NIS2 checklist: 12 stappen naar compliance (gratis Excel download)

Door Jasper van Horssen, Lead Auditor ISO 27001 · NIS2 Lead Implementer. Vakinhoudelijk gereviewd door Erik Bijkerk, Senior Consultant bij Dxfferent. Bijgewerkt juni 2026.

Deze NIS2-checklist bestaat uit twaalf opeenvolgende stappen die elke essentiele of belangrijke entiteit doorloopt om aantoonbaar aan de Cyberbeveiligingswet te voldoen. Elke stap is direct uitvoerbaar en gekoppeld aan een concrete verplichting uit de zorgplicht (NIS2 artikel 21, in Nederland Cyberbeveiligingswet artikel 21) of de meldplicht (NIS2 artikel 23, in de Cyberbeveiligingswet uitgewerkt in artikel 26 en 27). Let op het onderscheid: NIS2 is de EU-richtlijn met de normen, de Cyberbeveiligingswet is de Nederlandse wet die die normen operationeel maakt met een eigen artikelnummering. De volledige checklist staat hieronder in het artikel: u kunt hem meteen gebruiken als self-assessment. Onder elke stap vindt u de deliverables, de gekoppelde maatregel en een praktijkinschatting van de doorlooptijd. Dxfferent baseert deze structuur op de tien maatregelen uit artikel 21, op de ENISA-guidance bij Uitvoeringsverordening (EU) 2024/2690, en op de adviespraktijk rond ISO 27001- en NEN 7510-trajecten.

Laatst bijgewerkt: 8 juni 2026. NIS2 is in Nederland nog niet van kracht: de Cyberbeveiligingswet is op 15 april 2026 door de Tweede Kamer aangenomen en ligt nu bij de Eerste Kamer, met een beoogde inwerkingtreding van 1 juli 2026. Tot de inwerkingtreding is er geen handhaving op grond van de Cyberbeveiligingswet.

Wat moet u onder NIS2 regelen? Zorgplicht, meldplicht en registratieplicht

De Cyberbeveiligingswet, de Nederlandse implementatie van de NIS2-richtlijn (EU) 2022/2555, legt drie kernverplichtingen op aan organisaties die onder de wet vallen. Een bruikbare checklist dekt alle drie:

• Zorgplicht: een risicoanalyse uitvoeren en op basis daarvan passende en evenredige technische, operationele en organisatorische maatregelen nemen (NIS2 artikel 21, Cyberbeveiligingswet artikel 21). De norm verlangt dat essentiele en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s te beheren, afgestemd op de risico’s die zich voordoen.
• Meldplicht: significante incidenten melden bij het CSIRT en de bevoegde autoriteit, met een vroege waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindverslag binnen 1 maand (NIS2 artikel 23, in de Cyberbeveiligingswet uitgewerkt in artikel 26 (24 uur), artikel 27 (72 uur) en artikel 29 (eindverslag)).
• Registratieplicht: de organisatie-gegevens vastleggen in het entiteitenregister (Cyberbeveiligingswet artikel 44, dat de entiteit verplicht informatie aan te leveren voor het nationale register uit artikel 43). In Nederland verloopt die registratie via het Nationaal Cyber Security Centrum (NCSC) op mijn.ncsc.nl.

De twaalf stappen hieronder vertalen deze drie verplichtingen naar een werkbare volgorde. Stap 1 tot en met 10 vullen de zorgplicht in, stap 7 verankert de meldplicht, en stap 11 regelt de registratieplicht zodra de wet ingaat.

Hoe gebruikt u deze checklist?

De checklist is een werkdocument, geen audit-rapport. Er zijn drie gebruiksmodi:

• Self-assessment: doorloop de twaalf stappen, scoor elk punt (groen, oranje of rood) en prioriteer de rode items.
• Projectplan: gebruik de twaalf stappen als basis voor uw NIS2-implementatieplan, met deadlines en eigenaren.
• Bestuurspresentatie: de zeven thema’s onderaan vormen een overzichtelijke structuur voor rapportage aan directie of audit committee.

Leg bij elk punt vast: status, eigenaar, deadline en bewijsdocument. Bij een toezichtsonderzoek kan de toezichthouder elk punt toetsen, dus consistente documentatie is doorslaggevend. In de adviespraktijk van Dxfferent bepaalt de aan- of afwezigheid van een gestructureerd bewijsdossier in hoge mate hoe een onderzoek afloopt (praktijkinschatting van Dxfferent, geen externe statistiek).

