper\"><img decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-minimum-viable-evidence-pack.webp\" alt=\"NIS2 minimum viable evidence pack\" class=\"wp-image-33619\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-minimum-viable-evidence-pack.webp 1024w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-minimum-viable-evidence-pack-300x169.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-minimum-viable-evidence-pack-768x432.webp 768w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wie_uw_NIS2-evidence_pack_moet_hebben_%E2%80%94_en_wat_zij_ermee_doen\"><\/span>Wie uw NIS2-evidence pack moet hebben \u2014 en wat zij ermee doen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">De primaire gebruiker is de CTO, CISO, IT-security lead of technische eigenaar die het evidence pack opbouwt. Deze persoon heeft een praktische kaart nodig: wat moet worden verzameld, waar moet het worden opgeslagen, hoe moet het worden gelabeld en welke gaps moeten als eerste worden gesloten.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De secundaire gebruiker is de compliance officer, het bestuurslid of de auditeigenaar die zich voorbereidt op een interactie met een toezichthouder. Deze persoon moet weten of de organisatie snel bewijs kan opleveren wanneer een bevoegde autoriteit, klant of intern bestuur daarom vraagt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Uw evidence pack moet beschikbaar zijn voor minimaal vier interne groepen:<\/p>\n\n\n\n<p class=\" eplus-wrapper\">\u25cf <strong>IT\/security:<\/strong> om technisch bewijs en controleregistraties te onderhouden.<br>\u25cf <strong>Compliance\/legal:<\/strong> om regulatory mapping en documentretentie te controleren.<br>\u25cf <strong>Procurement:<\/strong> om bewijs van leverancierssecurity te onderhouden.<br>\u25cf <strong>Bestuursorgaan:<\/strong> om risicobesluiten te beoordelen, maatregelen goed te keuren en remediation te volgen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor leveranciers aan grotere enterprises heeft het evidence pack ook een commerci\u00eble functie. Enterprise-klanten kunnen NIS2-bewijs opvragen tijdens vendor due diligence, vooral wanneer <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-supply-chain-security\/\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 21(2)(d)<\/a><\/strong> over supply chain security van toepassing is.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Bewijsvereisten_per_Artikel_21-maatregel_Tier_1_en_Tier_2\"><\/span>Bewijsvereisten per Artikel 21-maatregel: Tier 1 en Tier 2<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">De onderstaande tabel verdeelt bewijs in twee niveaus.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-5be9fa\">\n<li class=\" eplus-wrapper\">Tier 1 is het minimum viable bewijs. Het toont aan dat een maatregel bestaat en minimaal \u00e9\u00e9n keer is toegepast.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Tier 2 is aanbevolen bewijs. Het toont aan dat de maatregel wordt beoordeeld, getest, verbeterd en klaar is voor een strengere audit of review door een enterprise-klant.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">De technische implementatierichtlijnen van ENISA uit 2025 gebruiken ook \u201cvoorbeelden van bewijs\u201d om organisaties te helpen NIS2-vereisten te vertalen naar bewijsregistraties. Die voorbeelden zijn guidance, geen bindende juridische tekst, maar ze zijn nuttig bij het ontwerpen van een bewijsmodel.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Het_NIS2_minimum_viable_evidence_pack_%E2%80%94_Artikel_21-bewijstabel\"><\/span>Het NIS2 minimum viable evidence pack \u2014 Artikel 21-bewijstabel<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th>Artikel 21-gebied<\/th><th>Maatregel<\/th><th>Tier 1 minimaal bewijs<\/th><th>Tier 2 aanbevolen bewijs<\/th><th>Wat een toezichthouder of klant controleert<\/th><\/tr><\/thead><tbody><tr><td>Artikel 21(2)(a)<\/td><td>Risicoanalyse en beleid voor beveiliging van informatiesystemen<\/td><td>Ondertekend informatiebeveiligingsbeleid. Gedateerde cyberrisicobeoordeling. Lijst met risico-eigenaren.<\/td><td>Risicobehandelplan. Registraties van acceptatie van restrisico. Jaarlijkse beleidsreview.<\/td><td>Het beleid heeft een eigenaar, reviewdatum en goedkeuring van het management. De risicobeoordeling is actueel en gekoppeld aan herstelacties.<\/td><\/tr><tr><td>Artikel 21(2)(b)<\/td><td>Incidentafhandeling<\/td><td>Incidentresponsprocedure. Criteria voor incidenternst. Bewijs van \u00e9\u00e9n tabletop-oefening of test.<\/td><td>Incidentlog, near-miss-log, post-incident reviews, Artikel 23-notificatietemplates.<\/td><td>De procedure benoemt wie beslist, wie rapporteert en hoe deadlines worden gevolgd. Gebruik voor deadlines en notificatiestappen de <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-23-incident-reporting\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 Artikel 23-tijdlijn<\/a><\/strong> voor incidentrapportage.<\/td><\/tr><tr><td>Artikel 21(2)(c)<\/td><td>Bedrijfscontinu\u00efteit en crisismanagement<\/td><td>Bedrijfscontinu\u00efteitsplan voor kritieke diensten. Back-upbeleid. Recovery time objectives.<\/td><td>Business impact analysis. BCP-testresultaten. Crisiscommunicatieplan. Registratie van disaster recovery-test.<\/td><td>Bewijs dekt de systemen binnen NIS2-scope, niet alleen generieke IT. Testresultaten zijn gedateerd en toegewezen aan eigenaren.<\/td><\/tr><tr><td>Artikel 21(2)(d)<\/td><td>Supply chain security<\/td><td>Beleid voor leverancierssecuritybeoordeling. Leveranciersinventaris. Bewijs van minimaal \u00e9\u00e9n leveranciersreview.<\/td><td>Risicoclassificatie van leveranciers. Contractuele securityclausules. Jaarlijkse reviewregistratie voor kritieke leveranciers.<\/td><td>Leveranciersreviews zijn niet theoretisch. Minimaal \u00e9\u00e9n benoemde leverancier is beoordeeld, met bevindingen en vervolgacties.<\/td><\/tr><tr><td>Artikel 21(2)(e)<\/td><td>Security bij acquisitie, ontwikkeling en onderhoud<\/td><td>Procedure voor secure development of procurement. Securityvereisten in \u00e9\u00e9n recent project of aankoop.<\/td><td>Documentatie van secure software development lifecycle. Code review-registratie. Resultaat van vulnerability scan. Bewijs van remediation.<\/td><td>Security maakt deel uit van acquisitie of delivery en wordt niet pas na livegang toegevoegd. Bewijs laat zien dat \u00e9\u00e9n echt project het proces heeft gevolgd.<\/td><\/tr><tr><td>Artikel 21(2)(f)<\/td><td>Beleid om de effectiviteit van maatregelen te beoordelen<\/td><td>Procedure voor beoordeling van controle-effectiviteit. Bewijs van \u00e9\u00e9n afgeronde control review.<\/td><td>Intern auditrapport. Security KPI-dashboard. Rapportage over remediationstatus.<\/td><td>De organisatie kan laten zien of controles werken, niet alleen dat controles bestaan. Bevindingen hebben eigenaren en deadlines.<\/td><\/tr><tr><td>Artikel 21(2)(g)<\/td><td>Basis cyberhygi\u00ebne en cybersecuritytraining<\/td><td>Cyberhygi\u00ebnebeleid. Registratie van securitytraining voor medewerkers. MFA- of wachtwoordrichtlijn.<\/td><td>Resultaten van phishingsimulatie. Rolgebaseerde training voor beheerders en developers. Dashboard voor trainingsvoltooiing.<\/td><td>Trainingsregistraties sluiten aan op de medewerkerslijst. Beheerders en rollen met hoger risico krijgen specifiekere training dan algemeen personeel.