NIS2 artikel 21: wat de oefenverplichting echt van je vraagt
Wie iets over NIS2 heeft gelezen, las waarschijnlijk over meldtermijnen of boetes. Maar het artikel dat je dagelijkse verplichtingen bepaalt is artikel 21 — de lijst maatregelen voor cyberrisicobeheer die elke essentiële en belangrijke entiteit moet treffen. En in die lijst zit iets verstopt wat veel organisaties nog als optioneel behandelen: je moet toetsen of je organisatie daadwerkelijk kan reageren, niet alleen opschrijven dat het zou moeten.
Dit artikel loopt door wat artikel 21 verwacht rond oefenen en trainen, welk bewijs toezichthouders vragen, en hoe je een oefenprogramma opzet dat aan beide voldoet — zonder dat het een jaarlijkse toneelproductie wordt.
Wat artikel 21(2) daadwerkelijk opsomt
Artikel 21(2) eist "passende en evenredige technische, operationele en organisatorische maatregelen" op tien gebieden. Drie daarvan raken direct aan oefenen:
- (c) Bedrijfscontinuïteit — back-upbeheer, disaster recovery en crisismanagement. Een crisismanagement-capaciteit die nooit is beoefend, is een plan, geen capaciteit.
- (f) Beleid en procedures om de effectiviteit te beoordelen van je maatregelen. Dit is de bepaling waar auditors op leunen: je moet kunnen aantonen dat je verifieert dat je maatregelen werken — en voor organisatorische maatregelen zoals incident response is een oefening dé standaard verificatiemethode.
- (g) Cyberhygiëne en cybersecuritytraining. Training is niet beperkt tot phishing-filmpjes; voor mensen met een rol in incident response is realistisch oefenen de training.
Daarbovenop maakt artikel 20(2) bestuurders persoonlijk verantwoordelijk: zij moeten zelf training volgen en geacht worden hetzelfde te borgen voor medewerkers. Een bestuur dat nooit in een crisisoefening heeft gezeten, kan dat moeilijk aantonen.
Waar oefeningen passen: drie verplichtingen, één instrument
Let op het patroon: NIS2 gebruikt nergens het woord "tabletop". Er staat crisismanagement, effectiviteitsbeoordeling en training. Een goed uitgevoerde oefening is toevallig het ene instrument dat voor alle drie tegelijk bewijs oplevert:
- Het traint crisismanagement — rollen, escalatie, besluitvorming onder tijdsdruk.
- Het toetst effectiviteit — je ontdekt of het incident response plan een realistisch scenario overleeft, en waar het zwijgt of ongelijk heeft.
- Het traint mensen — niet abstract, maar in precies de beslissingen die hun rol toebehoren.
Daarom leveren oefeningen zo veel op in een NIS2-programma: één middag produceert bewijs voor meerdere artikel 21-maatregelen.
Wie in scope is
NIS2 dekt essentiële entiteiten (energie, transport, bankwezen, zorg, water, digitale infrastructuur, overheid, ruimtevaart) en belangrijke entiteiten (post, afval, chemie, voeding, productie van kritieke producten, digitale aanbieders, onderzoek). De algemene drempel is 50+ medewerkers of €10M+ omzet, maar sommige entiteiten zijn ongeacht omvang in scope — DNS-aanbieders en vertrouwensdiensten bijvoorbeeld.
In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet. De Nederlandse implementatie liep achter op de oorspronkelijke EU-deadline, maar toezichthouders zijn duidelijk geweest: van organisaties wordt verwacht dat ze nú toewerken naar naleving — de verplichtingen komen uit de richtlijn, en "we wachtten op de nationale wet" is geen strategie die een auditor beloont.
Hoe een conforme oefening eruitziet
Er bestaat geen gecertificeerd sjabloon, maar toezichtspraktijk en audits convergeren op een paar kenmerken:
- Gegrond in je eigen plannen. De oefening toetst jouw incident response plan, jouw escalatiepaden, jouw meldverplichtingen — geen generiek scenario van een slide. Als de oefening niet kan falen tegen je plan, toetst hij niets.
- Realistisch en rolgebaseerd. Deelnemers handelen in hun echte rol, met informatie die binnenkomt zoals in werkelijkheid: onvolledig, stapsgewijs, soms tegenstrijdig.
- Inclusief de meldklok. NIS2's eigen termijnen — vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur, eindrapport binnen een maand — horen ín het scenario, zodat het team oefent met de vraag wanneer iets meldplichtig wordt.
- Gedebrieft en gedocumenteerd. De oefening eindigt met bevindingen: wat werkte, wat werd gemist, welke delen van het plan fictie bleken. Zonder debrief levert een oefening ervaring op, maar geen bewijs.
