Wat artikel 21 werkelijk vereist

Artikel 21.1 stelt de basisprincipe vast. De maatregelen moeten passend en proportioneel zijn. Ze moeten risico's in netwerken en informatiesystemen aanpakken en de impact van incidenten verminderen. Het richtlijn benadrukt ook het belang van technologische ontwikkelingen, relevante standaarden en implementatiekosten (Europese Unie, 2022).

Artikel 21.2 noemt tien punten van a tot j. Punt a betreft het beleid voor risicobeoordeling en informatiebeveiliging. Dit vormt de basis van brandveiligheid. Zonder dit beleid ontstaat gemakkelijk overreactie, met hoge kosten en traagheid, of onderreactie, waarbij risico's pas worden opgemerkt als er al brand is (Europese Unie, 2022).

Wat artikel 21.2 a in de praktijk betekent

Ik zie artikel 21.2 a als een eenvoudige maar confronterende verwachting. U moet kunnen aantonen dat u een werkbare werkwijze voor risicobeheer hebt die dagelijks functioneert. Niet alleen een document dat bestaat, maar een aanpak die wordt toegepast. Het moet mogelijk zijn om het proces van risico tot besluit en van besluit tot bewijs te volgen.

Voor bepaalde entiteiten heeft de EU bovendien technische en methodologische eisen vastgelegd in een uitvoeringsverordening. Deze benadrukt dat een risicobeleid alleen niet voldoende is. Er is ook beleid nodig voor informatiebeveiliging en een actueel, toegepast raamwerk (Europese Commissie, 2024).

Wie valt eronder en wat betekent de omvang

Een veelvoorkomende misvatting is dat NIS2 voor iedereen geldt. Dat is niet zo. NIS2 hanteert een omvanglogica waarbij micro- en kleine ondernemingen doorgaans buiten de regeling vallen, met uitzonderingen voor bijzonder kritische entiteiten of specifieke criteria (Europese Unie, 2022). In Zweden begint men daarom met vaststellen of men een organisatie is die onder de Cybersecuritywet valt en welke sector en toezicht van toepassing zijn (Zweedse Rijksdag, 2025a; 2025b).

Zo voorkom je compliance-theater

Hier volgt mijn visionaire maar nuchtere kijk. Ik denk dat artikel 21.2 a een hefboom kan zijn voor concurrentiekracht als we stoppen risico's te behandelen als een tekstgenre. Risico gaat eigenlijk over oordeel, snelheid en capaciteit. Wat we nodig hebben is brandveiligheid die het makkelijker maakt om snel goede beslissingen te nemen. Niet een map die vraagt om nog een map.

Dit wordt extra duidelijk als ik kijk naar moderne regelgeving. De Cybersecuritywet maakt het management meer verantwoordelijk voor risico en opvolging (Autoriteit voor civiele verdediging, 2026). In de financiële sector geldt daarnaast de Digital Operational Resilience Act die in bepaalde gevallen voorrang kan hebben bij incidentrapportage, wat aantoont dat we moeten begrijpen hoe regelgeving in de praktijk samenwerkt (Financiële Toezichthouder, 2026).

Drie tips die binnen de wet passen

Ik beloof hier geen documenten te verkopen. Maar ik durf wel drie dingen aan te dragen die effectief zijn en passen binnen artikel 21.2 a zonder nieuwe eisen te bedenken.

• Meet risico als besluitvaardigheid.

• Oefen risico als gedrag.

• Toon risico als bewijs.

Risico meten als besluitvaardigheid betekent dat u volgt hoe snel u van observatie naar besluit komt bij veranderingen. Risico oefenen als gedrag betekent dat u uw aannames regelmatig test in kleine oefeningen, niet alleen bij de jaarlijkse evaluatie. Risico tonen als bewijs betekent dat u concrete sporen van het werk kunt laten zien. Bijvoorbeeld dat risicobeoordelingen leiden tot prioriteiten, prioriteiten tot maatregelen en maatregelen tot meetbare verbeteringen.

Slotwoord

Ik geloof dat digitale weerbaarheid in Europa niet wordt opgebouwd met meer woorden, maar met capaciteit. Artikel 21.2 a biedt de kans om risicobeheer praktisch brandveiligheid te maken. Als dit beleid werkt, wordt de rest eenvoudiger. Dan kunt u ook met leveranciers, management en toezichthouders in dezelfde taal spreken. Niet juridisch voor de wet, maar controle voor de organisatie.

Bronnen

Europese Commissie. (2024). Uitvoeringsverordening (EU) 2024/2690 met technische en methodologische eisen… (Bijlage). EUR Lex.

Europese Unie. (2022). Richtlijn (EU) 2022/2555 (NIS2). Publicatieblad van de Europese Unie, L 333.

Financiële Toezichthouder. (2026). Dit geldt voor de nieuwe cybersecuritywet. https://www.fi.se/

Autoriteit voor civiele verdediging. (2026). Cybersecuritywet voor het management. https://www.mcf.se/

Regering. (2026). De eisen voor cybersecurity in Zweden worden aangescherpt (persbericht 15 januari 2026). https://www.regeringen.se/

Zweedse Rijksdag. (2025a). Cybersecuritywet (2025:1506). Zweedse wetgeving.

Zweedse Rijksdag. (2025b). Cybersecurityverordening (2025:1507). Zweedse wetgeving.