<\/td><\/tr><tr><td>Artikel 21(2)(h)<\/td><td>Cryptografie en encryptie<\/td><td>Cryptografie- of encryptiebeleid. Lijst van versleutelde systemen of datacategorie\u00ebn.<\/td><td>Procedure voor sleutelbeheer. Certificaatinventaris. Encryptiereview.<\/td><td>Encryptiebeslissingen zijn per systeem of datatype gedocumenteerd. Eigenaarschap en vernieuwingsverantwoordelijkheden voor sleutels zijn duidelijk.<\/td><\/tr><tr><td>Artikel 21(2)(i)<\/td><td>Personeelssecurity, toegangscontrole en assetmanagement<\/td><td>Toegangscontrolebeleid. Assetinventaris. Joiner-mover-leaver-procedure. Bewijs van \u00e9\u00e9n toegangsreview.<\/td><td>Kwartaalregistraties van toegangsreviews. Log van privileged access. Beleid voor background screening waar wettelijk toegestaan en relevant.<\/td><td>Toegangsrechten sluiten aan op functierollen. Vertrekkers worden verwijderd. Privileged accounts hebben strikter reviewbewijs.<\/td><\/tr><tr><td>Artikel 21(2)(j)<\/td><td>Multi-factor authentication en beveiligde communicatie<\/td><td>MFA-beleid. MFA-dekkingsrapport voor kritieke systemen. Procedure voor beveiligde communicatie.<\/td><td>Uitzonderingenregister. Doorlopende beoordeling van authenticatie. Test van noodcommunicatie.<\/td><td>MFA wordt afgedwongen waar het risico dat vereist. Uitzonderingen zijn goedgekeurd, tijdgebonden en worden beoordeeld.<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Minimum viable NIS2-evidence pack gekoppeld aan Artikel 21-risicobeheermaatregelen.<\/figcaption><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_u_uw_NIS2-evidence_pack_organiseert_een_aanbevolen_folderstructuur\"><\/span>Hoe u uw NIS2-evidence pack organiseert: een aanbevolen folderstructuur<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Organiseer een NIS2-evidence pack per Artikel 21-maatregel, niet per afdeling. Elke folder moet gedateerd, toegewezen en versiegecontroleerd bewijs bevatten dat aantoont dat een controle bestaat, is toegepast en een reviewcyclus heeft.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een evidence pack faalt wanneer het moeilijk te inspecteren is. Een toezichthouder, klant of bestuurslid zou niet door e-mailinboxen, Slack-threads, Jira-tickets, SharePoint-folders en screenshots moeten hoeven zoeken om uw controlestatus te begrijpen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Organiseer het pakket per Artikel 21-maatregel, niet per afdeling. Auditors en klanten vragen: \u201cLaat mij uw bewijs voor toegangscontrole zien\u201d of \u201cLaat mij bewijs van leverancierssecurity zien.\u201d Ze vragen niet: \u201cLaat mij zien wat IT, HR en procurement elk apart hebben opgeslagen.\u201d<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Gebruik deze folderstructuur als praktisch startpunt:<\/p>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th>Folder<\/th><th>Doel<\/th><th>Voorbeeldbestanden<\/th><\/tr><\/thead><tbody><tr><td>00_scope_and_entity_classification<\/td><td>Definieert welke entiteiten, diensten, systemen en locaties binnen scope vallen<\/td><td>NIS2-scopestatement, entiteitsclassificatie, lijst met kritieke diensten<\/td><\/tr><tr><td>01_risk_analysis_and_security_policy<\/td><td>Koppelt aan Artikel 21(2)(a)<\/td><td>Securitybeleid, risicobeoordeling, risicobehandelplan<\/td><\/tr><tr><td>02_incident_handling<\/td><td>Koppelt aan Artikel 21(2)(b)<\/td><td>Incidentresponsplan, severity matrix, registratie van tabletop-oefening<\/td><\/tr><tr><td>03_business_continuity<\/td><td>Koppelt aan Artikel 21(2)(c)<\/td><td>BCP, back-upbeleid, RTO\/RPO-register, BCP-testbewijs<\/td><\/tr><tr><td>04_supply_chain_security<\/td><td>Koppelt aan Artikel 21(2)(d)<\/td><td>Leveranciersinventaris, leveranciersbeoordeling, contractuele securityclausules<\/td><\/tr><tr><td>05_secure_development_and_acquisition<\/td><td>Koppelt aan Artikel 21(2)(e)<\/td><td>SSDLC-procedure, procurement security checklist, scanbewijs<\/td><\/tr><tr><td>06_control_effectiveness<\/td><td>Koppelt aan Artikel 21(2)(f)<\/td><td>Interne control review, auditbevindingen, remediation tracker<\/td><\/tr><tr><td>07_cyber_hygiene_and_training<\/td><td>Koppelt aan Artikel 21(2)(g)<\/td><td>Trainingsregistraties, cyberhygi\u00ebnebeleid, phishingtestrapport<\/td><\/tr><tr><td>08_cryptography_and_encryption<\/td><td>Koppelt aan Artikel 21(2)(h)<\/td><td>Encryptiebeleid, procedure voor sleutelbeheer, certificaatregister<\/td><\/tr><tr><td>09_access_asset_and_personnel_security<\/td><td>Koppelt aan Artikel 21(2)(i)<\/td><td>Toegangsreview, assetinventaris, JML-procedure<\/td><\/tr><tr><td>10_mfa_and_secure_communications<\/td><td>Koppelt aan Artikel 21(2)(j)<\/td><td>MFA-rapport, uitzonderingenregister, procedure voor beveiligde communicatie<\/td><\/tr><tr><td>11_gap_analysis_and_remediation<\/td><td>Verbindt bewijsgaps met actie<\/td><td>Gaprapport, risicogerangschikt register, remediation roadmap<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Aanbevolen folderstructuur voor een minimum viable NIS2-evidence pack<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Gebruik een naamgevingsconventie die inspectie eenvoudig maakt:<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>[Article21-area]<em>[document-type]<\/em>[owner]<em>[version]<\/em>[date]<\/strong><\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voorbeeld:<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>A21-2i_AccessReview_ITSecurity_v1_2026-05-20.pdf<\/strong><\/p>\n\n\n\n<p class=\" eplus-wrapper\">Vermijd bestandsnamen zoals:<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong>final_policy.pdf<\/strong><br><strong>new_new_access_review.xlsx<\/strong><br><strong>supplier_security_latest.docx<\/strong><\/p>\n\n\n\n<p class=\" eplus-wrapper\">Zulke namen cre\u00ebren extra werk tijdens een audit. Ze maken versiebeheer ook lastig.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Bouwt u uw NIS2-evidence pack en weet u niet zeker wat ontbreekt? <strong><a href=\"https:\/\/sunbytes.io\/nl\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes<\/a><\/strong> kan uw huidige documentatie beoordelen ten opzichte van Artikel 21 Tier 1-bewijsvereisten, ontbrekende bewijsregistraties identificeren en het resultaat omzetten in een evidence target list die klaar is voor remediation. <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybersecurity-compliance-readiness\/\" target=\"_blank\" rel=\"noreferrer noopener\">Bereid uw NIS2-evidence pack voor met Sunbytes.<\/a><\/strong><\/p>\n\n\n\n<figure class=\" wp-block-image aligncenter size-full eplus-wrapper\"><img decoding=\"async\" width=\"1024\" height=\"683\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/How-to-organise-your-NIS2-evidence-pack.webp\" alt=\"How to organise your NIS2 evidence pack\" class=\"wp-image-33615\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/How-to-organise-your-NIS2-evidence-pack.webp 1024w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/How-to-organise-your-NIS2-evidence-pack-300x200.