Blog

NIS2 Artikel 21.2 f:

Testknop van de rookmelder: wanneer veiligheid bewezen moet worden, niet verondersteld.

Er is een detail in bijna elk huis dat zowel geniaal als ongemakkelijk is: de testknop op de rookmelder. Het kost maar een seconde om erop te drukken. Toch doet lang niet iedereen dat. Niet uit onwil, maar omdat het dagelijkse leven gewoon doorgaat.

Artikel 21.2 f van NIS2 is die testknop. Het gaat over beleidslijnen en procedures om te beoordelen of uw cybersecuritymaatregelen daadwerkelijk werken. Niet of u ze heeft. Niet of u ze van plan bent te implementeren. Maar of ze effectief zijn wanneer het erop aankomt.

Robert Willborg

Co-founder en Chief Security Officer bij OneMore Secure.

Wat artikel 21.2 f eigenlijk zegt

NIS2 artikel 21.1 vereist dat maatregelen passend en proportioneel zijn, risico's in netwerken en informatiesystemen aanpakken en de impact van incidenten verminderen. Artikel 21.2 somt de gebieden op die moeten worden gedekt. Punt f gaat over beleidslijnen en procedures om de effectiviteit van cybersecuritymaatregelen te beoordelen (Europese Unie, 2022).

Nederlandse toepassing: het is geen EU-oefening meer

In Nederland zijn de Cybersecuritywet (2025:1506) en het Cybersecuritybesluit (2025:1507) op 15 januari 2026 in werking getreden. Dit betekent dat NIS2 nu een daadwerkelijke toezichts- en opvolgingsroute is, geen toekomstproject meer (Staatscourant, 2025a; Staatscourant, 2025b; Regering, 2026).

De meest voorkomende misvatting: dat 21.2 f betekent 'doe penetratietesten'

Hier wil ik duidelijk zijn. 21.2 f zegt niet dat iedereen penetratietesten moet uitvoeren, een Security Operations Center moet opzetten of een bepaald type tool moet aanschaffen. Het zegt dat u moet kunnen beoordelen of uw maatregelen werken.

Penetratietesten, kwetsbaarheidsscans, oefeningen, logcontrole en hersteltests kunnen goede manieren zijn om dat te doen. Maar wat redelijk is, hangt af van risico, grootte, sector en consequenties. Proportionaliteit is een doorlopend vereiste in NIS2 (Europese Unie, 2022).

Waarom punt f de grote cultuurverandering is

Dit is de ongemakkelijke waarheid: beveiliging die niet wordt opgevolgd, wordt snel een verhaal. Documenten maken is makkelijk. Bewijzen leveren is moeilijker.

21.2 f is een eis voor volwassenheid in governance. Het dwingt een verschuiving af van 'we hebben het ingevoerd' naar 'we weten dat het werkt'. En als u eenmaal effect meet, ziet u ook de werkelijke kosten: frictie, onduidelijk eigenaarschap en maatregelen die nooit zijn uitgevoerd.

Hoe 21.2 f samenhangt met de rest van artikel 21

Effectbeoordeling is de lijm tussen ambitie en realiteit. Het hangt samen met risicoanalyse (21.2 a), incidentmanagement (21.2 b), continuïteit (21.2 c), toeleveringsketen (21.2 d) en kwetsbaarheidsbeheer gedurende de levenscyclus (21.2 e). Zonder punt f kunt u 'de juiste dingen' op papier doen en toch zonder capaciteit staan als het misgaat (Europese Unie, 2022; ENISA, 2025).

Drie manieren om de testknop in te drukken, zonder een papierfabriek te bouwen

Ik houd het bij drie voorstellen die makkelijk uit te leggen zijn, moeilijk te manipuleren en volledig in lijn met 21.2 f.

· Meet uitkomsten met weinig cijfers.

· Test het belangrijkste vaak.

· Maak eigenaarschap zichtbaar.

Met weinig cijfers meten betekent dat u een paar robuuste metrics kiest die budgetjaren en organisatieveranderingen overleven. Voorbeelden zijn tijd tot detectie en herstel, patch-latentie op kritieke kwetsbaarheden en bewezen back-upherstel.

Het belangrijkste vaak testen betekent dat u prioriteit geeft aan wat de grootste impact heeft. Kleine, regelmatige tests zijn effectiever dan grote eenmalige projecten. Oefeningen bouwen spierherinnering op.

Eigenaarschap zichtbaar maken betekent dat elke afwijking leidt tot een duidelijke eigenaar, een tijdgebonden actie en een hercontrole. Hier gaat u van controle als concept naar controle als dagelijkse praktijk.

Een korte noot over kleine bedrijven

NIS2 geldt niet voor iedereen. Micro- en kleine bedrijven zijn vaak uitgezonderd, met enkele uitzonderingen als ze bijzonder kritisch zijn. Maar ook degenen die formeel niet onder NIS2 vallen, worden vaak indirect geconfronteerd met de eisen via klanten en leveranciers. En dan blijft punt f relevant: kunnen aantonen dat wat u doet werkt.

Slotopmerking

Artikel 21.2 f is in wezen een eis voor eerlijkheid. Niet morele eerlijkheid, maar operationele. Of de maatregelen werken, of niet. De testknop onthult het.

Wanneer u een gewoonte ontwikkelt om te meten en te testen, gebeurt er iets moois. Beveiliging wordt geen kostenpost die verdedigd moet worden. Het wordt een bewezen vaardigheid. En dat is precies waar NIS2 ons naartoe wil brengen.

Referenties

ENISA. (2025). Technische implementatierichtlijnen voor risicobeheer van cybersecuritymaatregelen (Versie 1.0). Europees Agentschap voor Cybersecurity.

Europese Unie. (2022). Richtlijn (EU) 2022/2555 (NIS2). Publicatieblad van de Europese Unie, L 333.

Regering. (2026). Cybersecurity: de nieuwe cybersecuritywet en het cybersecuritybesluit traden in werking op 15 januari 2026.

Staatscourant. (2025a). Cybersecuritywet (2025:1506). Nederlandse wetgeving.

Staatscourant. (2025b). Cybersecuritybesluit (2025:1507). Nederlandse wetgeving.