{"id":35311,"date":"2026-06-10T11:44:49","date_gmt":"2026-06-10T09:44:49","guid":{"rendered":"https:\/\/sunbytes.io\/?p=35311"},"modified":"2026-06-10T11:44:51","modified_gmt":"2026-06-10T09:44:51","slug":"devsecops-nis2-nederlandse-bedrijven","status":"publish","type":"post","link":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/","title":{"rendered":"DevSecOps en NIS2: wat Nederlandse bedrijven moeten doen v\u00f3\u00f3r juli 2026"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_62 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title \" >In this post<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #0d023e;color:#0d023e\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #0d023e;color:#0d023e\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#TLDR\" title=\"TL;DR:&nbsp;\">TL;DR:&nbsp;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#Wat_NIS2_Artikel_21_vereist_van_uw_softwareontwikkelingsproces\" title=\"Wat NIS2 Artikel 21 vereist van uw softwareontwikkelingsproces\">Wat NIS2 Artikel 21 vereist van uw softwareontwikkelingsproces<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#De_Cyberbeveiligingswet_wat_er_verandert_voor_Nederlandse_bedrijven_in_juli_2026\" title=\"De Cyberbeveiligingswet: wat er verandert voor Nederlandse bedrijven in juli 2026\">De Cyberbeveiligingswet: wat er verandert voor Nederlandse bedrijven in juli 2026<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#Hoe_DevSecOps-controles_in_kaart_worden_gebracht_aan_de_hand_van_NIS2_Artikel_21-verplichtingen\" title=\"Hoe DevSecOps-controles in kaart worden gebracht aan de hand van NIS2 Artikel 21-verplichtingen\">Hoe DevSecOps-controles in kaart worden gebracht aan de hand van NIS2 Artikel 21-verplichtingen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#Hoe_het_auditbewijsspoor_eruitziet\" title=\"Hoe het auditbewijsspoor eruitziet\">Hoe het auditbewijsspoor eruitziet<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#Stappen_die_u_voor_juli_2026_moet_nemen\" title=\"Stappen die u v\u00f3\u00f3r juli 2026 moet nemen\">Stappen die u v\u00f3\u00f3r juli 2026 moet nemen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#Hoe_Sunbytes_NIS2-gereed_DevSecOps_ondersteunt\" title=\"Hoe Sunbytes NIS2-gereed DevSecOps ondersteunt\">Hoe Sunbytes NIS2-gereed DevSecOps ondersteunt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#FAQs\" title=\"FAQs\">FAQs<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#Laten_we_beginnen_met_Sunbytes\" title=\"Laten we beginnen met Sunbytes\">Laten we beginnen met Sunbytes<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\" eplus-wrapper\">NIS2-gereedheid voor DevSecOps betekent bewijzen dat uw <a href=\"https:\/\/sunbytes.io\/nl\/tech-service\/softwareontwikkelingsdiensten\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>softwareontwikkelingsproces<\/strong><\/a> over werkende beveiligingscontroles beschikt, en niet alleen over geschreven beleid. V\u00f3\u00f3r juli 2026 moeten Nederlandse bedrijven die binnen de scope van de Cyberbeveiligingswet vallen, bewijsmateriaal leveren voor Artikel 21-controles, zoals veilige ontwikkeling, beveiliging van de toeleveringsketen, toegangsbeheer en effectiviteitstesten. Voor engineeringteams komt het praktische bewijs meestal voort uit SAST, SCA, CI\/CD-toegangsbeoordelingen, logs van kwetsbaarheidsherstel en verslagen van incidentrespons.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse engineeringteams vereist NIS2 een gedocumenteerde manier om aan te tonen dat beveiliging is ingebouwd in de manier waarop code wordt geschreven, getest, vrijgegeven en onderhouden.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een DevOps-team dat al code-reviews, dependency-scans en gecontroleerde releases uitvoert, is wellicht dichterbij dan het denkt. Het gat is vaak het auditspoor: wie heeft de bevinding beoordeeld, wanneer is deze opgelost, welke release heeft deze gesloten en waar is het bewijsmateriaal opgeslagen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor bedrijven die een breder DevSecOps-capaciteitsplan nodig hebben, lees onze <strong>DevSecOps teamwervingsgids voor EU-bedrijven<\/strong>.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"TLDR\"><\/span><strong>TL;DR:&nbsp;<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-53a77c\">\n<li class=\" eplus-wrapper\">NIS2-gereedheid voor DevSecOps betekent dat uw softwareleveringsproces kan bewijzen dat Artikel 21-controles actief zijn, beoordeeld en gecorrigeerd.\u00a0<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Voor Nederlandse bedrijven die zich voorbereiden op de Cyberbeveiligingswet rond juli 2026, is de kern van het bewijsmateriaal SAST\/SCA-output, toegangsbeoordelingen, herstelverslagen, dependency-beheer en tijdlijnen voor incidentrespons.<\/li>\n<\/ul>\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_NIS2_Artikel_21_vereist_van_uw_softwareontwikkelingsproces\"><\/span><strong>Wat NIS2 Artikel 21 vereist van uw softwareontwikkelingsproces<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\"><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 Artikel 21 <\/a>vereist dat essenti\u00eble en belangrijke entiteiten technische, operationele en organisatorische maatregelen nemen om cyberbeveiligingsrisico&#8217;s te beheersen. Voor softwareontwikkelingsteams, zijn de meest relevante clausules Artikel 21(2)(d), 21(2)(e), 21(2)(f) en 21(2)(i).<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><a href=\"https:\/\/www.nis-2-directive.com\/NIS_2_Directive_Article_21.html\">Artikel 21(2)(d)<\/a> behandelt de <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-supply-chain-security\/\" target=\"_blank\" rel=\"noreferrer noopener\">beveiliging van de toeleveringsketen<\/a>. In een ontwikkelingscontext betekent dit dat uw team moet weten welke bibliotheken van derden, open-source dependencies, clouddiensten en tools voor softwareontwikkeling het risico van uw product be\u00efnvloeden.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><a href=\"https:\/\/www.nis-2-directive.com\/NIS_2_Directive_Article_21.html\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 21(2)(e)<\/a> behandelt de beveiliging bij de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen. Voor engineeringteams sluit dit direct aan bij veilige <a href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/wat-is-de-software-development-life-cycle\/\"><strong>SDLC-controles<\/strong><\/a>: code-review, SAST, DAST, kwetsbaarheidsafhandeling en veilig onderhoud na release.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><a href=\"https:\/\/www.nis-2-directive.com\/NIS_2_Directive_Article_21.html\">Artikel 21(2)(f)<\/a> behandelt beleid en procedures om te beoordelen of maatregelen voor cyberbeveiligingsrisicobeheer werken. Alleen beleid is niet genoeg. Uw team heeft testverslagen, scancadans, bewijs van hertesten en bewijs dat kritieke bevindingen worden gevolgd tot sluiting nodig.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><a href=\"https:\/\/www.nis-2-directive.com\/NIS_2_Directive_Article_21.html\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 21(2)(i) <\/a>behandelt de beveiliging van personeel, toegangscontrole en activabeheer. Voor <a href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/wat-is-devsecops\/\" target=\"_blank\" rel=\"noreferrer noopener\">DevSecOps<\/a>, betekent dit least-privilege toegang tot repositories, CI\/CD-pijplijnen, cloudomgevingen en productiesystemen, met gedocumenteerde toegangsbeoordelingen.