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/How-to-organise-your-NIS2-evidence-pack-768x512.webp 768w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_Nederlandse_organisaties_moeten_voorbereiden_voordat_de_Cyberbeveiligingswet_in_werking_treedt\"><\/span>Wat Nederlandse organisaties moeten voorbereiden voordat de Cyberbeveiligingswet in werking treedt<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse organisaties heeft het evidence pack een extra praktische functie: aantoonbaarheid. In het Engels is de dichtstbijzijnde term demonstrability. Aantoonbaarheid betekent dat uw organisatie met bewijs kan laten zien dat aan een verplichting is voldaan. Voor NIS2-readiness betekent dit dat alleen een beleid niet genoeg is. De organisatie moet registraties kunnen opleveren die laten zien dat het beleid is goedgekeurd, toegepast, beoordeeld en bijgewerkt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Nederland implementeert NIS2 via de Cyberbeveiligingswet. De <strong><a href=\"https:\/\/www.nctv.nl\/onderwerpen\/c\/cyberbeveiligingswet\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">NCTV<\/a><\/strong> stelt dat de Cyberbeveiligingswet de huidige Wbni zal vervangen zodra deze in werking treedt. De NCTV adviseert organisaties ook om niet te wachten, maar nu al te beginnen met voorbereiding op de tien zorgplichtmaatregelen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Totdat de Cyberbeveiligingswet formeel in werking treedt, moeten Nederlandse organisaties deze periode behandelen als readiness-tijd: scope defini\u00ebren, controle-eigenaren toewijzen en bewijs voorbereiden voor de zorgplichtmaatregelen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse MKB\u2019s, essenti\u00eble entiteiten en belangrijke entiteiten betekent dit dat het evidence pack vier vragen moet beantwoorden voordat een toezichthouder of klant ze stelt:<\/p>\n\n\n<ol class=\" eplus-wrapper eplus-styles-uid-85109e\">\n<li class=\" eplus-wrapper\">Welke Artikel 21-maatregelen zijn van toepassing op de systemen en diensten binnen scope?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Welk bewijs toont aan dat elke maatregel is ge\u00efmplementeerd?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Wie is eigenaar van elk bewijsbestand?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Wanneer is het bewijs voor het laatst beoordeeld?<\/li>\n<\/ol>\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_NIS2-bewijs_zwak_of_ongeldig_maakt\"><\/span>Wat NIS2-bewijs zwak of ongeldig maakt<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Zwak bewijs heeft meestal \u00e9\u00e9n van vijf gebreken.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-487ab5\">\n<li class=\" eplus-wrapper\">Ten eerste heeft het geen datum. Een ongedateerd beleid kan bewijzen dat iemand ooit een document heeft opgesteld. Het bewijst niet dat de organisatie het heeft beoordeeld in de huidige risicocontext.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Ten tweede heeft het geen eigenaar. Als er een leveranciersbeoordeling bestaat, maar geen functie eigenaar is van de vervolgacties, stopt het bewijs bij observatie. Het bewijst geen controle.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Ten derde ontbreekt goedkeuring waar goedkeuring nodig is. Risicoacceptatie, goedkeuring van informatiebeveiligingsbeleid en governance-registraties op bestuursniveau horen niet alleen binnen IT te staan.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Ten vierde is het niet gekoppeld aan Artikel 21. Een folder vol nuttige documenten cre\u00ebert alsnog werk als niemand kan aangeven welke maatregel elk document ondersteunt.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Ten vijfde bewijst het ontwerp, maar niet de implementatie. Een beleid zegt wat er zou moeten gebeuren. Een toegangsreview, testresultaat, incidentlog of leveranciersreview bewijst dat er iets is gebeurd.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">Een minimum viable evidence pack moet deze vijf gebreken verwijderen voordat er meer documenten worden toegevoegd.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_u_het_evidence_pack_opbouwt_na_uw_gap_analyse\"><\/span>Hoe u het evidence pack opbouwt na uw gap analyse<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\" wp-block-image size-large eplus-wrapper\"><img decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-evidence-pack-opbouwt-1024x576.webp\" alt=\"NIS2 evidence pack opbouwt\" class=\"wp-image-33726\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-evidence-pack-opbouwt-1024x576.webp 1024w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-evidence-pack-opbouwt-300x169.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-evidence-pack-opbouwt-768x432.webp 768w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-evidence-pack-opbouwt-1536x864.webp 1536w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-evidence-pack-opbouwt.webp 1672w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">NIS2 evidence pack opbouwt<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Begin niet met het verzamelen van elk securitydocument dat uw bedrijf heeft. Begin met de output van de gap analyse. Een praktische volgorde werkt beter:<\/p>\n\n\n<ol class=\" eplus-wrapper eplus-styles-uid-452d23\">\n<li class=\" eplus-wrapper\">Bevestig de NIS2-scope: entiteiten, diensten, systemen, locaties en leveranciers.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Koppel elke Artikel 21-maatregel aan een verantwoordelijke eigenaar.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Identificeer bestaand Tier 1-bewijs.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Markeer ontbrekend of zwak bewijs als rood of oranje.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Bouw de folderstructuur voordat u nieuwe bestanden verzamelt.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Sluit Tier 1-gaps eerst.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Voeg Tier 2-bewijs toe waar het risico richting klant, toezichthouder of bestuur hoger is.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Stel reviewdata vast voor elk bewijsbestand.<\/li>\n<\/ol>\n\n\n<p class=\" eplus-wrapper\">Deze volgorde voorkomt een veelvoorkomende fout: een groot archief bouwen dat nog steeds de eerste auditvraag niet kan beantwoorden. Als Artikel 21(2)(i) bijvoorbeeld oranje is, verzamel dan niet eerst elk HR-beleid. Vraag om het toegangscontrolebeleid, de meest recente toegangsreview, de joiner-mover-leaver-procedure, de lijst met privileged access en bewijs dat minimaal \u00e9\u00e9n review tot een toegangsaanpassing heeft geleid. Dat geeft uw IT-security lead een verdedigbare startset.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Zodra Tier 1 compleet is, gaat u door naar Tier 2: kwartaalreviewritme, monitoring van privileged access, uitzonderingenregister en managementrapportage.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_Sunbytes_ondersteunt_bij_het_voorbereiden_van_een_NIS2-evidence_pack\"><\/span>Hoe Sunbytes ondersteunt bij het voorbereiden van een NIS2-evidence pack<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Sunbytes ondersteunt de voorbereiding van NIS2-evidence packs als onderdeel van <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybersecurity-compliance-readiness\/\" target=\"_blank\" rel=\"noreferrer noopener\">Cybersecurity Compliance Readiness<\/a><\/strong>.