NIS2-compliance-checklist: alle Artikel 21-vereisten (2026)
De volledige NIS2-compliance-checklist met alle tien risicobeheermaatregelen uit Artikel 21. Beoordeel uw gereedheid, identificeer hiaten met uw ISMS en prioriteer uw compliance-roadmap.
NIS2-compliance-checklist: wat uw ISMS dekt en wat niet
Elke organisatie die onder NIS2 valt, stelt dezelfde vraag: hoeveel hiervan hebben we al? Het antwoord hangt af van hoe u "hebben" definieert. Als het betekent "we hebben een gedocumenteerd proces" — dan dekt een ISMS afgestemd op ISO 27001 ruwweg 70%. Als het betekent "we kunnen dit operationeel uitvoeren en op verzoek bewijzen" — ziet de rekensom er anders uit.
Deze checklist doorloopt elk van de tien risicobeheermaatregelen uit Artikel 21(2) afzonderlijk: wat vereist NIS2? Wat levert een typisch ISMS? Waar zit het hiaat? En wat moet operationeel worden toegevoegd?
Hoe u deze checklist leest
De tien maatregelen uit Artikel 21(2) van de NIS2-richtlijn vormen de kern van de regelgevende vereisten. Nationale implementaties vertalen deze in bindend recht. Voor elke maatregel beoordeelt deze checklist:
- ✅ ISMS dekt dit — Een ISMS afgestemd op ISO 27001:2022 levert de essentiële processen en controls.
- ⚠️ ISMS biedt basis, maar operationele aanvulling nodig — Het governanceraamwerk is aanwezig, maar operationele uitvoering onder NIS2-vereisten gaat er bovenuit.
- ❌ ISMS dekt dit niet — De vereiste valt buiten waarvoor een ISMS is ontworpen.
De beoordeling verwijst naar een typisch, goed geïmplementeerd ISMS onder ISO 27001:2022 — niet een minimaal of maximaal uitgebreid ISMS. De daadwerkelijke dekking hangt af van de specifieke implementatie in uw organisatie.
De tien maatregelen in detail
(a) Beleid inzake risicoanalyse en informatiesysteembeveiliging
Wat NIS2 vereist: Beleid voor risicoanalyse en informatiesysteembeveiliging — inclusief regelmatige beoordeling en updates.
ISMS-dekking: ✅ Kerncomponent
Dit is het hart van ISO 27001. Risicobeoordeling, risicobehandeling, Verklaring van Toepasselijkheid, regelmatige reviews — allemaal onderdeel van het standaardrepertoire van een gecertificeerd ISMS. Doorgaans geen actie nodig hier.
Resterende taak: Zorg ervoor dat uw risicoanalyse rekening houdt met de specifieke operationele aspecten van NIS2 — met name incidentmelding, toeleveringsketen en vereisten voor bewijs van effectiviteit die verder gaan dan de klassieke CIA-triade.
(b) Incidentafhandeling
Wat NIS2 vereist: Maatregelen voor de preventie, detectie en afhandeling van beveiligingsincidenten — in samenhang met de meldverplichtingen onder Artikel 23 (vroegtijdige waarschuwing 24 uur, melding 72 uur, eindrapport 1 maand).
ISMS-dekking: ⚠️ Basis ja, operationele capaciteit ontbreekt
ISO 27001 vereist een incidentbeheerproces (Annex A, A.5.24-A.5.28). De meeste implementaties bevatten een incidentresponsplan met rollen, escalatiepaden en post-incident reviewprocessen.
Het hiaat: Het plan beschrijft wat er moet gebeuren. NIS2 beoordeelt of het daadwerkelijk gebeurt — onder tijdsdruk. De 24-uurs deadline voor vroegtijdige waarschuwing vereist real-time operationele coördinatie tussen Security, Legal, Communicatie en het bestuur. Parallelle afhandeling van AVG-meldverplichtingen. Geversioneerde documentatie tijdens het incident. Sjablonen voor meldingen aan toezichthouders.