<\/p>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table><thead><tr><th><strong>NIS2 Artikel 21 sub-clausule<\/strong><\/th><th><strong>Wat het betekent voor uw dev-team<\/strong><\/th><th><strong>Vereist bewijsmateriaal<\/strong><\/th><\/tr><\/thead><tbody><tr><td>21(2)(d) &#8211; Beveiliging van de toeleveringsketen<\/td><td>Beveiligingsscreening van bibliotheken van derden, open-source dependencies en leveranciers van ontwikkelingstools<\/td><td>Software Composition Analysis-logs, dependency-inventaris, verslagen van beveiligingsbeoordelingen van leveranciers<\/td><\/tr><tr><td>21(2)(e) &#8211; Veilige ontwikkeling en onderhoud<\/td><td>Beveiligingscontroles ingebed in de ontwikkelingslevenscyclus: code-review, SAST, DAST en penetratietesten v\u00f3\u00f3r belangrijke releases<\/td><td>SAST-scanrapporten, DAST-rapporten, bevindingen van penetratietesten, herstelverslagen, bewijs van hertesten<\/td><\/tr><tr><td>21(2)(f) &#8211; Beoordeling van effectiviteit<\/td><td>Regelmatig testen of controles daadwerkelijk werken, en niet alleen beleid dat stelt dat ze bestaan<\/td><td>Kwartaal-auditspoor, penetratietestrapport met hertest, cadanslog van kwetsbaarheidsscans<\/td><\/tr><tr><td>21(2)(i) &#8211; Toegangscontrole<\/td><td>Least-privilege toegang tot CI\/CD-pijplijnen, code-repositories en productieomgevingen<\/td><td>Kwartaalverslagen van toegangsbeoordelingen, RBAC-beleidsdocumentatie, auditlog van offboarding<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\"><em>NIS2 Artikel 21 vereisten voor uw softwareontwikkelingsproces<\/em><\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Als uw compliance-team Artikel 21 nog aan het vertalen is naar controlegebieden, verken dan<a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\" target=\"_blank\" rel=\"noreferrer noopener\"> <strong>NIS2 Artikel 21 risicobeheersmaatregelen<\/strong><\/a>, waarin de volledige set vereisten van Artikel 21 wordt uitgelegd.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"De_Cyberbeveiligingswet_wat_er_verandert_voor_Nederlandse_bedrijven_in_juli_2026\"><\/span><strong>De Cyberbeveiligingswet: wat er verandert voor Nederlandse bedrijven in juli 2026<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">De<a href=\"https:\/\/www.nldigitalgovernment.nl\/nis2-directive-cyberbeveiligingswet-cbw\/how-did-the-cyberbeveiligingswet-come-about\/\" target=\"_blank\" rel=\"noreferrer noopener\"> Cyberbeveiligingswet<\/a> is de Nederlandse wet die de EU NIS2-richtlijn omzet in nationale wetgeving. Er wordt verwacht dat deze de huidige Wet beveiliging netwerk- en informatiesystemen zal vervangen zodra deze in werking treedt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse bedrijven is de praktische verandering dat meer organisaties hun zorgplicht, gereedheid voor incidentrapportage en registratie moeten aantonen. De exacte scope hangt af van de sector, grootte en of het bedrijf is geclassificeerd als een essenti\u00eble of belangrijke entiteit.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Essenti\u00eble entiteiten omvatten organisaties in sectoren zoals energie, transport, bankwezen, infrastructuur voor de financi\u00eble markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheer van ICT-diensten, overheid en ruimtevaart.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Belangrijke entiteiten omvatten sectoren zoals postdiensten, afvalbeheer, productie, levensmiddelen en digitale aanbieders. Software- en IT-dienstverleners kunnen binnen de scope vallen wanneer ze voldoen aan de relevante criteria voor grootte en sector, of wanneer ze diensten verlenen die klanten in essenti\u00eble sectoren ondersteunen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor overtredingen van Artikel 21 en <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-23-incident-reporting\/\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 23<\/a>, stelt NIS2 boetedrempels vast van ten minste EUR 10 miljoen of 2% van de wereldwijde jaaromzet voor essenti\u00eble entiteiten, afhankelijk van wat hoger is. Voor belangrijke entiteiten is de drempel ten minste EUR 7 miljoen of 1,4% van de wereldwijde jaaromzet, afhankelijk van wat hoger is.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor engineering- en DevOps-teams is de boete niet het belangrijkste punt. Het belangrijkste punt is het verzoek om bewijsmateriaal dat voorafgaat aan een audit, vragenlijst van klanten of toezichthoudende toetsing: &#8220;Toon aan dat uw ontwikkelingscontroles actief waren, beoordeeld en gecorrigeerd wanneer er bevindingen verschenen.&#8221; Dat betekent dat de Cyberbeveiligingswet zowel een documentatieprobleem als een beveiligingstoolingprobleem cre\u00ebert. Een werkende pijplijn die geen auditspoor achterlaat, zal moeilijk te verdedigen zijn.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Niet zeker of uw DevSecOps-proces voldoet aan NIS2 Artikel 21? Sunbytes voert een gestructureerde NIS2-gereedheidscontrole uit op uw huidige ontwikkelpijplijn, waarbij uw bestaande controles in kaart worden gebracht aan de hand van Artikel 21-verplichtingen en een herstelstappenplan met bewijsvereisten wordt opgesteld. ISO 27001 gecertificeerd. Alle opdrachten kunnen worden uitgevoerd onder een ondertekende DPA. Controleer uw NIS2-gereedheid.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_DevSecOps-controles_in_kaart_worden_gebracht_aan_de_hand_van_NIS2_Artikel_21-verplichtingen\"><\/span><strong>Hoe DevSecOps-controles in kaart worden gebracht aan de hand van NIS2 Artikel 21-verplichtingen<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 noemt DevSecOps niet bij naam. Maar Artikel 21(2)(d), 21(2)(e), 21(2)(f) en 21(2)(i) beschrijven de outputs die een volwassen DevSecOps-pijplijn zou moeten produceren: dependency-controle, controles voor veilige ontwikkeling, toegangsbeheer en herhaalbare effectiviteitstesten.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De controle zelf is slechts de helft van de vereiste. De andere helft is bewijs.<\/p>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table><thead><tr><th><strong>DevSecOps-controle<\/strong><\/th><th><strong>Brengt NIS2 Artikel 21 in kaart<\/strong><\/th><th><strong>Bewijsformaat voor audit<\/strong><\/th><\/tr><\/thead><tbody><tr><td>SAST in CI\/CD-pijplijn<\/td><td>21(2)(e) &#8211; veilige ontwikkeling<\/td><td>Scanrapport per release, bevindingenlijst met ernst, herstelstatus<\/td><\/tr><tr><td>DAST v\u00f3\u00f3r release<\/td><td>21(2)(e) &#8211; veilige ontwikkeling<\/td><td>Testrapport met aanvalspaden, bewijs van hertesten dat bevindingen zijn gesloten<\/td><\/tr><tr><td>Software Composition Analysis voor dependencies<\/td><td>21(2)(d) &#8211; beveiliging van de toeleveringsketen<\/td><td>Auditlog van dependencies, CVE-tracking, verslagen van patching-SLA<\/td><\/tr><tr><td>Penetratietesten, jaarlijks of per belangrijke release<\/td><td>21(2)(f) &#8211; beoordeling van effectiviteit<\/td><td>Volledig penetratietestrapport, herstelstappenplan, bewijs van hertesten per kritieke bevinding<\/td><\/tr><tr><td>Least-privilege toegangscontrole in pijplijn en repositories<\/td><td>21(2)(i) &#8211; toegangscontrole<\/td><td>Kwartaalverslag van toegangsbeoordelingen dat aantoont wie toegang heeft en het goedkeuringsspoor<\/td><\/tr><tr><td>Geautomatiseerde geheimen-scan in CI\/CD<\/td><td>21(2)(e) &#8211; veilige ontwikkeling<\/td><td>Scanlogs, documentatie van beleid voor geen-geheimen-in-repo<\/td><\/tr><tr><td>Gedocumenteerde incidentrespons-procedure met benoemde rollen<\/td><td>21(2)(b) &#8211; incidentafhandeling<\/td><td>Incidentresponsplan, tijdlijn van detectie-tot-melding, Artikel 23 log<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\"><em>DevSecOps-controles brengen NIS2 Artikel 21-verplichtingen in kaart<\/em><\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Als uw pijplijn al SAST en dependency-scans uitvoert met gedocumenteerde herstel-SLA&#8217;s, beschikt u over de bewijsbasis voor delen van Artikelen 21(2)(d) en 21(2)(e). Het gat is meestal niet de tooling. Het gat is of de output wordt bewaard, beoordeeld en gekoppeld aan eigenaarschap.