Kennisbank - Overzicht, Taxonomie & Begrippenlijst

Drie navigatieprincipes voor deze kennisbank

De DjimIT kennisbank omvat vijftien samenhangende componenten over AI governance, NIS2/BIO2, cloud soevereiniteit, GDPR en cybersecurity. Navigeren in een corpus van die omvang vereist structuur - niet alleen een lijst van onderdelen, maar een classificatieraamwerk dat beantwoordt aan de vragen die compliance-professionals écht stellen: welke wet raakt mij nu? Wat heb ik als architect nodig versus als CISO? Welk onderdeel is operationeel instrument versus strategisch kader?

Navigatieprincipe 1 - Regulatoire urgentie als primaire navigatiefactor. De kennisbank beslaat regelgeving met uiteenlopende urgentie: EU AI Act-verboden (art. 5) zijn van kracht per 2 augustus 2025; de Cyberbeveiligingswet (Cbw, NL NIS2-implementatie) treedt naar verwachting in werking per 1 juli 2026; de FRIA-verplichting (EU AI Act art. 27) start op 2 augustus 2026; de CRA SBOM-plicht geldt per 11 december 2027. Een professional die vandaag actie moet ondernemen heeft een andere startroute nodig dan iemand die over twee jaar compliant moet zijn.

Navigatieprincipe 2 - Inhoudstypologie onderscheidt kennisfunctie van toolfunctie. De vijftien componenten omvatten vier fundamenteel verschillende typen kennisproducten: analytische kaders die het regulatoire landschap uitleggen (Gidsen), methodologische frameworks met DjimIT-originalmodellen (Whitepapers), operationele instrumenten voor directe inzet (Templates/Checklists) en adviesindicatoren die DjimIT-consultingmethodieken transparant maken (Consultingpagina's). Zonder dit onderscheid verwart een bezoeker een verklarende gids met een invulbaar instrument.

Navigatieprincipe 3 - Regulatoire architectuur als kennisbankstructuur. Elk kennisbankonderdeel is methodologisch verbonden met één of meer DjimIT-originalframeworks (CSAP, AGAP, LLSAF, NIS2-AEC, NIS2-MIM, B-RAMP, NORA-CAM, TPA, KTN). Het Kennisbank Taxonomisch Navigatiemodel (KTN) is zelf zo'n framework - het maakt de architectuur van de kennisbank als navigatie-instrument transparant.

Kennisbank Taxonomisch Navigatiemodel (KTN)

DjimIT B.V. © 2026

Het Kennisbank Taxonomisch Navigatiemodel (KTN) is een vierdimensionaal classificatieraamwerk dat alle vijftien kennisbankonderdelen positioneert langs vier orthogonale assen: (1) Regulatoir Domein, (2) Inhoudstypologie, (3) Organisatorisch Niveau, en (4) Urgentieklasse. Samen vormen deze vier assen een navigatiegrid dat elke compliance-professional in minder dan dertig seconden naar de meest relevante component leidt.