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Het werk begint met evidence mapping: wat Artikel 21 vereist, welk bewijs al bestaat, wat ontbreekt en welke gaps het hoogste audit- of klantrisico cre\u00ebren. De output is geen losse lijst met aanbevelingen. Het moet een gecontroleerde evidence target list zijn: documentnaam, Artikel 21-mapping, eigenaar, status, reviewdatum en volgende actie.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor bedrijven die ondersteuning nodig hebben na de documentatiereview, kan Sunbytes helpen ontbrekend bewijs te vertalen naar deliverywerk. Dat kan bestaan uit toegangsreviewregistraties, workflows voor leveranciersbeoordeling, documentatie voor secure development, incidentrespons-oefeningen of remediation tracking.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Waarom_Sunbytes\"><\/span>Waarom Sunbytes?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Sunbytes is een Nederlands technologiebedrijf met het hoofdkantoor in Nederland en een delivery hub in Vietnam. We zijn <strong><a href=\"https:\/\/sunbytes.io\/nl\/sunbytes-is-iso-27001-certified\/\" target=\"_blank\" rel=\"noreferrer noopener\">ISO 27001-gecertificeerd<\/a><\/strong> en engagements kunnen werken onder een ondertekende DPA met een gedocumenteerde audittrail. Al 15 jaar helpen we klanten wereldwijd Transform \u00b7 Secure \u00b7 Accelerate door strategie om te zetten in deliverywerk met security ingebouwd in het proces.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-05e1ba\">\n<li class=\" eplus-wrapper\"><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>CyberSecurity Solutions<\/strong> <\/a>helpt bedrijven risico\u2019s te verlagen zonder delivery te vertragen via praktische securitydiensten en compliance readiness. Voor het onderwerp van dit artikel betekent dit: huidige documentatie beoordelen ten opzichte van Artikel 21-bewijsvereisten, ontbrekende bewijsregistraties identificeren en teams helpen een evidence pack voor te bereiden dat gestructureerd, gedateerd, toegewezen en audit-ready is.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/tech-services\/\" target=\"_blank\" rel=\"noreferrer noopener\">Digital Transformation Solutions<\/a><\/strong> helpt teams digitale producten te bouwen en moderniseren met senior engineeringondersteuning voor custom development, QA\/testing, onderhoud en support. Voor NIS2-evidence preparation is dit belangrijk wanneer ontbrekende controles echt deliverywerk moeten worden: secure development-registraties, testbewijs, systeemdocumentatie of remediationtaken.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/human-resource-services\/\" target=\"_blank\" rel=\"noreferrer noopener\">Accelerate Workforce Solutions<\/a><\/strong> helpt bedrijven capaciteit en capability op te schalen via recruitment en workforce support wanneer interne teams extra uitvoeringskracht nodig hebben. Voor NIS2-readiness kan dit de people side van remediation ondersteunen wanneer uw security-, compliance- of engineeringteams extra capaciteit nodig hebben om bewijsgaps op tijd te sluiten.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybersecurity-compliance-readiness\/#contact\" target=\"_blank\" rel=\"noreferrer noopener\">Neem contact op met Sunbytes over de voorbereiding van een NIS2-evidence pack.<\/a><\/strong><\/p>\n\n\n<div\n    class=\"block-faq row justify-content-lg-center \"\n    id=\"block_470802517db2363eb857ec8d04c324d1\"\n  >\n    <div class=\"col-lg-10\">\n      <h2 class=\"block-faq__title\"><span class=\"ez-toc-section\" id=\"FAQs\"><\/span>FAQs<span class=\"ez-toc-section-end\"><\/span><\/h2>\n      <div class=\"block-faq__content\" id=\"faq-accordion\">\n                              <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-0\" aria-expanded=\"false\" aria-controls=\"faq-0\">\n                Wat is een NIS2-evidence pack?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-0\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Een NIS2-evidence pack is een gestructureerde set documenten en registraties die bewijst dat uw organisatie NIS2-cybersecurity-risicobeheermaatregelen heeft ge\u00efmplementeerd. Voor Artikel 21 moet het bewijs koppelen aan elk maatregelgebied, waaronder risicoanalyse, incidentafhandeling, bedrijfscontinu\u00efteit, supply chain security, secure development, controletesting, cyberhygi\u00ebne, encryptie, toegangscontrole en MFA.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-1\" aria-expanded=\"false\" aria-controls=\"faq-1\">\n                Wat is het minimum viable evidence pack voor NIS2 Artikel 21?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-1\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Een minimum viable evidence pack dekt alle maatregelgebieden van Artikel 21 met Tier 1-bewijs. Dat betekent meestal een gedateerd beleid of procedure, een eigenaar en minimaal \u00e9\u00e9n implementatieregistratie per maatregel. Als \u00e9\u00e9n maatregel geen bewijs heeft, behandel dat dan als een documentatiegap.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-2\" aria-expanded=\"false\" aria-controls=\"faq-2\">\n                Wat is het minimum viable evidence pack voor NIS2 Artikel 21?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-2\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Een minimum viable evidence pack dekt alle maatregelgebieden van Artikel 21 met Tier 1-bewijs. Dat betekent meestal een gedateerd beleid of procedure, een eigenaar en minimaal \u00e9\u00e9n implementatieregistratie per maatregel. Als \u00e9\u00e9n maatregel geen bewijs heeft, behandel dat dan als een documentatiegap.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-3\" aria-expanded=\"false\" aria-controls=\"faq-3\">\n                Kan ISO 27001-documentatie worden gebruikt voor een NIS2-evidence pack?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-3\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Ja, maar deze moet zorgvuldig worden gekoppeld. ISO 27001-documentatie kan veel NIS2-bewijsgebieden ondersteunen, zoals risicomanagement, toegangscontrole, leverancierssecurity, incidentrespons en controle-effectiviteit. De gap zit vaak niet in het bestaan van documenten, maar in de vraag of ze zijn gekoppeld aan Artikel 21, actueel zijn, goedgekeurd zijn en makkelijk kunnen worden opgeleverd.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-4\" aria-expanded=\"false\" aria-controls=\"faq-4\">\n                Moet het evidence pack Artikel 23-registraties voor incidentrapportage bevatten?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-4\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><!-- wp:paragraph {\"className\":\"\",\"epAnimationGeneratedClass\":\"edplus_anim-Uh5t5d\",\"epGeneratedClass\":\"eplus-wrapper\"} --><\/p>\n<p class=\" eplus-wrapper\">Het evidence pack moet incidentafhandelingsbewijs onder Artikel 21(2)(b) bevatten, maar gedetailleerd Artikel 23-rapportagebewijs hoort in het artikel of draaiboek voor incidentrapportage te staan. Gebruik voor rapportagedeadlines en notificatiefases de <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-23-incident-reporting\/\" target=\"_blank\" rel=\"noopener\">NIS2 Artikel 23-tijdlijn<\/a> voor incidentrapportage.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-5\" aria-expanded=\"false\" aria-controls=\"faq-5\">\n                Hoe lang duurt het om een NIS2-evidence pack op te bouwen?