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een SAST-bevinding die verschijnt in een build-log maar nooit een ticket wordt, is zwak bewijs. Een SAST-bevinding die wordt gelogd, toegewezen, op risico gerangschikt, opgelost, hergetest en gekoppeld aan een release-verslag is bruikbaar bewijs.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Hetzelfde geldt voor dependency-scanning. Een dependency-tool die CVE&#8217;s markeert is nuttig, maar bewijs voor Artikel 21 heeft de volgende stap nodig: welke CVE&#8217;s zijn geaccepteerd, welke zijn opgelost, welke zijn uitgesteld en wie heeft het besluit goedgekeurd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor degenen die de pijplijnmechanica achter deze controles nodig hebben, lees onze DevSecOps pijplijngids. Hierin wordt uitgelegd hoe CI\/CD, geautomatiseerde beveiligingscontroles en release-gates samenwerken.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_het_auditbewijsspoor_eruitziet\"><\/span><strong>Hoe het auditbewijsspoor eruitziet<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Een NIS2-bewijsspoor moet vier vragen beantwoorden:<\/p>\n\n\n<ol class=\" eplus-wrapper eplus-styles-uid-c76ee0\">\n<li class=\" eplus-wrapper\">Welke controle bestaat er?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Wanneer is het uitgevoerd?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Wat is er gevonden?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Wat is er veranderd naar aanleiding van de bevinding?<\/li>\n<\/ol>\n\n\n<p class=\" eplus-wrapper\">Voor een DevSecOps-team bevindt het bewijsspoor zich meestal in verschillende systemen: CI\/CD-logs, dashboards van beveiligingstools, ticketsystemen, verslagen van toegangsbeoordelingen, documentatie van incidentrespons en release-opmerkingen. Het compliancerisico ontstaat wanneer die systemen niet op elkaar aansluiten.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een praktisch bewijspakket voor softwareontwikkeling moet het volgende bevatten:<\/p>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table><thead><tr><th><strong>Bewijsgebied<\/strong><\/th><th><strong>Minimaal nuttig verslag<\/strong><\/th><th><strong>Eigenaar<\/strong><\/th><\/tr><\/thead><tbody><tr><td>CI\/CD-beveiligingstesten<\/td><td>Resultaten van SAST, DAST en geheimen-scanning gekoppeld aan releases<\/td><td>DevSecOps engineer<\/td><\/tr><tr><td>Dependency-beveiliging<\/td><td>SCA-rapporten, CVE-triage en patching-verslagen<\/td><td>DevOps Lead<\/td><\/tr><tr><td>Toegangscontrole<\/td><td>Driemaandelijkse toegangsbeoordeling voor repositories, CI\/CD en productie<\/td><td>IT Manager<\/td><\/tr><tr><td>Kwetsbaarheidsafhandeling<\/td><td>Bevindingenregister, herstelstatus, hertestverslag<\/td><td>CISO of Security Lead<\/td><\/tr><tr><td>Incidentrespons<\/td><td>Benoemde rollen, escalatieroute, tijdlijn van detectie-tot-melding<\/td><td>CISO of IT Director<\/td><\/tr><tr><td>Beveiliging van leveranciers en tools<\/td><td>Beoordelingsnota&#8217;s van leveranciers, inventarisatie van tools, dependency-beleid<\/td><td>Engineering Manager<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\"><em>Een bewijspakket voor softwareontwikkeling<\/em><\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">De auditvraag is zelden: &#8220;Gebruikt u SAST?&#8221; Het is waarschijnlijker: &#8220;Toon bewijs aan dat uw SAST-controle de afgelopen 12 maanden actief was, en laat zien hoe bevindingen met een hoge ernst werden afgehandeld.&#8221;<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Hetzelfde geldt voor toegangscontrole. Een op rollen gebaseerd toegangsbeleid is nuttig, maar het sterkere bewijs is een driemaandelijks beoordelingsverslag: wie had toegang, wat is er veranderd, wie heeft het goedgekeurd en welke accounts zijn verwijderd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Bewijs voor incidentrespons heeft een aparte tijdlijn nodig. <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-23-incident-reporting\/\">Artikel 23<\/a> vereist een vroege waarschuwing binnen 24 uur nadat men zich bewust is geworden van een significant incident en een gedetailleerdere incidentmelding binnen 72 uur. Uw engineeringproces moet al defini\u00ebren wie de technische impact bevestigt, wie het incidentverslag opent, wie indicatoren van compromis verzamelt en wie het meldingstraject goedkeurt.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Stappen_die_u_voor_juli_2026_moet_nemen\"><\/span><strong>Stappen die u v\u00f3\u00f3r juli 2026 moet nemen<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\" wp-block-image size-large eplus-wrapper\"><img decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/6-stappen-om-de-DevSecOps-pipeline-voor-te-bereiden-op-NIS2-gereedheid-1024x576.webp\" alt=\"6-stappen-om-de-DevSecOps-pipeline-voor-te-bereiden-op-NIS2-gereedheid\" class=\"wp-image-35317\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/6-stappen-om-de-DevSecOps-pipeline-voor-te-bereiden-op-NIS2-gereedheid-1024x576.webp 1024w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/6-stappen-om-de-DevSecOps-pipeline-voor-te-bereiden-op-NIS2-gereedheid-300x169.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/6-stappen-om-de-DevSecOps-pipeline-voor-te-bereiden-op-NIS2-gereedheid-768x432.webp 768w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/6-stappen-om-de-DevSecOps-pipeline-voor-te-bereiden-op-NIS2-gereedheid-1536x864.webp 1536w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/6-stappen-om-de-DevSecOps-pipeline-voor-te-bereiden-op-NIS2-gereedheid-2048x1152.webp 2048w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n<ol class=\" eplus-wrapper eplus-styles-uid-e524a0\">\n<li class=\" eplus-wrapper\">Breng uw huidige DevSecOps-controles in kaart aan de hand van Artikel 21(2)(d), 21(2)(e), 21(2)(f) en 21(2)(i).\u00a0<\/li>\n<\/ol>\n\n\n<p class=\" eplus-wrapper\">Eigenaar: CISO of DevOps Lead.&nbsp;<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Output: \u00e9\u00e9n gap-analysedocument dat laat zien welke controles bestaan, waar het bewijsmateriaal is opgeslagen en waar de hiaten zitten.<\/p>\n\n\n<ol start=\"2\" class=\" eplus-wrapper eplus-styles-uid-e20205\">\n<li class=\" eplus-wrapper\">Stel een driemaandelijkse cadans voor toegangsbeoordelingen vast voor <a href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/ci-cd-pipeline\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>CI\/CD-pijplijnen<\/strong><\/a>, code-repositories en productieomgevingen.\u00a0<\/li>\n<\/ol>\n\n\n<p class=\" eplus-wrapper\">Eigenaar: IT Manager.&nbsp;<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Output: verslag van toegangsbeoordeling met naam van de beoordelaar, datum van goedkeuring, verwijderde accounts en aantekeningen over uitzonderingen.<\/p>\n\n\n<ol start=\"3\" class=\" eplus-wrapper eplus-styles-uid-d987d1\">\n<li class=\" eplus-wrapper\">Verifieer SAST- en SCA-tooling in uw CI\/CD-pijplijn.\u00a0<\/li>\n<\/ol>\n\n\n<p class=\" eplus-wrapper\">Eigenaar: DevSecOps engineer.&nbsp;<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Output: scanrapporten opgeslagen per release, met bevindingen toegewezen aan tickets en bewaard gedurende ten minste 12 maanden.