KTN-classificatietabel

ID	Onderdeel	Regulatoir Domein	Inhoudstypologie	Org. Niveau	Urgentie
4.1	EU AI Act Implementatie Gids	EU AI Act	Analytisch Kader	Strategisch + Tactisch	Verplicht nu (art. 5) + per datum
4.2	NIS2 Compliance Gids	NIS2 + BIO2	Analytisch Kader	Strategisch + Tactisch	Verplicht nu (Cbw ~1-7-2026)
4.3	AI Governance Publieke Sector	EU AI Act + Multi	Methodologisch Framework	Strategisch + Tactisch	Verplicht per datum (2-8-2026)
4.4	NIS2 Compliance Checklist	NIS2 + BIO2	Operationeel Instrument	Operationeel + Tactisch	Verplicht nu
4.5	Cloud Soevereiniteit Blueprint	Multi	Methodologisch Framework	Tactisch + Strategisch	Aanbevolen
4.6	Agentic AI Threat Landscape	EU AI Act + NIS2	Analytisch Kader	Tactisch	Verplicht per datum
4.7	LLM Security Framework	NIS2 + EU AI Act	Methodologisch Framework	Tactisch + Operationeel	Verplicht nu
4.8	AI Security (ASAP-methodiek)	EU AI Act + NIS2	Adviesindicator	Strategisch + Tactisch	Verplicht per datum
4.9	BIO2 Consulting	NIS2 + BIO2	Adviesindicator	Tactisch + Operationeel	Verplicht nu
4.10	NORA Consulting	Multi (overheid)	Adviesindicator	Tactisch + Strategisch	Aanbevolen
4.11	GDPR/DPIA Consulting	AVG + GDPR	Adviesindicator	Operationeel + Tactisch	Verplicht nu
4.12	Cloud Sovereignty Consulting	Multi	Adviesindicator	Strategisch	Aanbevolen
4.13	AI Governance Consulting	EU AI Act + Multi	Adviesindicator	Strategisch + Tactisch	Verplicht per datum
4.14	Templates & Toolkits	Multi	Operationeel Instrument	Operationeel + Tactisch	Verplicht nu
4.15	Kennisbank Taxonomie (dit onderdeel)	Multi (hub)	Analytisch Kader	Alle niveaus	Permanent

Verplicht nu = rechtsgrondslag van kracht; Verplicht per datum = bekende toekomstige deadline; Aanbevolen = best practice.

KTN-filtermatrix

Filter op Urgentie (meest urgent eerst)

Verplicht nu: 4.2, 4.4, 4.7, 4.9, 4.11, 4.1 (art. 5), 4.14

Verplicht per datum 2-8-2026: 4.1, 4.3, 4.6, 4.8, 4.13

Aanbevolen: 4.5, 4.10, 4.12

Filter op Regulatoir Domein

EU AI Act → 4.1, 4.3, 4.6, 4.8, 4.13

NIS2 + BIO2 → 4.2, 4.4, 4.7, 4.9

AVG + GDPR → 4.11

Cloud soevereiniteit → 4.5, 4.12

Filter op Inhoudstypologie

Analytische Kaders (begrijpen): 4.1, 4.2, 4.6, 4.15

Methodologische Frameworks (DjimIT-model): 4.3, 4.5, 4.7

Operationele Instrumenten (direct inzetten): 4.4, 4.14

Adviesindicatoren (consulting scope): 4.8, 4.9, 4.10, 4.11, 4.12, 4.13

Regulatoir Lexicon

55 begrippen met CELEX-verwijzingen en interne kennisbanklinks

AI & Machine Learning

Agentic AI AI-systemen die zelfstandig doelen nastreven, plannen uitvoeren en externe tools aanroepen met minimale menselijke tussenkomst. Onderscheidt zich van passieve LLMs door handelen: het systeem stuurt e-mails, leest databases en genereert code zonder per actie goedkeuring te vragen. Risico's: goal hijacking, privilege escalation, tool misuse en prompt injection via externe bronnen (OWASP LLM01:2025). Regulatoire grondslag: EU AI Act art. 22 (menselijk toezicht) jo. Bijlage III (acht hoog-risico categorieën); NIST SP 800-218 SSDF voor agentic deployment. → 4.6 Agentic AI Threat Landscape

EU AI Act Verordening (EU) 2024/1689 (CELEX 32024R1689); in werking 1 augustus 2024. Reguleringsstructuur: verboden AI-praktijken (art. 5, van kracht 2-8-2025); hoog-risico AI-systemen (art. 6 jo. Bijlage III, acht categorieën, verplichtingen per 2-8-2026); transparantieverplichtingen (art. 50); GPAI-modellen (art. 51-56, apart regime); overige AI zonder specifieke eisen. Boetes: tot EUR 35 miljoen of 7% mondiale jaaromzet voor verboden AI; EUR 15 miljoen of 3% voor andere overtredingen. → 4.1 EU AI Act Implementatie Gids

Fine-tuning Het verder trainen van een pretrained foundation model op domeinspecifieke data om prestaties voor een specifieke taak te verbeteren. Regulatoire context: fine-tuning met persoonsgegevens vereist AVG rechtsgrondslag (art. 6) + DPIA bij hoog risico (art. 35); trainingsdata-documentatie verplicht voor GPAI (art. 53(1)(d)).