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-5\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Voor een organisatie die al een gap analyse heeft uitgevoerd en bestaande securitydocumentatie heeft, kan het 4\u20138 weken duren om een Tier 1-evidence pack samen te stellen en op te schonen. Vanaf nul beginnen kan 8\u201316 weken duren, omdat sommige bewijsstukken eerst via actie moeten worden gecre\u00eberd, zoals leveranciersreviews, BCP-tests, toegangsreviews of incidentoefeningen.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-6\" aria-expanded=\"false\" aria-controls=\"faq-6\">\n                Wat maakt bewijs ongeldig voor een NIS2-audit of klantreview?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-6\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Bewijs wordt zwak wanneer het ongedateerd is, niet ondertekend is waar goedkeuring nodig is, niet toegankelijk is, niet gekoppeld is aan Artikel 21 of niet wordt ondersteund door implementatieregistraties. Een beleid kan intentie aantonen. Een gedateerd testresultaat, toegangsreview, leveranciersbeoordeling of registratie van een incidentoefening toont praktijk aan.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-7\" aria-expanded=\"false\" aria-controls=\"faq-7\">\n                Moeten Nederlandse organisaties de term \u201caantoonbaarheid\u201d gebruiken in hun evidence pack?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-7\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Voor de Nederlandse versie: ja. \u201cAantoonbaarheid\u201d is de praktische standaard: uw organisatie moet compliance kunnen aantonen met documenten en registraties. Definieer het in de Engelse versie \u00e9\u00e9n keer als \u201cdemonstrability\u201d en houd het hoofdartikel daarna gericht op Artikel 21-bewijs.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                        <\/div>\n    <\/div>\n  <\/div>\n\n\n\n<div style=\"height:31px\" aria-hidden=\"true\" id=\"contact\" class=\"contact wp-block-spacer eplus-wrapper\"><\/div>\n\n\n<section\n    class=\"conversion-form \"\n    id=\"block_e0eb6c3d655c6f9b70ccb88af0d07fa6\"\n    style=\"background-image: url(https:\/\/sunbytes.io\/app\/uploads\/2018\/05\/background-network-1.png)\"\n  >\n    <div class=\"container\">\n      <div class=\"row justify-content-md-center\">\n        <div class=\"col-md-10 col-lg-8\">\n          <div class=\"conversion-form__inner\">\n            <div class=\"col-12 col-sm-10 offset-sm-1\">\n              <h2 class=\"conversion-form__title\"><span class=\"ez-toc-section\" id=\"Laten_we_beginnen_met_Sunbytes\"><\/span>Laten we beginnen met Sunbytes<span class=\"ez-toc-section-end\"><\/span><\/h2>\n                              <p>Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.<\/p>\n                                            <script type=\"text\/javascript\">var gform;gform||(document.addEventListener(\"gform_main_scripts_loaded\",function(){gform.scriptsLoaded=!0}),window.addEventListener(\"DOMContentLoaded\",function(){gform.domLoaded=!0}),gform={domLoaded:!1,scriptsLoaded:!1,initializeOnLoaded:function(o){gform.domLoaded&&gform.scriptsLoaded?o():!gform.domLoaded&&gform.scriptsLoaded?window.addEventListener(\"DOMContentLoaded\",o):document.addEventListener(\"gform_main_scripts_loaded\",o)},hooks:{action:{},filter:{}},addAction:function(o,n,r,t){gform.addHook(\"action\",o,n,r,t)},addFilter:function(o,n,r,t){gform.addHook(\"filter\",o,n,r,t)},doAction:function(o){gform.doHook(\"action\",o,arguments)},applyFilters:function(o){return gform.doHook(\"filter\",o,arguments)},removeAction:function(o,n){gform.removeHook(\"action\",o,n)},removeFilter:function(o,n,r){gform.removeHook(\"filter\",o,n,r)},addHook:function(o,n,r,t,i){null==gform.hooks[o][n]&&(gform.hooks[o][n]=[]);var e=gform.hooks[o][n];null==i&&(i=n+\"_\"+e.length),gform.hooks[o][n].push({tag:i,callable:r,priority:t=null==t?10:t})},doHook:function(n,o,r){var t;if(r=Array.prototype.slice.call(r,1),null!=gform.hooks[n][o]&&((o=gform.hooks[n][o]).sort(function(o,n){return o.priority-n.priority}),o.forEach(function(o){\"function\"!=typeof(t=o.callable)&&(t=window[t]),\"action\"==n?t.apply(null,r):r[0]=t.apply(null,r)})),\"filter\"==n)return r[0]},removeHook:function(o,n,t,i){var r;null!=gform.hooks[o][n]&&(r=(r=gform.hooks[o][n]).filter(function(o,n,r){return!!(null!=i&&i!=o.tag||null!=t&&t!=o.priority)}),gform.hooks[o][n]=r)}});<\/script>\n                <div class='gf_browser_gecko gform_wrapper gravity-theme gform-theme--no-framework' data-form-theme='gravity-theme' data-form-index='0' id='gform_wrapper_11' ><div id='gf_11' class='gform_anchor' tabindex='-1'><\/div><form method='post' enctype='multipart\/form-data' target='gform_ajax_frame_11' id='gform_11'  action='\/nl\/wp-json\/wp\/v2\/posts\/33724#gf_11' data-formid='11' novalidate> \r\n <input type='hidden' class='gforms-pum' value='{\"closepopup\":false,\"closedelay\":0,\"openpopup\":false,\"openpopup_id\":0}' \/>\n                        <div class='gform-body gform_body'><div id='gform_fields_11' class='gform_fields top_label form_sublabel_below description_below'><div id=\"field_11_12\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-full hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_12\" ><label class='gfield_label gform-field-label' for='input_11_12'>Uw naam<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_12' id='input_11_12' type='text' value='' class='large'    placeholder='Uw naam' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_2\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_2\" ><label class='gfield_label gform-field-label' for='input_11_2'>Organization<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_2' id='input_11_2' type='text' value='' class='large'    placeholder='Organisatie' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_16\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_16\" ><label class='gfield_label gform-field-label' for='input_11_16'>Functietitel<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_16' id='input_11_16' type='text' value='' class='large'    placeholder='Functietitel' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_3\" class=\"gfield gfield--type-email gfield--input-type-email gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_3\" ><label class='gfield_label gform-field-label' for='input_11_3'>Email<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_email'>\n                            <input name='input_3' id='input_11_3' type='email' value='' class='large'   placeholder='E-mailadres' aria-required=\"true\" aria-invalid=\"false\"  \/>\n                        <\/div><\/div><div id=\"field_11_13\" class=\"gfield gfield--type-phone gfield--input-type-phone gfield--width-half field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_13\" ><label class='gfield_label gform-field-label' for='input_11_13'>Phone<\/label><div class='ginput_container ginput_container_phone'><input name='input_13' id='input_11_13' type='tel' value='' class='large'  placeholder='Telefoonnummer'  aria-invalid=\"false\"   \/><\/div><\/div><div id=\"field_11_17\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_17\" ><label class='gfield_label gform-field-label' for='input_11_17'>Land<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_17' id='input_11_17' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Land<\/option><option value='Australia\/New Zealand (ANZ)' >Australia\/New Zealand (ANZ)<\/option><option value='Canada' >Canada<\/option><option value='Germany' >Germany<\/option><option value='Hong Kong' >Hong Kong<\/option><option value='Netherlands' >Netherlands<\/option><option value='Singapore' >Singapore<\/option><option value='United Kingdom' >United Kingdom<\/option><option value='United States of America' >United States of America<\/option><option value='Vietnam' >Vietnam<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_11\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_11\" ><label class='gfield_label gform-field-label' for='input_11_11'>Requirements<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_11' id='input_11_11' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Waar heeft u interesse in?