<\/p>\n\n\n<ol start=\"4\" class=\" eplus-wrapper eplus-styles-uid-65eb15\">\n<li class=\" eplus-wrapper\">Plan een<strong> <\/strong>penetratietestsessie als er de afgelopen 12 maanden geen geldige test is voltooid.\u00a0<\/li>\n<\/ol>\n\n\n<p class=\" eplus-wrapper\">Eigenaar: CISO.&nbsp;<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Output: penetratietestrapport, herstelstappenplan en bewijs van hertesten voor kritieke en hoge bevindingen.<\/p>\n\n\n<ol start=\"5\" class=\" eplus-wrapper eplus-styles-uid-8d44a1\">\n<li class=\" eplus-wrapper\">Documenteer uw incidentrespons-procedure voor ontwikkelings- en productiesystemen.\u00a0<\/li>\n<\/ol>\n\n\n<p class=\" eplus-wrapper\">Eigenaar: CISO of IT Director.&nbsp;<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Output: benoemde rollen, escalatiepad, ernstcriteria en tijdlijn van detectie-tot-melding.<\/p>\n\n\n<ol start=\"6\" class=\" eplus-wrapper eplus-styles-uid-fd22ad\">\n<li class=\" eplus-wrapper\">Beoordeel uw toeleveringsketen voor ontwikkeling.\u00a0<\/li>\n<\/ol>\n\n\n<p class=\" eplus-wrapper\">Eigenaar: DevOps Lead.&nbsp;<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Output: dependency-inventaris, lijst met ontwikkelingstools, beoordelingsnota&#8217;s voor beveiliging van leveranciers en een beleid voor het goedkeuren van nieuwe dependencies.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Deze zes stappen leveren de bewijsbasis op die Artikel 21-naleving vereist. Door v\u00f3\u00f3r juli 2026 te beginnen, heeft uw team de tijd om de cadans voor toegangsbeoordelingen op te bouwen, testen te plannen en risicovolle bevindingen te sluiten voordat een klant of toezichthouder om bewijs vraagt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Na de gap-analyse ontdekken sommige teams dat de ontbrekende controle niet een tool is, maar eigenaarschap. Dit is waar <a href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/devsecops-engineers-aannemen-eu\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>een speciale DevSecOps-rol<\/strong><\/a> noodzakelijk wordt.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_Sunbytes_NIS2-gereed_DevSecOps_ondersteunt\"><\/span><strong>Hoe Sunbytes NIS2-gereed DevSecOps ondersteunt<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\"><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\"><strong>NIS2 Artikel 21<\/strong><\/a> vereist bewijs dat de controles die uw team al uitvoert, of zou moeten uitvoeren, gedocumenteerd, getest en effectief zijn. Het gat tussen een functionerende DevSecOps-pijplijn en een NIS2-gereede pijplijn is meestal een auditspoor, geen herbouw van de tooling.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Sunbytes helpt Nederlandse bedrijven om dat bewijsgat om te zetten in een herstelstappenplan. Onze <a href=\"https:\/\/sunbytes.io\/cybersecurity-service-provider\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>CyberSecurity Solutions<\/strong><\/a> brengen CI\/CD-controles, toegangsbeoordelingen, kwetsbaarheidsafhandeling en verslagen van incidentrespons in kaart voor Artikel 21-verplichtingen van de NIS2. De <a href=\"https:\/\/sunbytes.io\/nl\/tech-services\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>Digital Transformation Solutions<\/strong><\/a><strong> <\/strong>helpen engineeringteams bij het implementeren van de vereiste leveringswijzigingen in de pijplijn, terwijl <a href=\"https:\/\/sunbytes.io\/nl\/hr-diensten\/\"><strong>Accelerate Workforce Solutions<\/strong><\/a> gescreende DevSecOps- of QA-capaciteit kunnen toevoegen wanneer eigenaarschap ontbreekt. ISO 27001 gecertificeerd. Opdrachten kunnen worden uitgevoerd onder een ondertekende DPA met documentatie die klaar is voor audit.Voor NIS2-gereed DevSecOps is het doel een ontwikkelingsproces dat kan bewijzen wat het controleert: scanresultaten, toegangsbeoordelingen, herstelverslagen, incidenttijdlijnen en bewijseigenaren. Sunbytes helpt Nederlandse bedrijven dat werk te structureren op het gebied van levering, beveiliging en capaciteit. <a href=\"https:\/\/sunbytes.io\/nl\/hr-diensten\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>Vraag een NIS2-gereedheidscontrole aan voor uw DevSecOps-pijplijn.<\/strong><\/a><\/p>\n\n\n<div\n    class=\"block-faq row justify-content-lg-center \"\n    id=\"block_03604b81c81a4e4abed6711f9c450833\"\n  >\n    <div class=\"col-lg-10\">\n      <h2 class=\"block-faq__title\"><span class=\"ez-toc-section\" id=\"FAQs\"><\/span>FAQs<span class=\"ez-toc-section-end\"><\/span><\/h2>\n      <div class=\"block-faq__content\" id=\"faq-accordion\">\n                              <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-0\" aria-expanded=\"false\" aria-controls=\"faq-0\">\n                Is NIS2 van toepassing op mijn Nederlandse softwarebedrijf?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-0\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">NIS2 kan van toepassing zijn als uw Nederlandse softwarebedrijf actief is in een gedekte sector, kwalificeert als een middelgrote of grote entiteit, digitale diensten verleent of klanten in essenti\u00eble sectoren ondersteunt. Software- en IT-dienstverleners moeten controleren of ze vallen onder de criteria voor digitale aanbieders, managed service providers of toeleveringsketens. Gebruik de Nederlandse NIS2-zelfevaluatietool voordat u een definitief besluit neemt over de scope.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-1\" aria-expanded=\"false\" aria-controls=\"faq-1\">\n                Wat is het verschil tussen NIS2 en de Cyberbeveiligingswet?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-1\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">NIS2 is de EU-richtlijn. De Cyberbeveiligingswet is de Nederlandse wet die de NIS2 in Nederland implementeert. Voor Nederlandse bedrijven bepaalt de Cyberbeveiligingswet hoe de NIS2-verplichtingen lokaal van toepassing zijn, inclusief registratie, toezicht en handhaving.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-2\" aria-expanded=\"false\" aria-controls=\"faq-2\">\n                Vereist NIS2 DevSecOps?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-2\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">NIS2 vereist DevSecOps niet bij naam. Het vereist maatregelen voor cyberbeveiligingsrisicobeheer, waaronder beveiliging van de toeleveringsketen, veilige ontwikkeling, kwetsbaarheidsafhandeling, effectiviteitstesten en toegangscontrole. DevSecOps is een praktische manier voor softwareteams om het bewijsmateriaal achter die vereisten te leveren.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-3\" aria-expanded=\"false\" aria-controls=\"faq-3\">\n                Welke DevSecOps-controles zijn het meest relevant voor NIS2 Artikel 21?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-3\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">De meest relevante controles zijn SAST, DAST, softwareontledingsanalyse (SCA), geheimen-scanning, penetratietesten, least-privilege toegang en procedures voor incidentrespons. Deze controles worden in kaart gebracht voor Artikel 21(2)(d), 21(2)(e), 21(2)(f), 21(2)(i) en Artikel 21(2)(b).<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-4\" aria-expanded=\"false\" aria-controls=\"faq-4\">\n                Is een SAST-scan voldoende voor NIS2-gereedheid?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-4\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">Nee. Een SAST-scan is nuttig bewijsmateriaal voor veilige ontwikkeling, maar op zichzelf niet voldoende. Uw team heeft ook herstelverslagen, afhandeling van de ernst, bewijs van hertesten, dependency-beheer, toegangsbeoordelingen en bewijs nodig dat bevindingen worden gevolgd tot ze zijn opgelost.