Foundation Model Grootschalig AI-model (typisch LLM of multimodaal) getraind op enorme hoeveelheden data, bedoeld als basis voor downstream-toepassingen via fine-tuning of prompting. Foundation models die als GPAI worden aangeboden vallen onder EU AI Act art. 51-56. Modellen met trainingsvermogen ＞10²⁵ FLOP worden verondersteld systemisch risico te vormen (art. 51(2)). → 4.7 LLM Security Framework

FRIA (Fundamental Rights Impact Assessment) Fundamentele rechten-impactbeoordeling; EU AI Act art. 27 (CELEX 32024R1689); verplicht per 2 augustus 2026. Scope: publieke organen die Bijlage III hoog-risico AI inzetten, private entiteiten die publieke diensten verlenen, en deployers van kredietwaardigheidssystemen. FRIA versus DPIA: FRIA betrekt alle grondrechten (HVEU); DPIA (AVG art. 35) is uitsluitend privacygericht. NL equivalent: IAMA v2 (zie aldaar). → 4.1 EU AI Act Implementatie Gids

GPAI (General-Purpose AI) Algemeen-doelmatig AI-model (EU AI Act art. 3(63)); modellen die een breed scala aan taken kunnen uitvoeren en in diverse downstream-toepassingen worden geïntegreerd. Twee niveaus: (1) Basis-GPAI (art. 53) - technische documentatie, downstream-provider informatie, auteursrechtbeleid; (2) GPAI met systemisch risico (art. 55) - drempel ＞10²⁵ FLOP, aanvullend: model-evaluaties, adversarial testing, incidentrapportage. Code of Practice gepubliceerd 10 juli 2025 (EU AI Office). → 4.1 EU AI Act Implementatie Gids

Hallucinatie (LLM) Het verschijnsel waarbij een LLM feitelijk onjuiste of verzonnen informatie presenteert als feit. Technische oorzaken: over-reliance op statistische patronen, inadequate grounding. Mitigatie: RAG, output validation, human-in-the-loop voor hoog-risico besluiten. EU AI Act art. 13(1) vereist transparantie over beperkingen van hoog-risico AI-systemen.

IAMA (Impact Assessment Mensenrechten en Algoritmes) Nederlandstalig pre-deployment beoordelingsinstrument voor algoritmen en AI-systemen, ontwikkeld door Universiteit Utrecht in opdracht van Ministerie BZK. Versie 2 gepubliceerd februari 2026; aligned met EU AI Act art. 27 (FRIA). Functioneel equivalent aan FRIA voor NL overheidsorganen; beschikbaar op Rijksoverheid.nl en Algoritmekader. → 4.3 AI Governance Publieke Sector

ISO/IEC 42001:2023 (AIMS) AI Management System Standard; gepubliceerd december 2023. Eerste internationale certifieerbare norm voor AI-managementsystemen. Annex SL-structuur (zelfde backbone als ISO 27001). Clausule 6.1: risicoidentificatie en -beoordeling; Clausule 9: prestatiemeting. Complementair aan EU AI Act art. 9 (risicobeheersysteem voor hoog-risico AI). → 4.3 AI Governance Publieke Sector

LLM (Large Language Model) AI-model getraind op grootschalige tekst- en multimodale data om taal te begrijpen en genereren. Architecturale basis: Transformer (attention-mechanisme). LLMs die als GPAI worden aangeboden vallen onder EU AI Act art. 51-56; in hoog-risico toepassingen onder Bijlage III. → 4.7 LLM Security Framework

Prompt Injection Aanvalstechniek waarbij kwaadwillende instructies worden ingebracht in de input van een LLM om ongewenst gedrag te induceren. Twee typen: Direct (gebruiker manipuleert eigen prompt) en Indirect (kwaadaardige instructies in externe databronnen). OWASP LLM Top 10 v2025: LLM01:2025. Bijzonder risicovol bij agentic AI. → 4.6 Agentic AI Threat Landscape

RAG (Retrieval-Augmented Generation) Architectuurpatroon waarbij een LLM bij het genereren van een antwoord eerst relevante documenten ophaalt uit een kennisbank of vectordatabase. Vermindert hallucinaties door grounding op actuele bronnen. Beveiligingsoverwegingen: de retrieval-component is aanvalsvlak voor data poisoning en indirect prompt injection; toegangscontrole op geraadpleegde documenten vereist.