<\/option><option value='Maatwerk Software ontwikkeling' >Maatwerk Software ontwikkeling<\/option><option value='Dedicated specialisten' >Dedicated specialisten<\/option><option value='Cybersecurity diensten' >Cybersecurity diensten<\/option><option value='HR Diensten' >HR Diensten<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_18\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_18\" ><label class='gfield_label gform-field-label' for='input_11_18'>Hoe heb je over ons gehoord?<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_18' id='input_11_18' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Hoe heb je over ons gehoord?<\/option><option value='LinkedIn' >LinkedIn<\/option><option value='Clutch' >Clutch<\/option><option value='Newsletter' >Newsletter<\/option><option value='Doorverwijzing' >Doorverwijzing<\/option><option value='Zoekmachine (Google, Bing, etc)' >Zoekmachine (Google, Bing, etc)<\/option><option value='Email' >Email<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_19\" class=\"gfield gfield--type-textarea gfield--input-type-textarea gfield--width-full field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_19\" ><label class='gfield_label gform-field-label' for='input_11_19'>Aanvullende informatie over uw verzoek.<\/label><div class='ginput_container ginput_container_textarea'><textarea name='input_19' id='input_11_19' class='textarea large'    placeholder='Aanvullende informatie over uw verzoek.'  aria-invalid=\"false\"   rows='10' cols='50'><\/textarea><\/div><\/div><fieldset id=\"field_11_7\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree mb-0 gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_7\" ><legend class='gfield_label gform-field-label screen-reader-text gfield_label_before_complex' ><span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_7'><div class='gchoice gchoice_11_7_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_7.1' type='checkbox'  value='Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.'  id='choice_11_7_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_7_1' id='label_11_7_1' class='gform-field-label gform-field-label--type-inline'>Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.<\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><fieldset id=\"field_11_14\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_14\" ><legend class='gfield_label gform-field-label gfield_label_before_complex' >Untitled<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_14'><div class='gchoice gchoice_11_14_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_14.1' type='checkbox'  value='Ik ga akkoord met &lt;a href=&quot;https:\/\/sunbytes.io\/general-terms-and-conditions\/&quot;&gt;de algemene voorwaarden &lt;\/a&gt;'  id='choice_11_14_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_14_1' id='label_11_14_1' class='gform-field-label gform-field-label--type-inline'>Ik ga akkoord met <a href=\"https:\/\/sunbytes.io\/general-terms-and-conditions\/\">de algemene voorwaarden <\/a><\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><div id=\"field_11_15\" class=\"gfield gfield--type-captcha gfield--input-type-captcha gfield--width-full d-none field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_15\" ><label class='gfield_label gform-field-label' for='input_11_15'>Captcha<\/label><div id='input_11_15' class='ginput_container ginput_recaptcha' data-sitekey='6LeTwBcdAAAAAKDurfTYCHGQQNGUBiDURxfjNI3V'  data-theme='light' data-tabindex='-1' data-size='invisible' data-badge='bottomright'><\/div><\/div><div id=\"field_11_20\" class=\"gfield gfield--type-honeypot gform_validation_container field_sublabel_below gfield--has-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_20\" ><label class='gfield_label gform-field-label' for='input_11_20'>Comments<\/label><div class='ginput_container'><input name='input_20' id='input_11_20' type='text' value='' autocomplete='new-password'\/><\/div><div class='gfield_description' id='gfield_description_11_20'>Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.<\/div><\/div><\/div><\/div>\n        <div class='gform_footer top_label'> <input type='submit' id='gform_submit_button_11' class='gform_button button' value='Verstuur!'  onclick='if(window[\"gf_submitting_11\"]){return false;}  if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  ' onkeypress='if( event.keyCode == 13 ){ if(window[\"gf_submitting_11\"]){return false;} if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  jQuery(\"#gform_11\").trigger(\"submit\",[true]); }' \/> <input type='hidden' name='gform_ajax' value='form_id=11&amp;title=&amp;description=&amp;tabindex=0&amp;theme=gravity-theme' \/>\n            <input type='hidden' class='gform_hidden' name='is_submit_11' value='1' \/>\n            <input type='hidden' class='gform_hidden' name='gform_submit' value='11' \/>\n            \n            <input type='hidden' class='gform_hidden' name='gform_unique_id' value='' \/>\n            <input type='hidden' class='gform_hidden' name='state_11' value='WyJbXSIsImMzZmY3ZDRjNjM0NWY0MGNlNjVlNjMzNWJlZThmMWVlIl0=' \/>\n            <input type='hidden' class='gform_hidden' name='gform_target_page_number_11' id='gform_target_page_number_11' value='0' \/>\n            <input type='hidden' class='gform_hidden' name='gform_source_page_number_11' id='gform_source_page_number_11' value='1' \/>\n            <input type='hidden' name='gform_field_values' value='' \/>\n            \n        <\/div>\n                        <p style=\"display: none !important;\" class=\"akismet-fields-container\" data-prefix=\"ak_\"><label>&#916;<textarea name=\"ak_hp_textarea\" cols=\"45\" rows=\"8\" maxlength=\"100\"><\/textarea><\/label><input type=\"hidden\" id=\"ak_js_1\" name=\"ak_js\" value=\"84\"\/><script>document.getElementById( \"ak_js_1\" ).setAttribute( \"value\", ( new Date() ).getTime() );<\/script><\/p><\/form>\n                        <\/div>\n\t\t                <iframe style='display:none;width:0px;height:0px;' src='about:blank' name='gform_ajax_frame_11' id='gform_ajax_frame_11' title='Dit iframe bevat de vereiste logica om Ajax aangedreven Gravity Forms te verwerken.'