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-5\" aria-expanded=\"false\" aria-controls=\"faq-5\">\n                Hoe lang duurt het om DevSecOps-bewijsmateriaal voor NIS2 voor te bereiden?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-5\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">Een gerichte nulmeting kan in drie tot vier weken worden opgebouwd als uw pijplijn al over beveiligingstools en toegangsverslagen beschikt. Herstel kan langer duren als penetratietesten, toegangsbeoordelingen of dependency-beheer ontbreken. De items die het langst duren, zijn meestal de planning van de testen en het opbouwen van een driemaandelijkse cadans voor beoordelingen.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-6\" aria-expanded=\"false\" aria-controls=\"faq-6\">\n                Wat moeten engineeringteams voorbereiden v\u00f3\u00f3r een NIS2-audit of vragenlijst van klanten?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-6\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">Bereid een overzicht van de controles voor, samen met CI\/CD-scanbewijs, een inventaris van dependencies, een register van kwetsbaarheden, verslagen van toegangsbeoordelingen, een tijdlijn van de incidentrespons, een penetratietestrapport en een herstelstappenplan. Het bewijsmateriaal moet laten zien welke controle er bestaat, wanneer deze is uitgevoerd, wat er is gevonden en wat er is veranderd naar aanleiding van de bevinding.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-7\" aria-expanded=\"false\" aria-controls=\"faq-7\">\n                Wie moet eigenaar zijn van de NIS2-gereedheid voor DevSecOps?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-7\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">De CISO of IT-directeur moet de eigenaar zijn van het complianceresultaat, maar de DevOps Lead of Head of Engineering moet de eigenaar zijn van het technische bewijsmateriaal. NIS2-gereedheid mislukt wanneer compliance de eigenaar is van het beleid, maar engineering de eigenaar is van de systemen en geen van beide teams de eigenaar is van het bewijsspoor.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                        <\/div>\n    <\/div>\n  <\/div>\n\n\n\n<div style=\"height:39px\" aria-hidden=\"true\" id=\"contact\" class=\"contact wp-block-spacer eplus-wrapper\"><\/div>\n\n\n<section\n    class=\"conversion-form \"\n    id=\"block_4086e3cdff96b315bd1dd286b93950b5\"\n    style=\"background-image: url(https:\/\/sunbytes.io\/app\/uploads\/2018\/05\/background-network-1.png)\"\n  >\n    <div class=\"container\">\n      <div class=\"row justify-content-md-center\">\n        <div class=\"col-md-10 col-lg-8\">\n          <div class=\"conversion-form__inner\">\n            <div class=\"col-12 col-sm-10 offset-sm-1\">\n              <h2 class=\"conversion-form__title\"><span class=\"ez-toc-section\" id=\"Laten_we_beginnen_met_Sunbytes\"><\/span>Laten we beginnen met Sunbytes<span class=\"ez-toc-section-end\"><\/span><\/h2>\n                              <p>Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.<\/p>\n                                            <script type=\"text\/javascript\">var gform;gform||(document.addEventListener(\"gform_main_scripts_loaded\",function(){gform.scriptsLoaded=!0}),window.addEventListener(\"DOMContentLoaded\",function(){gform.domLoaded=!0}),gform={domLoaded:!1,scriptsLoaded:!1,initializeOnLoaded:function(o){gform.domLoaded&&gform.scriptsLoaded?o():!gform.domLoaded&&gform.scriptsLoaded?window.addEventListener(\"DOMContentLoaded\",o):document.addEventListener(\"gform_main_scripts_loaded\",o)},hooks:{action:{},filter:{}},addAction:function(o,n,r,t){gform.addHook(\"action\",o,n,r,t)},addFilter:function(o,n,r,t){gform.addHook(\"filter\",o,n,r,t)},doAction:function(o){gform.doHook(\"action\",o,arguments)},applyFilters:function(o){return gform.doHook(\"filter\",o,arguments)},removeAction:function(o,n){gform.removeHook(\"action\",o,n)},removeFilter:function(o,n,r){gform.removeHook(\"filter\",o,n,r)},addHook:function(o,n,r,t,i){null==gform.hooks[o][n]&&(gform.hooks[o][n]=[]);var e=gform.hooks[o][n];null==i&&(i=n+\"_\"+e.length),gform.hooks[o][n].push({tag:i,callable:r,priority:t=null==t?10:t})},doHook:function(n,o,r){var t;if(r=Array.prototype.slice.call(r,1),null!=gform.hooks[n][o]&&((o=gform.hooks[n][o]).sort(function(o,n){return o.priority-n.priority}),o.forEach(function(o){\"function\"!=typeof(t=o.callable)&&(t=window[t]),\"action\"==n?t.apply(null,r):r[0]=t.apply(null,r)})),\"filter\"==n)return r[0]},removeHook:function(o,n,t,i){var r;null!=gform.hooks[o][n]&&(r=(r=gform.hooks[o][n]).filter(function(o,n,r){return!!(null!=i&&i!=o.tag||null!=t&&t!=o.priority)}),gform.hooks[o][n]=r)}});<\/script>\n                <div class='gf_browser_gecko gform_wrapper gravity-theme gform-theme--no-framework' data-form-theme='gravity-theme' data-form-index='0' id='gform_wrapper_11' ><div id='gf_11' class='gform_anchor' tabindex='-1'><\/div><form method='post' enctype='multipart\/form-data' target='gform_ajax_frame_11' id='gform_11'  action='\/nl\/wp-json\/wp\/v2\/posts\/35311#gf_11' data-formid='11' novalidate> \r\n <input type='hidden' class='gforms-pum' value='{\"closepopup\":false,\"closedelay\":0,\"openpopup\":false,\"openpopup_id\":0}' \/>\n                        <div class='gform-body gform_body'><div id='gform_fields_11' class='gform_fields top_label form_sublabel_below description_below'><div id=\"field_11_12\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-full hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_12\" ><label class='gfield_label gform-field-label' for='input_11_12'>Uw naam<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_12' id='input_11_12' type='text' value='' class='large'    placeholder='Uw naam' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_2\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_2\" ><label class='gfield_label gform-field-label' for='input_11_2'>Organization<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_2' id='input_11_2' type='text' value='' class='large'    placeholder='Organisatie' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_16\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_16\" ><label class='gfield_label gform-field-label' for='input_11_16'>Functietitel<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_16' id='input_11_16' type='text' value='' class='large'    placeholder='Functietitel' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_3\" class=\"gfield gfield--type-email gfield--input-type-email gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_3\" ><label class='gfield_label gform-field-label' for='input_11_3'>Email<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_email'>\n                            <input name='input_3' id='input_11_3' type='email' value='' class='large'   placeholder='E-mailadres' aria-required=\"true\" aria-invalid=\"false\"  \/>\n                        <\/div><\/div><div id=\"field_11_13\" class=\"gfield gfield--type-phone gfield--input-type-phone gfield--width-half field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_13\" ><label class='gfield_label gform-field-label' for='input_11_13'>Phone<\/label><div class='ginput_container ginput_container_phone'><input name='input_13' id='input_11_13' type='tel' value='' class='large'  placeholder='Telefoonnummer'  aria-invalid=\"false\"   \/><\/div><\/div><div id=\"field_11_17\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_17\" ><label class='gfield_label gform-field-label' for='input_11_17'>Land<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_17' id='input_11_17' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Land<\/option><option value='Australia\/New Zealand (ANZ)' >Australia\/New Zealand (ANZ)<\/option><option value='Canada' >Canada<\/option><option value='Germany' >Germany<\/option><option value='Hong Kong' >Hong Kong<\/option><option value='Netherlands' >Netherlands<\/option><option value='Singapore' >Singapore<\/option><option value='United Kingdom' >United Kingdom<\/option><option value='United States of America' >United States of America<\/option><option value='Vietnam' >Vietnam<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_11\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_11\" ><label class='gfield_label gform-field-label' for='input_11_11'>Requirements<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_11' id='input_11_11' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Waar heeft u interesse in?