Wat te doen: Bouw een incidentmanagementsysteem dat verder gaat dan het plan. Voer tabletop-oefeningen uit tegen de 24-uurs deadline. Bereid sjablonen voor voor alle drie meldingsfasen.
→ NIS2 Incidentmelding: hoe u de 24-uurs deadline daadwerkelijk haalt
(c) Bedrijfscontinuïteit en crisisbeheer
Wat NIS2 vereist: Bedrijfscontinuïteitsbeheer, back-upbeheer en noodherstel, en crisisbeheer.
ISMS-dekking: ✅ Gedekt
ISO 27001 behandelt bedrijfscontinuïteit direct (Annex A, A.5.29-A.5.30). De meeste ISMS-implementaties bevatten BCM-plannen, back-upstrategieën en herstelprocedures. Organisaties die daarnaast ISO 22301 hebben geïmplementeerd, zijn bijzonder goed gepositioneerd.
Resterende taak: Verifieer dat uw BCM-plannen NIS2-specifieke scenario's dekken — met name cyberincidenten met gelijktijdige meldverplichtingen. De verbinding tussen crisisbeheer en het Artikel 23-meldingsregime moet worden gelegd.
(d) Toeleveringsketenbeveiliging
Wat NIS2 vereist: Toeleveringsketenbeveiliging met inbegrip van beveiligingsgerelateerde aspecten van relaties met directe leveranciers en dienstverleners. Overweging van de specifieke kwetsbaarheden van elke individuele leverancier en de algehele kwaliteit van cybersecuritypraktijken.
ISMS-dekking: ⚠️ Momentopname, geen continue monitoring
ISO 27001 behandelt leveranciersrelaties (Annex A, A.5.19-A.5.23). De meeste implementaties bevatten leverancierscategorisatie, beoordelingsvragenlijsten bij onboarding en jaarlijkse herbeoordelingen.
Het hiaat: NIS2 vereist geen jaarlijkse momentopname maar doorlopende controle. Dit betekent: continue monitoring van de beveiligingshouding van leveranciers, gebeurtenisgestuurde herbeoordelingen wanneer omstandigheden veranderen, een geïntegreerd bewijsoverzicht van de status van alle relevante leveranciers, en gestructureerde communicatie tijdens beveiligingsincidenten in de toeleveringsketen.
Wat te doen: Bouw monitoringscapaciteit. Verschuif het beoordelingsmodel van cyclisch naar triggergebaseerd. Voeg NIS2-specifieke clausules toe aan contractuele grondslagen. Verschuif bewijs van archivering naar opvraging.
→ NIS2 Toeleveringsketenbeveiliging: waarom jaarlijkse leveranciersbeoordelingen niet meer voldoen
(e) Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen
Wat NIS2 vereist: Beveiliging bij de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief afhandeling en bekendmaking van kwetsbaarheden.
ISMS-dekking: ✅ Grotendeels gedekt
ISO 27001 behandelt veilige ontwikkeling (Annex A, A.8.25-A.8.34), kwetsbaarhedenbeheer (A.8.8) en wijzigingsbeheer. De meeste ISMS-implementaties bevatten beleid voor veilige ontwikkeling, patchbeheer en kwetsbaarhedenafhandeling.
Resterende taak: Verifieer dat uw processen voor bekendmaking van kwetsbaarheden voldoen aan NIS2-vereisten. De implementatierichtlijnen van ENISA gaan op sommige gebieden verder dan typische ISMS-implementaties.
(f) Beleid en procedures ter beoordeling van de effectiviteit van cybersecurity-risicobeheermaatregelen
Wat NIS2 vereist: Beleid en procedures ter beoordeling van de effectiviteit van cybersecuritymaatregelen — in samenhang met uitgebreide toezichtsbevoegdheden (autoriteiten kunnen te allen tijde bewijs opvragen).
ISMS-dekking: ⚠️ Proces ja, continu bewijs nee
ISO 27001 vereist interne audits, managementreviews en continue verbetering. Deze mechanismen bestaan in elk gecertificeerd ISMS.