De twaalf stappen naar NIS2-compliance

1. Bestuurlijk commitment (week 0, NIS2 artikel 20 / Cyberbeveiligingswet artikel 24). Zonder bestuurlijke goedkeuring loopt het traject vast op budget, bevoegdheid en draagvlak. Cyberbeveiligingswet artikel 24 (lid 1) verplicht het bestuur bovendien om de risicobeheermaatregelen formeel goed te keuren en toe te zien op de uitvoering. Deliverables: bestuursbesluit met budget en deadline, aangewezen projectleider met directe lijn naar het bestuur, stuurgroep met operationele en compliance-leden, en een op hoofdlijnen vastgelegde risicobereidheid.
2. Scope-bepaling (week 1). Bepaal of u essentiele of belangrijke entiteit bent, welke entiteiten in de groep onder NIS2 vallen en wat de geografische scope is. De classificatie volgt uit twee factoren: uw sector (Annex I of II) en uw organisatiegrootte. Deliverables: sector-classificatie vastgelegd, entiteit-classificatie onderbouwd, lijst van NIS2-entiteiten in de groep inclusief dochterondernemingen, en de geografische scope. Twijfelt u over uw classificatie? Doorloop de zelfevaluatie van de RDI.
3. Gap-assessment tegen artikel 21 (week 2 tot 3, zorgplicht uit Cyberbeveiligingswet artikel 21). Bepaal per maatregel uit artikel 21 waar u staat, met een volwassenheidsscore per maatregel (niet-bestaand, ad-hoc, gedocumenteerd, gemanaged, geoptimaliseerd). Deliverables: gap-rapport tegen de tien maatregelen, prioriteitenlijst (critical, high, medium, low), effort-inschatting per gap, en een ISO 27001-mapping waar van toepassing. De ENISA-mapping koppelt de NIS2-maatregelen een-op-een aan ISO 27002-beheersmaatregelen, wat deze stap concreet maakt.
4. Risicoanalyse en risicoregister (week 3 tot 4, kern van de zorgplicht uit Cyberbeveiligingswet artikel 21). Een actueel risicoregister is de ruggengraat van NIS2-compliance: zonder gedocumenteerde risicokeuzes kan de toezichthouder elk verzuim als onderbouwd verwijt aanmerken. Deliverables: vastgestelde risicoanalysemethodiek (kwantitatief, kwalitatief of hybride), risicoregister met per risico minimaal eigenaar, kans, impact, behandeling en status, bestuurlijk goedgekeurde acceptatie- en behandelbesluiten, en een vastgelegde reviewfrequentie.
5. Technische maatregelen (week 4 tot 8, Cyberbeveiligingswet artikel 21 sub e tot j). Implementeer op basis van de gap-prioriteiten de technische maatregelen. Voor de meeste Nederlandse organisaties zijn dit de zwaarste onderdelen. Deliverables: multifactorauthenticatie op alle remote toegang, admin-accounts en SaaS met gevoelige data, encryptie at-rest en in-transit waar passend, een 3-2-1-backupstrategie met een immutable of offline kopie, centrale logging met ten minste 12 maanden retentie voor security-events, endpointbescherming met EDR, patchmanagement met SLA’s per criticality-niveau, en netwerksegmentatie tussen kritieke en niet-kritieke zones.
6. Organisatorisch beleid (week 5 tot 8, artikel 21 sub a, f, h, i). Beleid en procedures geven de richting; zonder vastlegging is technische implementatie nog geen NIS2-compliance. Minimum-set: informatiebeveiligingsbeleid (bestuurlijk goedgekeurd), acceptable use policy, toegangsbeheerbeleid (RBAC, least privilege), backup- en herstelbeleid, cryptografiebeleid, patchmanagementbeleid, incident-responseprocedure met CSIRT-meldketen, en een BCP/DRP met testschema.