><\/iframe>\n\t\t                <script type=\"text\/javascript\">\n\/* <![CDATA[ *\/\n gform.initializeOnLoaded( function() {gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery('#gform_ajax_frame_11').on('load',function(){var contents = jQuery(this).contents().find('*').html();var is_postback = contents.indexOf('GF_AJAX_POSTBACK') >= 0;if(!is_postback){return;}var form_content = jQuery(this).contents().find('#gform_wrapper_11');var is_confirmation = jQuery(this).contents().find('#gform_confirmation_wrapper_11').length > 0;var is_redirect = contents.indexOf('gformRedirect(){') >= 0;var is_form = form_content.length > 0 && ! is_redirect && ! is_confirmation;var mt = parseInt(jQuery('html').css('margin-top'), 10) + parseInt(jQuery('body').css('margin-top'), 10) + 100;if(is_form){jQuery('#gform_wrapper_11').html(form_content.html());if(form_content.hasClass('gform_validation_error')){jQuery('#gform_wrapper_11').addClass('gform_validation_error');} else {jQuery('#gform_wrapper_11').removeClass('gform_validation_error');}setTimeout( function() { \/* delay the scroll by 50 milliseconds to fix a bug in chrome *\/ jQuery(document).scrollTop(jQuery('#gform_wrapper_11').offset().top - mt); }, 50 );if(window['gformInitDatepicker']) {gformInitDatepicker();}if(window['gformInitPriceFields']) {gformInitPriceFields();}var current_page = jQuery('#gform_source_page_number_11').val();gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery(document).trigger('gform_page_loaded', [11, current_page]);window['gf_submitting_11'] = false;}else if(!is_redirect){var confirmation_content = jQuery(this).contents().find('.GF_AJAX_POSTBACK').html();if(!confirmation_content){confirmation_content = contents;}setTimeout(function(){jQuery('#gform_wrapper_11').replaceWith(confirmation_content);jQuery(document).scrollTop(jQuery('#gf_11').offset().top - mt);jQuery(document).trigger('gform_confirmation_loaded', [11]);window['gf_submitting_11'] = false;wp.a11y.speak(jQuery('#gform_confirmation_message_11').text());}, 50);}else{jQuery('#gform_11').append(contents);if(window['gformRedirect']) {gformRedirect();}}jQuery(document).trigger(\"gform_pre_post_render\", [{ formId: \"11\", currentPage: \"current_page\", abort: function() { this.preventDefault(); } }]);                if (event.defaultPrevented) {                return;         }        const gformWrapperDiv = document.getElementById( \"gform_wrapper_11\" );        if ( gformWrapperDiv ) {            const visibilitySpan = document.createElement( \"span\" );            visibilitySpan.id = \"gform_visibility_test_11\";            gformWrapperDiv.insertAdjacentElement( \"afterend\", visibilitySpan );        }        const visibilityTestDiv = document.getElementById( \"gform_visibility_test_11\" );        let postRenderFired = false;                function triggerPostRender() {            if ( postRenderFired ) {                return;            }            postRenderFired = true;            jQuery( document ).trigger( 'gform_post_render', [11, current_page] );            gform.utils.trigger( { event: 'gform\/postRender', native: false, data: { formId: 11, currentPage: current_page } } );            if ( visibilityTestDiv ) {                visibilityTestDiv.parentNode.removeChild( visibilityTestDiv );            }        }        function debounce( func, wait, immediate ) {            var timeout;            return function() {                var context = this, args = arguments;                var later = function() {                    timeout = null;                    if ( !immediate ) func.apply( context, args );                };                var callNow = immediate && !timeout;                clearTimeout( timeout );                timeout = setTimeout( later, wait );                if ( callNow ) func.apply( context, args );            };        }        const debouncedTriggerPostRender = debounce( function() {            triggerPostRender();        }, 200 );        if ( visibilityTestDiv && visibilityTestDiv.offsetParent === null ) {            const observer = new MutationObserver( ( mutations ) => {                mutations.forEach( ( mutation ) => {                    if ( mutation.type === 'attributes' && visibilityTestDiv.offsetParent !== null ) {                        debouncedTriggerPostRender();                        observer.disconnect();                    }                });            });            observer.observe( document.body, {                attributes: true,                childList: false,                subtree: true,                attributeFilter: [ 'style', 'class' ],            });        } else {            triggerPostRender();        }    } );} ); \n\/* ]]> *\/\n<\/script>\n\n                          <\/div>\n          <\/div>\n        <\/div>\n      <\/div>\n    <\/div>\n  <\/section>\n","protected":false},"excerpt":{"rendered":"<p>Een NIS2-evidence pack is de documentatie die uw organisatie gebruikt om te bewijzen dat cybersecurity-risicobeheermaatregelen onder Artikel 21 niet alleen zijn vastgelegd, maar ook zijn ge\u00efmplementeerd. Voor EU-MKB\u2019s is het probleem versnipperd bewijs: \u00e9\u00e9n toegangsreview in een spreadsheet, \u00e9\u00e9n leverancierscheck bij procurement, \u00e9\u00e9n incidentprocedure bij IT, en geen totaaloverzicht dat deze registraties aan Artikel 21 &hellip; <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\">Read more<\/a><\/p>\n","protected":false},"author":15,"featured_media":33621,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"editor_plus_copied_stylings":"{}","footnotes":""},"categories":[18,110],"tags":[],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.9 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Het NIS2 minimum viable evidence pack | Sunbytes<\/title>\n<meta name=\"description\" content=\"Bereid een NIS2-evidence pack voor Artikel 21 voor met Tier 1-bewijs, folderstructuur, Nederlandse richtlijnen voor aantoonbaarheid en auditklare vervolgstappen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\" \/>\n<meta property=\"og:locale\" content=\"nl_NL\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Het NIS2 minimum viable evidence pack | Sunbytes\" \/>\n<meta property=\"og:description\" content=\"Bereid een NIS2-evidence pack voor Artikel 21 voor met Tier 1-bewijs, folderstructuur, Nederlandse richtlijnen voor aantoonbaarheid en auditklare vervolgstappen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\" \/>\n<meta property=\"og:site_name\" content=\"Tech and Talent Solutions - Sunbytes\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/sunbytes\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-05-24T03:50:34+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-05-24T03:53:27+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/The-NIS2-minimum-viable-evidence-pack-what-to-prepare-for-Article-21-compliance.