<\/option><option value='Maatwerk Software ontwikkeling' >Maatwerk Software ontwikkeling<\/option><option value='Dedicated specialisten' >Dedicated specialisten<\/option><option value='Cybersecurity diensten' >Cybersecurity diensten<\/option><option value='HR Diensten' >HR Diensten<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_18\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_18\" ><label class='gfield_label gform-field-label' for='input_11_18'>Hoe heb je over ons gehoord?<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_18' id='input_11_18' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Hoe heb je over ons gehoord?<\/option><option value='LinkedIn' >LinkedIn<\/option><option value='Clutch' >Clutch<\/option><option value='Newsletter' >Newsletter<\/option><option value='Doorverwijzing' >Doorverwijzing<\/option><option value='Zoekmachine (Google, Bing, etc)' >Zoekmachine (Google, Bing, etc)<\/option><option value='Email' >Email<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_19\" class=\"gfield gfield--type-textarea gfield--input-type-textarea gfield--width-full field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_19\" ><label class='gfield_label gform-field-label' for='input_11_19'>Aanvullende informatie over uw verzoek.<\/label><div class='ginput_container ginput_container_textarea'><textarea name='input_19' id='input_11_19' class='textarea large'    placeholder='Aanvullende informatie over uw verzoek.'  aria-invalid=\"false\"   rows='10' cols='50'><\/textarea><\/div><\/div><fieldset id=\"field_11_7\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree mb-0 gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_7\" ><legend class='gfield_label gform-field-label screen-reader-text gfield_label_before_complex' ><span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_7'><div class='gchoice gchoice_11_7_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_7.1' type='checkbox'  value='Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.'  id='choice_11_7_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_7_1' id='label_11_7_1' class='gform-field-label gform-field-label--type-inline'>Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.<\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><fieldset id=\"field_11_14\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_14\" ><legend class='gfield_label gform-field-label gfield_label_before_complex' >Untitled<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_14'><div class='gchoice gchoice_11_14_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_14.1' type='checkbox'  value='Ik ga akkoord met &lt;a href=&quot;https:\/\/sunbytes.io\/general-terms-and-conditions\/&quot;&gt;de algemene voorwaarden &lt;\/a&gt;'  id='choice_11_14_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_14_1' id='label_11_14_1' class='gform-field-label gform-field-label--type-inline'>Ik ga akkoord met <a href=\"https:\/\/sunbytes.io\/general-terms-and-conditions\/\">de algemene voorwaarden <\/a><\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><div id=\"field_11_15\" class=\"gfield gfield--type-captcha gfield--input-type-captcha gfield--width-full d-none field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_15\" ><label class='gfield_label gform-field-label' for='input_11_15'>Captcha<\/label><div id='input_11_15' class='ginput_container ginput_recaptcha' data-sitekey='6LeTwBcdAAAAAKDurfTYCHGQQNGUBiDURxfjNI3V'  data-theme='light' data-tabindex='-1' data-size='invisible' data-badge='bottomright'><\/div><\/div><div id=\"field_11_20\" class=\"gfield gfield--type-honeypot gform_validation_container field_sublabel_below gfield--has-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_20\" ><label class='gfield_label gform-field-label' for='input_11_20'>Comments<\/label><div class='ginput_container'><input name='input_20' id='input_11_20' type='text' value='' autocomplete='new-password'\/><\/div><div class='gfield_description' id='gfield_description_11_20'>Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.<\/div><\/div><\/div><\/div>\n        <div class='gform_footer top_label'> <input type='submit' id='gform_submit_button_11' class='gform_button button' value='Verstuur!'  onclick='if(window[\"gf_submitting_11\"]){return false;}  if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  ' onkeypress='if( event.keyCode == 13 ){ if(window[\"gf_submitting_11\"]){return false;} if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  jQuery(\"#gform_11\").trigger(\"submit\",[true]); }' \/> <input type='hidden' name='gform_ajax' value='form_id=11&amp;title=&amp;description=&amp;tabindex=0&amp;theme=gravity-theme' \/>\n            <input type='hidden' class='gform_hidden' name='is_submit_11' value='1' \/>\n            <input type='hidden' class='gform_hidden' name='gform_submit' value='11' \/>\n            \n            <input type='hidden' class='gform_hidden' name='gform_unique_id' value='' \/>\n            <input type='hidden' class='gform_hidden' name='state_11' value='WyJbXSIsImMzZmY3ZDRjNjM0NWY0MGNlNjVlNjMzNWJlZThmMWVlIl0=' \/>\n            <input type='hidden' class='gform_hidden' name='gform_target_page_number_11' id='gform_target_page_number_11' value='0' \/>\n            <input type='hidden' class='gform_hidden' name='gform_source_page_number_11' id='gform_source_page_number_11' value='1' \/>\n            <input type='hidden' name='gform_field_values' value='' \/>\n            \n        <\/div>\n                        <p style=\"display: none !important;\" class=\"akismet-fields-container\" data-prefix=\"ak_\"><label>&#916;<textarea name=\"ak_hp_textarea\" cols=\"45\" rows=\"8\" maxlength=\"100\"><\/textarea><\/label><input type=\"hidden\" id=\"ak_js_1\" name=\"ak_js\" value=\"0\"\/><script>document.getElementById( \"ak_js_1\" ).setAttribute( \"value\", ( new Date() ).getTime() );<\/script><\/p><\/form>\n                        <\/div>\n\t\t                <iframe style='display:none;width:0px;height:0px;' src='about:blank' name='gform_ajax_frame_11' id='gform_ajax_frame_11' title='Dit iframe bevat de vereiste logica om Ajax aangedreven Gravity Forms te verwerken.'