7. Incident response en meldketen inrichten (week 7 tot 9, meldplicht uit Cyberbeveiligingswet artikel 26, 27 en 29). De meldketen vereist een geoefend incident-responseteam en een vooraf vastgestelde meldroute. De NIS2-richtlijntekst (artikel 23) is strikt: wanneer essentiele of belangrijke entiteiten zich bewust worden van een significant incident, moeten zij onverwijld en in elk geval binnen 24 uur een vroegtijdige waarschuwing verstrekken, gevolgd door een incidentmelding binnen 72 uur en een eindverslag uiterlijk een maand na de melding. De Cyberbeveiligingswet verankert dit in artikel 26 (vroegtijdige waarschuwing binnen 24 uur), artikel 27 (melding binnen 72 uur) en artikel 29 (eindverslag binnen 1 maand), telkens aan het CSIRT en de bevoegde autoriteit. Deliverables: incident-responseplan met playbooks per scenario (ransomware, datalek, DDoS, ongeautoriseerde toegang), classificatieprotocol voor “significant incident”, actuele contactgegevens van het sectorale CSIRT en het NCSC, een tabletop-oefening in de laatste 12 maanden, en communicatie-templates voor meldingen.
8. Toeleveringsketen-eisen (week 8 tot 10, Cyberbeveiligingswet artikel 21 sub d). Leveranciers met toegang tot kritieke systemen of data vallen onder de ketenmaatregel. Bedrijven implementeren niet alleen hun eigen beveiligingsmaatregelen, maar wegen ook die van hun leveranciers en andere partijen in de toeleveringsketen mee, inclusief risicobeoordelingen en contractueel afgesproken maatregelen. Deliverables: leveranciers-classificatie (critical, high, medium, low), contractuele addenda voor critical leveranciers (incidentmelding binnen 24 uur, recht op audit, certificeringseis), een leveranciersregister met assessment-datum, en een jaarlijkse review voor critical leveranciers.
9. Training (week 9 tot 12, NIS2 artikel 20 / Cyberbeveiligingswet artikel 24, plus artikel 21 sub g). Cyberbeveiligingswet artikel 24 (lid 2 tot en met 5) verplicht bestuurstraining expliciet: elk bestuurslid moet aantoonbaar kennis en vaardigheden bezitten en beschikt daartoe over een trainingscertificaat. Daarnaast gelden medewerker-awareness en role-based training. Deliverables: bestuurstraining over NIS2 in de laatste 12 maanden met aanwezigheidsregistratie, awareness-training voor alle medewerkers, phishing-simulatie ten minste halfjaarlijks, role-based training voor developers en sysadmins, en een trainingsregister met deelname per medewerker en bestuurder.
10. Oefening en interne audit (week 11 tot 12, artikel 21 sub f). Toets of de maatregelen daadwerkelijk werken. Deliverables: uitgevoerde tabletop-oefening incident response, hersteltest van backups in de laatste 6 maanden, intern auditrapport tegen de tien maatregelen, en een directiebeoordeling op basis van auditrapport, KPI’s en risicoregister.
11. Registratie van de entiteit (week 12, registratieplicht uit Cyberbeveiligingswet artikel 44). Zodra de Cyberbeveiligingswet in werking treedt, legt u de organisatie-gegevens (naam, adres, contactgegevens en sector) vast in het entiteitenregister; artikel 44 verplicht de entiteit deze informatie aan te leveren voor het nationale register uit artikel 43. In Nederland verloopt dit via het NCSC op mijn.ncsc.nl; de RDI en de sectorale autoriteiten (zoals IGJ voor zorg en DNB voor de financiele sector) zijn de toezichthouders, niet de registratiebalie. Bereid het dossier nu voor, voer de registratie uit bij inwerkingtreding. Deliverables: bevoegde autoriteit vastgesteld, registratiedossier voorbereid (organisatie-data, contactpersonen, sector-classificatie), en de registratie ingediend zodra het register openstaat.
12. Doorlopend onderhoud (continu). NIS2-compliance is geen project maar een doorlopend regime. Plan structureel in: jaarlijkse risicoanalyse-update met bestuurlijke goedkeuring, halfjaarlijkse tabletop-oefening, jaarlijkse interne audit en directiebeoordeling, continue patchmanagement en kwetsbaarhedenscans, jaarlijkse leveranciersreview voor critical leveranciers, jaarlijkse awareness- en bestuurstraining-update, en een onmiddellijke herziening bij majeure verandering (overname, nieuwe systemen, gewijzigde regelgeving).