Red Teaming (AI) Gestructureerd testen van een AI-systeem door aanvallen te simuleren: adversarial prompting, jailbreaking, data extraction, bias probing. EU AI Act art. 55(1)(a) verplicht adversarial testing voor GPAI met systemisch risico. NIST AI RMF Govern 1.6 en Measure 2.5 richten zich op red teaming als onderdeel van AI-risicobeheer.

Cloud & Infrastructuur

Cloud-native Architectuurbenadering waarbij applicaties worden ontworpen voor en uitgevoerd op cloud-infrastructuur, met gebruik van containers (Docker), orchestratie (Kubernetes), microservices en CI/CD-pipelines. Governance-relevantie: cloud-native workloads verhogen portabiliteitsrisico (Data Act art. 23-31) en vereisen expliciete SBOM-documentatie (CRA art. 13(5)); NORA Kernwaarde Interoperabiliteit impliceert portabiliteitsvereisten voor overheidsapplicaties. → 4.5 Cloud Soevereiniteit Blueprint

Cloud Soevereiniteit De mate waarin een organisatie aantoonbare, uitoefenbare controle behoudt over data, werklasten en operationele processen in de cloud - onafhankelijk van de jurisdictionele invloed van leveranciers. DjimIT definieert vier soevereiniteitsdimensies via het CSAP: juridisch/contractueel, technisch/architectuur, operationeel/controle en strategisch/exit. EC Cloud Sovereignty Framework v1.2.1 (20 oktober 2025) hanteert acht soevereiniteitsbereikheden en het SEAL-scoringssysteem. → 4.5 Cloud Soevereiniteit Blueprint + 4.12 Cloud Sovereignty Consulting

Common Ground Gemeentelijk datafundament en architectuurprincipe van VNG, gebaseerd op scheiding van data, logica en interactie. Kerncomponenten: data in bron bewaard (overheidsregistraties bij bronhouder), gestandaardiseerde API-toegang (NLX, ZGW), en multi-applicatie-afspeling zonder data-duplicatie. Basis voor GEMMA 2.0 en de Federatieve Data Infrastructuur. NORA-aligned (Kernwaarden Interoperabiliteit en Vindbaar). → 4.10 NORA Consulting

Data Residency De fysieke locatie waar data wordt opgeslagen en verwerkt. Juridische grondslagen voor EU-beperkingen: AVG art. 44-49 (CELEX 32016R0679) voor doorgifte van persoonsgegevens aan derde landen buiten de EER; Data Act art. 23-31 (CELEX 32023R2854) voor cloudportabiliteit en switching. NIS2 stelt geen expliciete EU-data-residency-verplichting; art. 21 regelt risicobeheersmaatregelen voor netwerk- en informatiebeveiliging.

EUCS (EU Cybersecurity Certification Scheme for Cloud Services) In ontwikkeling door ENISA op basis van EU Cybersecurity Act (Verordening (EU) 2019/881). Doel: geharmoniseerde EU-brede certificering van cloudaanbieders op drie assurance-levels. Status per juni 2026: nog geen finale versie aangenomen. Onderscheid van EC CSF/SEAL: EUCS is een Cybersecurity Act-certificeringsschema gericht op cybersecurityniveaus; EC CSF is een soevereiniteitsbeoordelingsmodel - twee afzonderlijke instrumenten.

GAIA-X Europees initiatief voor een federatief cloud-ecosysteem, gelanceerd in 2019. Kernwaarden: data-soevereiniteit, interoperabiliteit en portabiliteit. Concrete output: GAIA-X Trust Framework en GAIA-X Digital Clearing Houses. Praktische compliance-relevantie voor Nederlandse publieke sector beperkt ten opzichte van EC CSF, EUCS en Data Act.