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"628\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Uyen Pham\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:site\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:label1\" content=\"Geschreven door\" \/>\n\t<meta name=\"twitter:data1\" content=\"Uyen Pham\" \/>\n\t<meta name=\"twitter:label2\" content=\"Geschatte leestijd\" \/>\n\t<meta name=\"twitter:data2\" content=\"11 minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Organization\",\"name\":\"Sunbytes\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"contentUrl\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"width\":512,\"height\":512,\"caption\":\"Sunbytes\"},\"image\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/sunbytes\/\",\"https:\/\/twitter.com\/sunbytes\",\"https:\/\/www.linkedin.com\/company\/sunbytes\/\",\"https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/\"],\"knowsAbout\":[\"HR Solutions\",\"Payroll service\",\"EOR service\",\"Tech services\",\"Security services\"]},{\"@type\":\"Article\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\"},\"author\":{\"name\":\"Uyen Pham\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\"},\"headline\":\"Het NIS2 minimum viable evidence pack: wat u moet voorbereiden voor compliance met Artikel 21\",\"datePublished\":\"2026-05-24T03:50:34+00:00\",\"dateModified\":\"2026-05-24T03:53:27+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\"},\"wordCount\":2411,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"articleSection\":[\"Blog\",\"Cyberbeveiliging\"],\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\",\"url\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\",\"name\":\"Het NIS2 minimum viable evidence pack | Sunbytes\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\"},\"datePublished\":\"2026-05-24T03:50:34+00:00\",\"dateModified\":\"2026-05-24T03:53:27+00:00\",\"description\":\"Bereid een NIS2-evidence pack voor Artikel 21 voor met Tier 1-bewijs, folderstructuur, Nederlandse richtlijnen voor aantoonbaarheid en auditklare vervolgstappen.\",\"breadcrumb\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#breadcrumb\"},\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/sunbytes.io\/nl\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Blog\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Cyberbeveiliging\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"Het NIS2 minimum viable evidence pack: wat u moet voorbereiden voor compliance met Artikel 21\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"name\":\"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate\",\"description\":\"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt\",\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/sunbytes.io\/nl\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"nl\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\",\"name\":\"Uyen Pham\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"caption\":\"Uyen Pham\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Het NIS2 minimum viable evidence pack | Sunbytes","description":"Bereid een NIS2-evidence pack voor Artikel 21 voor met Tier 1-bewijs, folderstructuur, Nederlandse richtlijnen voor aantoonbaarheid en auditklare vervolgstappen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/","og_locale":"nl_NL","og_type":"article","og_title":"Het NIS2 minimum viable evidence pack | Sunbytes","og_description":"Bereid een NIS2-evidence pack voor Artikel 21 voor met Tier 1-bewijs, folderstructuur, Nederlandse richtlijnen voor aantoonbaarheid en auditklare vervolgstappen.","og_url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/","og_site_name":"Tech and Talent Solutions - Sunbytes","article_publisher":"https:\/\/www.facebook.com\/sunbytes\/","article_published_time":"2026-05-24T03:50:34+00:00","article_modified_time":"2026-05-24T03:53:27+00:00","og_image":[{"width":1200,"height":628,"url":"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/The-NIS2-minimum-viable-evidence-pack-what-to-prepare-for-Article-21-compliance.webp","type":"image\/webp"}],"author":"Uyen Pham","twitter_card":"summary_large_image","twitter_creator":"@sunbytes","twitter_site":"@sunbytes","twitter_misc":{"Geschreven door":"Uyen Pham","Geschatte leestijd":"11 minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Organization","name":"Sunbytes","url":"https:\/\/sunbytes.io\/nl\/","logo":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/","url":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","contentUrl":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","width":512,"height":512,"caption":"Sunbytes"},"image":{"@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/sunbytes\/","https:\/\/twitter.com\/sunbytes","https:\/\/www.linkedin.com\/company\/sunbytes\/","https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/"],"knowsAbout":["HR Solutions","Payroll service","EOR service","Tech services","Security services"]},{"@type":"Article","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#article","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/"},"author":{"name":"Uyen Pham","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2"},"headline":"Het NIS2 minimum viable evidence pack: wat u moet voorbereiden voor compliance met Artikel 21","datePublished":"2026-05-24T03:50:34+00:00","dateModified":"2026-05-24T03:53:27+00:00","mainEntityOfPage":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/"},"wordCount":2411,"commentCount":0,"publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"articleSection":["Blog","Cyberbeveiliging"],"inLanguage":"nl","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/","url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/","name":"Het NIS2 minimum viable evidence pack | Sunbytes","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/#website"},"datePublished":"2026-05-24T03:50:34+00:00","dateModified":"2026-05-24T03:53:27+00:00","description":"Bereid een NIS2-evidence pack voor Artikel 21 voor met Tier 1-bewijs, folderstructuur, Nederlandse richtlijnen voor aantoonbaarheid en auditklare vervolgstappen.","breadcrumb":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#breadcrumb"},"inLanguage":"nl","potentialAction":[{"@type":"ReadAction","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/sunbytes.io\/nl\/"},{"@type":"ListItem","position":2,"name":"Blog","item":"https:\/\/sunbytes.io\/nl\/blog\/"},{"@type":"ListItem","position":3,"name":"Cyberbeveiliging","item":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/"},{"@type":"ListItem","position":4,"name":"Het NIS2 minimum viable evidence pack: wat u moet voorbereiden voor compliance met Artikel 21"}]},{"@type":"WebSite","@id":"https:\/\/sunbytes.io\/nl\/#website","url":"https:\/\/sunbytes.io\/nl\/","name":"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate","description":"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt","publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/sunbytes.io\/nl\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"nl"},{"@type":"Person","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2","name":"Uyen Pham","image":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","caption":"Uyen Pham"}}]}},"_links":{"self":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/33724"}],"collection":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/comments?post=33724"}],"version-history":[{"count":7,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/33724\/revisions"}],"predecessor-version":[{"id":33734,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/33724\/revisions\/33734"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media\/33621"}],"wp:attachment":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media?parent=33724"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/categories?post=33724"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/tags?post=33724"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}