De tien maatregelen uit artikel 21 waar de checklist op rust

De stappen hierboven dekken samen de minimumset van maatregelen die artikel 21 voorschrijft voor elke essentiele en belangrijke entiteit. Belangrijk: zowel de richtlijn als de Cyberbeveiligingswet maakt voor deze maatregelen geen onderscheid tussen essentiele en belangrijke entiteiten; Cyberbeveiligingswet artikel 21 richt zich op de essentiele entiteit en de belangrijke entiteit in dezelfde bewoordingen. Het verschil zit in het toezichtsregime, niet in de inhoudelijke verplichtingen. De tien maatregelen zijn:

• Beleid inzake risicoanalyse en beveiliging van informatiesystemen
• Incidentenbehandeling
• Bedrijfscontinuiteit, zoals back-upbeheer, noodvoorzieningsplannen en crisisbeheer
• Beveiliging van de toeleveringsketen, inclusief de relaties met directe leveranciers en dienstverleners
• Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen, inclusief vulnerability disclosure
• Beleid en procedures om de effectiviteit van de maatregelen te beoordelen
• Basale cyberhygiene en beveiligingsbewustzijnstraining
• Beleid en procedures voor cryptografie en versleuteling
• Beveiliging van personeel, toegangsbeleid en beheer van bedrijfsmiddelen
• Multifactorauthenticatie, beveiligde communicatie en beveiligde noodcommunicatie

De technische en methodologische invulling van deze maatregelen is voor een aantal digitale subsectoren op EU-niveau vastgelegd in de Uitvoeringsverordening (EU) 2024/2690, die de Europese Commissie op 17 oktober 2024 publiceerde (van toepassing op onder meer DNS-aanbieders, cloud- en datacenterdiensten, managed service providers en managed security service providers). De bijbehorende ENISA Technical Implementation Guidance (versie 1.0, juni 2025) spiegelt de structuur van de verordening, geeft voorbeelden van bewijsmateriaal en mapt de eisen op standaarden als ISO/IEC 27001 en 27002. Voor andere sectoren stellen de lidstaten de eisen op nationaal niveau vast.

Download de complete checklist (47 controlepunten)

De twaalf stappen hierboven zijn direct bruikbaar als self-assessment. Wie liever in een werkmap scoort, kan dezelfde checklist downloaden als Excel-werkboek met 47 controlepunten, ingedeeld in zeven thema’s (governance en risicobeheer, incident management, toeleveringsketen, technische maatregelen, cyberhygiene en training, continuiteit en herstel, en registratie en documentatie). Het werkboek is een aanvulling op het bovenstaande, geen vervanging: alle inhoud staat ook hierboven in het artikel. U ontvangt de download-link na een korte registratie via de contactpagina van Dxfferent.

Een voorproefje uit de werkmap (per punt: status, eigenaar, bewijs):

• 1.1 Bestuur heeft het NIS2-traject goedgekeurd met budget en deadline
• 2.3 Incident-responseplan getest in een tabletop-oefening in de laatste 12 maanden
• 3.2 Critical leveranciers hebben contractueel een incidentmeldingsplicht binnen 24 uur
• 4.5 Multifactorauthenticatie actief op alle remote toegang en admin-accounts
• 5.1 Bestuurstraining NIS2 uitgevoerd in de laatste 12 maanden
• 6.2 Backup-hersteltest uitgevoerd in de laatste 6 maanden, met RTO en RPO vastgelegd
• 7.4 Risicoregister door het bestuur goedgekeurd in de laatste 12 maanden

De zeven thema’s in de checklist toegelicht

De 47 controlepunten zijn gegroepeerd in zeven thema’s die de tien artikel 21-maatregelen logisch samenbrengen. Per thema noemen we het aantal punten en de typische focus.

• Governance en risicobeheer (8 items): bestuurlijke goedkeuring, risicoanalysemethodiek, risicoregister, directiebeoordeling.
• Incident management (6 items): incident-responseplan, classificatieprotocol, CSIRT-meldketen, oefening, logboek.
• Toeleveringsketen (5 items): leveranciersclassificatie, contractuele eisen, audit-rechten, register, jaarlijkse review.
• Technische maatregelen (12 items): MFA, encryptie, backups, logging, EDR, patchmanagement, netwerksegmentatie.
• Cyberhygiene en training (6 items): bestuurstraining, awareness, phishing-simulatie, role-based training, registratie.
• Continuiteit en herstel (5 items): BIA, BCP, DRP, hersteltest, crisisorganisatie.
• Registratie en compliance-documentatie (5 items): registratie bij de toezichthouder, beleidsdocumenten, auditrapporten, KPI-dashboard.