Het bewijs dat auditors verwachten
Wanneer een toezichthouder of auditor je artikel 21-implementatie toetst, bevat het oefendossier dat ze willen zien:
| Artefact | Waarom het telt |
|---|---|
| Scenario & doelstellingen | Toont dat de oefening ontworpen was, niet geïmproviseerd |
| Deelnemerslijst met rollen | Toont dat de juiste mensen trainden, inclusief bestuur (art. 20) |
| Sessielog / transcript | Bewijst dat de oefening plaatsvond zoals beschreven |
| Debrief-rapport met bevindingen | De effectiviteitsbeoordeling van art. 21(2)(f) |
| Vervolgacties met eigenaren | Toont dat bevindingen tot verbetering leiden |
Leveren je huidige oefeningen een agenda-uitnodiging en een vage herinnering op? Dan heb je een gat — niet in het oefenen, maar in het bewijzen.
Een praktische oefenkalender voor 12 maanden
Voor een middelgrote organisatie ziet een verdedigbaar en haalbaar ritme er zo uit:
- Kwartaal 1: Ransomware-tabletop met het kernresponseteam (60–90 min).
- Kwartaal 2: Korte, gerichte drill op één zwakte uit de Q1-debrief (30 min).
- Kwartaal 3: Scenario-rotatie — datalek of supply-chain-compromittering, nu inclusief juridische en communicatierollen.
- Kwartaal 4: Bestuursniveau: het bestuur staat voor de beslissingen die alleen zíj kunnen nemen (openbaarmaking, losgeldstandpunt, klantcommunicatie).
Vier oefeningen per jaar klinkt zwaar onder het traditionele model, waarin elke oefening weken consultantvoorbereiding kost. Het houdt op zwaar te zijn wanneer het genereren van een scenario minuten kost in plaats van weken — wat, transparant gezegd, precies het probleem is waarvoor poisettx bestaat: oefeningen gegenereerd uit je eigen beleidsdocumenten, gespeeld in een digitale war room, met het audit-klare debrief-rapport automatisch erbij.
De stille boodschap van de richtlijn is deze: incident response is een spier, en artikel 21 verwacht dat je hem traint — én dat je de bonnetjes bewaart.
Veelgestelde vragen
Hoe vaak moet je oefenen volgens NIS2?
NIS2 schrijft geen vaste frequentie voor. De richtlijn eist dat je maatregelen — waaronder incident handling, crisismanagement en training — aantoonbaar effectief en proportioneel zijn. In de praktijk verwachten toezichthouders en auditors minimaal één crisisoefening per jaar; voor essentiële entiteiten zijn kwartaaloefeningen of scenario-specifieke drills good practice.
Is een tabletop-oefening genoeg voor NIS2-compliance?
Een tabletop dekt de verwachtingen rond crisismanagement, training en effectiviteitstoetsing van je responsorganisatie. Het vervangt geen technische toetsing zoals vulnerability scanning of pentesten — je hebt beide nodig, ze beantwoorden verschillende vragen.
Welke documentatie moet ik bewaren als oefenbewijs?
Bewaar het scenario en de doelstellingen, de deelnemerslijst met rollen, het sessielog of transcript, het debrief-rapport met bevindingen en scores, en de vervolgacties met eigenaren. Dat dossier is precies wat een auditor opvraagt om te toetsen of artikel 21-maatregelen in de praktijk worden getest.
Valt mijn organisatie onder NIS2?
NIS2 geldt voor essentiële en belangrijke entiteiten in sectoren als energie, transport, zorg, digitale infrastructuur, productie van kritieke producten en digitale aanbieders — doorgaans vanaf 50 medewerkers of €10 miljoen omzet, met uitzonderingen waarbij kleinere organisaties ongeacht omvang in scope zijn. Zit je in een genoemde sector, ga er dan vanuit dat je in scope bent totdat het tegendeel is vastgesteld.
Wat zijn de gevolgen van niet-naleving?
Toezichthouders kunnen boetes opleggen tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten (€7 miljoen of 1,4% voor belangrijke entiteiten), bindende aanwijzingen geven en — uniek aan NIS2 — bestuurders persoonlijk aanspreken op falend toezicht op cyberrisicobeheer.
Klaar om het zelf te oefenen?
Genereer in minuten een tabletop-oefening op maat van jouw organisatie.
Aan de slagLees ook
Tabletop-oefening organiseren: een stappenplan
Van doelstellingen tot debrief: de zeven stappen van een tabletop-oefening die écht verandert hoe je team reageert — en de fouten die de meeste oefeningen plat slaan.
AI-gedreven vs door consultants geleide tabletop-oefeningen: een eerlijke vergelijking
Consultant-tabletops kosten duizenden euro's en gebeuren één keer per jaar. AI-gedreven oefeningen kosten een abonnement en gebeuren maandelijks. Waar elk model wint — zonder verkooppraat.
Ransomware tabletop-scenario: hoe een goede oefening eruitziet
Een sterke ransomware-tabletop is niet 'je bestanden zijn versleuteld, bespreek maar'. Dit is de anatomie van een scenario dat echte beslissingen afdwingt — met een voorbeeld-inject-tijdlijn.