Het hiaat: ISO 27001 werkt in geplande cycli. NIS2 geeft toezichthouders de bevoegdheid om te allen tijde bewijs op te vragen. Effectiviteit moet niet alleen worden beoordeeld maar ook op verzoek aantoonbaar zijn — met verifieerbare artefacten, metadata en actueel bewijs, niet auditrapportages van vorig kwartaal.
Wat te doen: Verschuif bewijsbeheer van "auditvoorbereiding" naar "continue beschikbaarheid." Voorzie artefacten van versiebeheer, geldigheidstermijnen en eigenaarschap. Bouw de capaciteit om binnen dagen — niet weken — te reageren op verzoeken van autoriteiten.
→ NIS2 Auditgereedheid: van documentatie naar continue bewijsvoering
(g) Basispraktijken voor cyberhygiëne en cybersecuritytraining
Wat NIS2 vereist: Basispraktijken voor cyberhygiëne en cybersecuritytraining — inclusief de verplichting voor het bestuur om zelf regelmatig training te volgen (Art. 20(2)).
ISMS-dekking: ✅ Gedekt
Bewustwordingsprogramma's en trainingen zijn standaard in elk ISO 27001 ISMS (Annex A, A.6.3). De meeste organisaties hebben regelmatige security-awarenesstrainingen.
Resterende taak: NIS2 maakt de opleidingsverplichting expliciet een plicht van het bestuur — niet alleen van medewerkers. Verifieer dat uw bestuur aantoonbaar deelneemt aan cybersecuritytrainingen. Dit bewijs is direct relevant voor persoonlijke aansprakelijkheid.
(h) Beleid en procedures betreffende het gebruik van cryptografie en encryptie
Wat NIS2 vereist: Beleid en procedures voor het gebruik van cryptografie en, waar passend, encryptie.
ISMS-dekking: ✅ Gedekt
ISO 27001 behandelt cryptografie uitgebreid (Annex A, A.8.24). De meeste ISMS-implementaties bevatten cryptografiebeleid, sleutelbeheerprocessen en encryptiestandaarden.
Resterende taak: Geen significant hiaat. Zorg ervoor dat uw beleid actueel is en de stand van de techniek weerspiegelt.
(i) Personeelsbeveiliging, toegangscontrolebeleid en activabeheer
Wat NIS2 vereist: Personeelsbeveiliging, toegangscontrolebeleid en activabeheer.
ISMS-dekking: ✅ Gedekt
Alle drie gebieden zijn kernonderdelen van ISO 27001: personeelsbeveiliging (A.6.1-A.6.8), toegangscontrole (A.8.1-A.8.5) en activabeheer (A.5.9-A.5.14).
Resterende taak: Geen significant hiaat. Zorg ervoor dat meerfactorauthenticatie is geïmplementeerd waar NIS2 dit vereist (zie punt (j)).
(j) Meerfactorauthenticatie, beveiligde communicatie en beveiligde noodcommunicatie
Wat NIS2 vereist: Gebruik van meerfactorauthenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen — "waar passend."
ISMS-dekking: ⚠️ Gedeeltelijk gedekt
ISO 27001 behandelt authenticatie en beveiligde communicatie, maar niet met de specificiteit die NIS2 hier toepast. Met name de vereiste voor beveiligde noodcommunicatie gaat verder dan typische ISMS-implementaties.
Het hiaat: De meeste organisaties hebben MFA voor standaardtoegang. Maar: zijn er beveiligde communicatiekanalen voor crisissituaties die functioneren zelfs als de reguliere IT-infrastructuur is gecompromitteerd? Is er versleutelde communicatie voor incidentcoördinatie — tussen Security, Legal, het bestuur en mogelijk autoriteiten?
Wat te doen: Audit MFA-dekking op volledigheid. Stel noodcommunicatiekanalen in die onafhankelijk van de reguliere infrastructuur functioneren. Zorg voor versleutelde communicatie voor incidentcoördinatie.