De thema-indeling helpt bij rapportage aan het bestuur: een statusoverzicht per thema geeft snel inzicht in welke gebieden aandacht vragen, zonder dat het bestuur door 47 individuele punten hoeft te scrollen.

Het NIS2 Quality Mark: drie assurance-niveaus als route naar aantoonbaarheid

Omdat NIS2 om aantoonbaarheid draait, ontstaan er gestructureerde keurmerken om die aantoonbaarheid te organiseren, met name voor leveranciers van NIS2-organisaties. Het NIS2 Quality Mark werkt met drie niveaus, gebaseerd op dezelfde systematiek die het Europese cybersecurityagentschap ENISA hanteert voor de certificering van ICT-producten en -diensten. Het schema sluit aan op het ENISA-principe dat elk certificeringsschema een of meer assurance-niveaus (Basic, Substantial of High) vaststelt op basis van het risiconiveau, en past dat toe op het keurmerk. De drie normen heten Basic (10), Substantial (20) en High (30) en onderscheiden zich door een oplopend aantal beheersmaatregelen.

Het nut voor de checklist is direct: een organisatie die op een gedefinieerd assurance-niveau aantoonbaar maatregelen heeft getroffen, heeft precies het bewijsdossier dat bij een toezichtsonderzoek meeweegt. Voor MKB-leveranciers in de keten is het keurmerk een afgebakende route om ketenpartners te laten zien dat de eigen beveiliging op orde is.

Wat als de checklist veel rood laat zien?

Een eerlijke score is meestal pijnlijker dan verwacht. Twee adviezen:

• Prioriteer naar impact: begin met de maatregelen die het zwaarst meewegen bij toezicht (artikel 21 sub a, b en j) en bij persoonlijke aansprakelijkheid van het bestuur (bestuurstraining, risicoregister, bestuurlijke goedkeuring uit artikel 20).
• Overweeg externe begeleiding: een gap-assessment van vier tot zes weken levert een professioneel rapport, een prioriteitenplan en een concreet implementatietraject.

Wilt u weten waar u staat? Dxfferent voert het gap-assessment uit met ISO 27001 als referentiekader en levert een prioriteitenrapport voor het bestuur, plus de bewijslast-structuur (risicoregister, vastgelegde bestuurstraining, bestuurlijke goedkeuringen) die uw boeterisico verlaagt en de D&O-positie van uw bestuurders onderbouwt. Plan een vrijblijvende intake van 30 minuten via de contactpagina: we bespreken uw scope, scoren samen drie tot vijf checklist-items en geven een eerste indicatie van het deltaproject.

Veelgemaakte fouten bij het gebruik van NIS2-checklists

Een checklist is een hulpmiddel, geen vrijbrief. Vijf valkuilen die we regelmatig zien:

1. Afvinken zonder bewijs. “Ja, MFA is ingericht” zonder onderliggend rapport is bij een audit waardeloos. Koppel elk vinkje aan een bewijsdocument met datum.
2. Score-inflatie. Status “groen” bij een minimum-implementatie verbergt risico. Hanteer strikte criteria: groen alleen als het volledig en aantoonbaar werkt.
3. Eenmalige invulling. Een checklist die u een keer invult en wegzet is een statisch document. Plan kwartaalreviews om de status actueel te houden.
4. Geen eigenaar per item. Zonder een concrete verantwoordelijke verschuift de verantwoordelijkheid permanent. Wijs per checklist-item een eigenaar aan.
5. Geen escalatie bij rood. Een rode score zonder vastgelegde actie en deadline blijft jaren rood. Koppel elke rode bevinding aan een mitigatieplan en bestuurlijke goedkeuring.

Hoe vaak werkt u de checklist bij?