><\/iframe>\n\t\t                <script type=\"text\/javascript\">\n\/* <![CDATA[ *\/\n gform.initializeOnLoaded( function() {gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery('#gform_ajax_frame_11').on('load',function(){var contents = jQuery(this).contents().find('*').html();var is_postback = contents.indexOf('GF_AJAX_POSTBACK') >= 0;if(!is_postback){return;}var form_content = jQuery(this).contents().find('#gform_wrapper_11');var is_confirmation = jQuery(this).contents().find('#gform_confirmation_wrapper_11').length > 0;var is_redirect = contents.indexOf('gformRedirect(){') >= 0;var is_form = form_content.length > 0 && ! is_redirect && ! is_confirmation;var mt = parseInt(jQuery('html').css('margin-top'), 10) + parseInt(jQuery('body').css('margin-top'), 10) + 100;if(is_form){jQuery('#gform_wrapper_11').html(form_content.html());if(form_content.hasClass('gform_validation_error')){jQuery('#gform_wrapper_11').addClass('gform_validation_error');} else {jQuery('#gform_wrapper_11').removeClass('gform_validation_error');}setTimeout( function() { \/* delay the scroll by 50 milliseconds to fix a bug in chrome *\/ jQuery(document).scrollTop(jQuery('#gform_wrapper_11').offset().top - mt); }, 50 );if(window['gformInitDatepicker']) {gformInitDatepicker();}if(window['gformInitPriceFields']) {gformInitPriceFields();}var current_page = jQuery('#gform_source_page_number_11').val();gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery(document).trigger('gform_page_loaded', [11, current_page]);window['gf_submitting_11'] = false;}else if(!is_redirect){var confirmation_content = jQuery(this).contents().find('.GF_AJAX_POSTBACK').html();if(!confirmation_content){confirmation_content = contents;}setTimeout(function(){jQuery('#gform_wrapper_11').replaceWith(confirmation_content);jQuery(document).scrollTop(jQuery('#gf_11').offset().top - mt);jQuery(document).trigger('gform_confirmation_loaded', [11]);window['gf_submitting_11'] = false;wp.a11y.speak(jQuery('#gform_confirmation_message_11').text());}, 50);}else{jQuery('#gform_11').append(contents);if(window['gformRedirect']) {gformRedirect();}}jQuery(document).trigger(\"gform_pre_post_render\", [{ formId: \"11\", currentPage: \"current_page\", abort: function() { this.preventDefault(); } }]);                if (event.defaultPrevented) {                return;         }        const gformWrapperDiv = document.getElementById( \"gform_wrapper_11\" );        if ( gformWrapperDiv ) {            const visibilitySpan = document.createElement( \"span\" );            visibilitySpan.id = \"gform_visibility_test_11\";            gformWrapperDiv.insertAdjacentElement( \"afterend\", visibilitySpan );        }        const visibilityTestDiv = document.getElementById( \"gform_visibility_test_11\" );        let postRenderFired = false;                function triggerPostRender() {            if ( postRenderFired ) {                return;            }            postRenderFired = true;            jQuery( document ).trigger( 'gform_post_render', [11, current_page] );            gform.utils.trigger( { event: 'gform\/postRender', native: false, data: { formId: 11, currentPage: current_page } } );            if ( visibilityTestDiv ) {                visibilityTestDiv.parentNode.removeChild( visibilityTestDiv );            }        }        function debounce( func, wait, immediate ) {            var timeout;            return function() {                var context = this, args = arguments;                var later = function() {                    timeout = null;                    if ( !immediate ) func.apply( context, args );                };                var callNow = immediate && !timeout;                clearTimeout( timeout );                timeout = setTimeout( later, wait );                if ( callNow ) func.apply( context, args );            };        }        const debouncedTriggerPostRender = debounce( function() {            triggerPostRender();        }, 200 );        if ( visibilityTestDiv && visibilityTestDiv.offsetParent === null ) {            const observer = new MutationObserver( ( mutations ) => {                mutations.forEach( ( mutation ) => {                    if ( mutation.type === 'attributes' && visibilityTestDiv.offsetParent !== null ) {                        debouncedTriggerPostRender();                        observer.disconnect();                    }                });            });            observer.observe( document.body, {                attributes: true,                childList: false,                subtree: true,                attributeFilter: [ 'style', 'class' ],            });        } else {            triggerPostRender();        }    } );} ); \n\/* ]]> *\/\n<\/script>\n\n                          <\/div>\n          <\/div>\n        <\/div>\n      <\/div>\n    <\/div>\n  <\/section>\n","protected":false},"excerpt":{"rendered":"<p>NIS2-gereedheid voor DevSecOps betekent bewijzen dat uw softwareontwikkelingsproces over werkende beveiligingscontroles beschikt, en niet alleen over geschreven beleid. V\u00f3\u00f3r juli 2026 moeten Nederlandse bedrijven die binnen de scope van de Cyberbeveiligingswet vallen, bewijsmateriaal leveren voor Artikel 21-controles, zoals veilige ontwikkeling, beveiliging van de toeleveringsketen, toegangsbeheer en effectiviteitstesten. Voor engineeringteams komt het praktische bewijs meestal voort &hellip; <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/\">Read more<\/a><\/p>\n","protected":false},"author":21,"featured_media":35308,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"editor_plus_copied_stylings":"{}","footnotes":""},"categories":[18,110],"tags":[],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.9 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>DevSecOps en NIS2: wat Nederlandse bedrijven moeten doen v\u00f3\u00f3r juli 2026<\/title>\n<meta name=\"description\" content=\"DevSecOps NIS2-handleiding voor Nederlandse bedrijven: koppel de beheersmaatregelen van artikel 21 aan CI\/CD-bewijs, krijg toegang tot beoordelingen en herstelmaatregelen v\u00f3\u00f3r juli 2026.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/\" \/>\n<meta property=\"og:locale\" content=\"nl_NL\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"DevSecOps en NIS2: wat Nederlandse bedrijven moeten doen v\u00f3\u00f3r juli 2026\" \/>\n<meta property=\"og:description\" content=\"DevSecOps NIS2-handleiding voor Nederlandse bedrijven: koppel de beheersmaatregelen van artikel 21 aan CI\/CD-bewijs, krijg toegang tot beoordelingen en herstelmaatregelen v\u00f3\u00f3r juli 2026.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/\" \/>\n<meta property=\"og:site_name\" content=\"Tech and Talent Solutions - Sunbytes\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/sunbytes\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-06-10T09:44:49+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-06-10T09:44:51+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/DevSecOps-and-NIS2-what-Dutch-companies-must-do-before-July-2026.