Het volledige overzicht
| # | Maatregel (Art. 21(2)) | ISMS | Hiaat? | Prioriteit |
|---|---|---|---|---|
| (a) | Risicoanalyse en beveiligingsbeleid | ✅ | — | Laag |
| (b) | Incidentafhandeling | ⚠️ | Operationele 24u/72u-capaciteit | Hoog |
| (c) | Bedrijfscontinuïteit en crisisbeheer | ✅ | — | Laag |
| (d) | Toeleveringsketenbeveiliging | ⚠️ | Continue monitoring | Hoog |
| (e) | Beveiliging bij verwerving, ontwikkeling, onderhoud | ✅ | Controleer kwetsbaarheidsbekendmaking | Midden |
| (f) | Effectiviteitsbeoordeling | ⚠️ | Continu bewijs | Hoog |
| (g) | Cyberhygiëne en training | ✅ | Bewijs bestuursdeelname training | Laag |
| (h) | Cryptografie en encryptie | ✅ | — | Laag |
| (i) | Personeelsbeveiliging, toegangscontrole, activa | ✅ | — | Laag |
| (j) | MFA en beveiligde noodcommunicatie | ⚠️ | Noodcommunicatie | Midden |
Het patroon: De governancemaatregelen (a, c, e, g, h, i) worden grotendeels gedekt door een ISMS. De operationele maatregelen (b, d, f, j) vereisen aanvullingen die verder gaan dan de documentatielaag.
Drie hiaten springen eruit — alle met "Hoog" prioriteit:
- Incidentbeheer (b): Meldverplichtingen gelden nu, deadlines staan vast, capaciteit ontbreekt bij de meeste organisaties.
- Toeleveringsketenbeveiliging (d): Het meest complexe hiaat, dat de langste tijd vergt om te dichten.
- Bewijs van effectiviteit (f): Wordt een probleem bij het eerste contact met autoriteiten — dat op elk moment kan plaatsvinden.
Hoe u deze checklist gebruikt
Stap 1: Zelfbeoordeling
Doorloop elk van de tien maatregelen en beoordeel eerlijk: niet "hebben we een proces?" maar "kunnen we dit operationeel uitvoeren onder tijdsdruk, tegenover externe partijen, met verifieerbaar bewijs?"
Stap 2: Prioriteer hiaten
Gebruik de prioriteitskolom als startpunt. De drie "Hoog"-hiaten moeten als eerste worden aangepakt — zij dragen de hoogste regelgevende urgentie en het grootste risico bij een beoordeling door autoriteiten.
Stap 3: Plan de operationele opbouw
Voor elk geïdentificeerd hiaat: wat hebben we concreet nodig? Welk systeem, proces of welke capaciteit? De verdiepingsartikelen over de individuele onderwerpen bieden de details.
Stap 4: Verbind ISMS en operationele systemen
Het doel is niet het ISMS te vervangen — maar het aan te vullen met de operationele laag die NIS2 aanvullend vereist. Een ISMS voor interne controle, een Trust Center voor externe communicatie en bewijs.
Bronnen
- Richtlijn (EU) 2022/2555 (NIS2-richtlijn) – Volledige tekst – Artikel 21(2)(a-j) over de tien risicobeheermaatregelen.
- OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland – § 30 BSIG over de nationale implementatie van risicobeheermaatregelen.
- ISO/IEC 27001:2022 – Information Security Management Systems – De ISMS-norm met de genoemde Annex A-controls.
- ENISA – Implementing Guidance on NIS2 Security Measures – Implementatierichtlijnen van ENISA over alle tien maatregelen.
- ENISA – NIS2 Requirements Mapping to ISO 27001 – Mapping tussen NIS2-vereisten en ISO 27001-controls.
Gerelateerde artikelen
- ISO 27001 is geen NIS2-compliance: wat er daadwerkelijk ontbreekt
- NIS2 Incidentmelding: hoe u de 24-uurs deadline daadwerkelijk haalt
- NIS2 Toeleveringsketenbeveiliging: waarom jaarlijkse leveranciersbeoordelingen niet meer voldoen
- NIS2 Auditgereedheid: van documentatie naar continue bewijsvoering
- NIS2-getroffen — en nu? De operationele hiaten voorbij uw ISMS