NIS2-compliance is dynamisch: dreigingen veranderen, regelgeving wordt nader ingevuld via uitvoeringsverordeningen en uw eigen organisatie verandert. Onze adviesfrequentie:

• Maandelijks: de status van high-risk items en open mitigatieplannen.
• Per kwartaal: een volledige doorloop van de bestuur- en governance-items.
• Halfjaarlijks: een volledige checklist-review op alle 47 punten.
• Jaarlijks: een directiebeoordeling met externe audit-bevindingen.
• Ad-hoc: bij majeure verandering (overname, nieuwe regelgeving, significant incident).

Lees ook

• NIS2 boetes en aansprakelijkheid: tot 10 miljoen euro en persoonlijke bestuurdersaansprakelijkheid
• AI governance: grip op AI-risico’s binnen uw GRC-raamwerk
• EU AI Act: wat betekent de AI-verordening voor uw organisatie?

Veelgestelde vragen over de NIS2-checklist

Wat zijn de twaalf stappen van de NIS2-checklist?

De twaalf stappen zijn: (1) bestuurlijk commitment, (2) scope-bepaling, (3) gap-assessment tegen artikel 21, (4) risicoanalyse en risicoregister, (5) technische maatregelen, (6) organisatorisch beleid, (7) incident response en meldketen, (8) toeleveringsketen-eisen, (9) training, (10) oefening en interne audit, (11) registratie bij de toezichthouder, en (12) doorlopend onderhoud. Elke stap is gekoppeld aan een maatregel uit artikel 21 of de meldplicht uit artikel 23 en is hierboven volledig uitgewerkt.

Is deze checklist officieel?

Nee. Geen enkele NIS2-checklist is officieel; de richtlijn schrijft geen specifieke checklist voor. Deze checklist is gebaseerd op de tien maatregelen uit artikel 21, de ENISA-guidance bij Uitvoeringsverordening (EU) 2024/2690 en de adviespraktijk van Dxfferent rond ISO 27001- en NEN 7510-trajecten.

Waar moet ik mijn organisatie registreren onder de Cyberbeveiligingswet?

Organisaties die onder de Cyberbeveiligingswet vallen, leggen hun gegevens vast in het entiteitenregister; artikel 44 van de Cyberbeveiligingswet verplicht de entiteit deze informatie aan te leveren voor het nationale register uit artikel 43. In Nederland verloopt die registratie via het Nationaal Cyber Security Centrum (NCSC) op mijn.ncsc.nl. De RDI en de sectorale autoriteiten houden toezicht, maar zijn niet de registratiebalie. De registratie kan pas worden voltooid zodra de Cyberbeveiligingswet in werking treedt, beoogd per 1 juli 2026.

Wat zijn de meldtermijnen onder NIS2?

Bij een significant incident gelden drie termijnen uit NIS2 artikel 23, in de Cyberbeveiligingswet uitgewerkt in artikel 26, 27 en 29: een vroege waarschuwing binnen 24 uur (artikel 26), een incidentmelding binnen 72 uur (artikel 27) en een eindverslag binnen 1 maand na de melding (artikel 29). De melding gaat naar het CSIRT en de bevoegde autoriteit. Te laat melden is een zelfstandig beboetbare overtreding, los van het onderliggende incident.

Hoe lang duurt het om de hele checklist te doorlopen?

Een eerste self-assessment van alle 47 punten kost een MKB-organisatie typisch acht tot zestien uur (praktijkinschatting van Dxfferent). Het implementeren van ontbrekende items duurt acht weken tot zes maanden, afhankelijk van de bestaande volwassenheid.

Kan ik de checklist gebruiken voor audit-verdediging?

Ja. De checklist met ingevulde bewijsdocumenten vormt een sterk audit-dossier. Bij een formeel toezichtsonderzoek adviseren we aanvulling met externe auditrapporten (ISO 27001 of NEN 7510). Let op: ISO 27001 dekt niet automatisch alle NIS2-verplichtingen; behandel het als fundament, niet als bewijs van volledige naleving.

Geldt de checklist ook voor belangrijke entiteiten, of alleen voor essentiele?

Voor beide. De inhoudelijke maatregelen uit artikel 21 gelden onverkort voor essentiele en belangrijke entiteiten; de ENISA-mapping bevestigt dat NIS2 voor de maatregelen geen onderscheid maakt naar type organisatie. Het verschil zit in het toezichtsregime (proactief voor essentiele, reactief voor belangrijke entiteiten) en in de hoogte van de maximale boetes, niet in de checklist zelf.