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"628\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Thien\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:site\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:label1\" content=\"Geschreven door\" \/>\n\t<meta name=\"twitter:data1\" content=\"Thien\" \/>\n\t<meta name=\"twitter:label2\" content=\"Geschatte leestijd\" \/>\n\t<meta name=\"twitter:data2\" content=\"9 minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Organization\",\"name\":\"Sunbytes\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"contentUrl\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"width\":512,\"height\":512,\"caption\":\"Sunbytes\"},\"image\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/sunbytes\/\",\"https:\/\/twitter.com\/sunbytes\",\"https:\/\/www.linkedin.com\/company\/sunbytes\/\",\"https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/\"],\"knowsAbout\":[\"HR Solutions\",\"Payroll service\",\"EOR service\",\"Tech services\",\"Security services\"]},{\"@type\":\"Article\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/\"},\"author\":{\"name\":\"Thien\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/dc737389f258073f0bb0b2094e97012d\"},\"headline\":\"DevSecOps en NIS2: wat Nederlandse bedrijven moeten doen v\u00f3\u00f3r juli 2026\",\"datePublished\":\"2026-06-10T09:44:49+00:00\",\"dateModified\":\"2026-06-10T09:44:51+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/\"},\"wordCount\":1901,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"articleSection\":[\"Blog\",\"Cyberbeveiliging\"],\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/\",\"url\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/\",\"name\":\"DevSecOps en NIS2: wat Nederlandse bedrijven moeten doen v\u00f3\u00f3r juli 2026\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\"},\"datePublished\":\"2026-06-10T09:44:49+00:00\",\"dateModified\":\"2026-06-10T09:44:51+00:00\",\"description\":\"DevSecOps NIS2-handleiding voor Nederlandse bedrijven: koppel de beheersmaatregelen van artikel 21 aan CI\/CD-bewijs, krijg toegang tot beoordelingen en herstelmaatregelen v\u00f3\u00f3r juli 2026.\",\"breadcrumb\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#breadcrumb\"},\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/sunbytes.io\/nl\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Blog\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Cyberbeveiliging\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"DevSecOps en NIS2: wat Nederlandse bedrijven moeten doen v\u00f3\u00f3r juli 2026\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"name\":\"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate\",\"description\":\"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt\",\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/sunbytes.io\/nl\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"nl\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/dc737389f258073f0bb0b2094e97012d\",\"name\":\"Thien\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/323ecff8605378bd83701402a8eec4c9?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/323ecff8605378bd83701402a8eec4c9?s=96&d=mm&r=g\",\"caption\":\"Thien\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"DevSecOps en NIS2: wat Nederlandse bedrijven moeten doen v\u00f3\u00f3r juli 2026","description":"DevSecOps NIS2-handleiding voor Nederlandse bedrijven: koppel de beheersmaatregelen van artikel 21 aan CI\/CD-bewijs, krijg toegang tot beoordelingen en herstelmaatregelen v\u00f3\u00f3r juli 2026.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/","og_locale":"nl_NL","og_type":"article","og_title":"DevSecOps en NIS2: wat Nederlandse bedrijven moeten doen v\u00f3\u00f3r juli 2026","og_description":"DevSecOps NIS2-handleiding voor Nederlandse bedrijven: koppel de beheersmaatregelen van artikel 21 aan CI\/CD-bewijs, krijg toegang tot beoordelingen en herstelmaatregelen v\u00f3\u00f3r juli 2026.","og_url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/","og_site_name":"Tech and Talent Solutions - Sunbytes","article_publisher":"https:\/\/www.facebook.com\/sunbytes\/","article_published_time":"2026-06-10T09:44:49+00:00","article_modified_time":"2026-06-10T09:44:51+00:00","og_image":[{"width":1200,"height":628,"url":"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/DevSecOps-and-NIS2-what-Dutch-companies-must-do-before-July-2026.webp","type":"image\/webp"}],"author":"Thien","twitter_card":"summary_large_image","twitter_creator":"@sunbytes","twitter_site":"@sunbytes","twitter_misc":{"Geschreven door":"Thien","Geschatte leestijd":"9 minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Organization","name":"Sunbytes","url":"https:\/\/sunbytes.io\/nl\/","logo":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/","url":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","contentUrl":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","width":512,"height":512,"caption":"Sunbytes"},"image":{"@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/sunbytes\/","https:\/\/twitter.com\/sunbytes","https:\/\/www.linkedin.com\/company\/sunbytes\/","https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/"],"knowsAbout":["HR Solutions","Payroll service","EOR service","Tech services","Security services"]},{"@type":"Article","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#article","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/"},"author":{"name":"Thien","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/dc737389f258073f0bb0b2094e97012d"},"headline":"DevSecOps en NIS2: wat Nederlandse bedrijven moeten doen v\u00f3\u00f3r juli 2026","datePublished":"2026-06-10T09:44:49+00:00","dateModified":"2026-06-10T09:44:51+00:00","mainEntityOfPage":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/"},"wordCount":1901,"commentCount":0,"publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"articleSection":["Blog","Cyberbeveiliging"],"inLanguage":"nl","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/","url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/","name":"DevSecOps en NIS2: wat Nederlandse bedrijven moeten doen v\u00f3\u00f3r juli 2026","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/#website"},"datePublished":"2026-06-10T09:44:49+00:00","dateModified":"2026-06-10T09:44:51+00:00","description":"DevSecOps NIS2-handleiding voor Nederlandse bedrijven: koppel de beheersmaatregelen van artikel 21 aan CI\/CD-bewijs, krijg toegang tot beoordelingen en herstelmaatregelen v\u00f3\u00f3r juli 2026.","breadcrumb":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#breadcrumb"},"inLanguage":"nl","potentialAction":[{"@type":"ReadAction","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/sunbytes.io\/nl\/"},{"@type":"ListItem","position":2,"name":"Blog","item":"https:\/\/sunbytes.io\/nl\/blog\/"},{"@type":"ListItem","position":3,"name":"Cyberbeveiliging","item":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/"},{"@type":"ListItem","position":4,"name":"DevSecOps en NIS2: wat Nederlandse bedrijven moeten doen v\u00f3\u00f3r juli 2026"}]},{"@type":"WebSite","@id":"https:\/\/sunbytes.io\/nl\/#website","url":"https:\/\/sunbytes.io\/nl\/","name":"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate","description":"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt","publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/sunbytes.io\/nl\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"nl"},{"@type":"Person","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/dc737389f258073f0bb0b2094e97012d","name":"Thien","image":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/323ecff8605378bd83701402a8eec4c9?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/323ecff8605378bd83701402a8eec4c9?s=96&d=mm&r=g","caption":"Thien"}}]}},"_links":{"self":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/35311"}],"collection":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/users\/21"}],"replies":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/comments?post=35311"}],"version-history":[{"count":10,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/35311\/revisions"}],"predecessor-version":[{"id":35325,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/35311\/revisions\/35325"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media\/35308"}],"wp:attachment":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media?parent=35311"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/categories?post=35311"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/tags?post=35311"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}