SEAL-niveaus (Sovereignty Effective Assurance Levels) Scoringssysteem in EC Cloud Sovereignty Framework v1.2.1 (20 oktober 2025). Vijf niveaus: SEAL-0 (geen soevereiniteitsgarantie) tot SEAL-4 (volledige soevereiniteit, volledige immuniteit voor niet-EU wetgeving). SEAL-2 = data-soevereiniteit (EU-locatie + contractueel beschermd); SEAL-3 = technologische autonomie; SEAL-4 = volledige soevereiniteit (EU-eigendom, EU-personeel, geen niet-EU-afhankelijkheid). Niet te verwarren met EUCS-assurance-levels. → 4.5 Cloud Soevereiniteit Blueprint

TIA (Transfer Impact Assessment) Juridisch vereiste beoordeling van het beschermingsniveau voor persoonsgegevens die via AVG art. 46-doorgifte-instrumenten worden doorgegeven aan derde landen buiten de EER. Grondslag: CJEU-arrest Schrems II (C-311/18, 16 juli 2020) + EDPB Aanbevelingen 01/2020. Beoordelingsonderdelen: wetgeving en praktijk van het bestemmingsland, effectiviteit van aanvullende maatregelen. → 4.11 GDPR/DPIA Consulting

Vendor Lock-in Technologische of contractuele afhankelijkheid van één leverancier die overstap naar alternatieven bemoeilijkt. Juridische grondslagen voor mitigatie: Data Act art. 23-31 (CELEX 32023R2854, toepassingsdatum 12-9-2025) verplicht cloudaanbieders technische portabiliteit te bieden en elimineert switching fees per 12 januari 2027; DORA art. 28 vereist exitstrategieën voor financiële instellingen; NIS2 art. 21(2)(d) adresseert supply chain security, niet exit-strategie als zodanig. → 4.12 Cloud Sovereignty Consulting

Zero Trust Architecture Beveiligingsmodel gebaseerd op het principe "never trust, always verify": geen enkel gebruiker, apparaat of netwerksegment wordt van nature vertrouwd; elke toegangsaanvraag wordt geverifieerd. NIST SP 800-207 (2020) definieert zeven ZTA-tenets. Relatie tot NIS2: art. 21(2)(i) (toegangsbeleid) en art. 21(2)(j) (meervoudige authenticatie). → 4.7 LLM Security Framework

Cybersecurity & DevSecOps

BIO2 (Baseline Informatiebeveiliging Overheid v2) Verplicht beveiligingskader voor de Nederlandse overheid. Vastgesteld door OBDO: 23 september 2025; gepubliceerd Staatscourant als v1.3: 5 maart 2026. Directe werking voor provincies, waterschappen en Rijk; richtinggevend voor gemeenten. Vervangt BBN 1-2-3 door een risicogestuurde aanpak aligned met ISO/IEC 27001:2022 en ISO/IEC 27002:2022. DjimIT-framework: B-RAMP (vier BIO2-maatregelengroepen × vijf overheidslagen). → 4.9 BIO2 Consulting

BBN (Basis Beveiligingsniveaus) Historische indeling in drie beveiligingsniveaus (BBN 1, 2, 3) uit eerdere BIO-versies. Losgelaten in BIO2 v1.3 (OBDO 23-9-2025): vervangen door risicogestuurde beveiligingsklassen. Referenties in architectuurdocumenten die nog BBN-niveaus vermelden zijn verouderd. → 4.9 BIO2 Consulting

DevSecOps Integratie van security-activiteiten in elke fase van de software development lifecycle. OWASP SAMM v2.0: vijf bedrijfsfuncties (Governance, Design, Implementation, Verification, Operations). ISO 27001:2022 Annex A: A.8.25 (secure development lifecycle), A.8.28 (secure coding), A.8.29 (security testing). CRA art. 13 (CELEX 32024R2847): SBOM-verplichting per 11 december 2027. → 4.14 Templates & Toolkits

DORA (Digital Operational Resilience Act) Verordening (EU) 2022/2554 (CELEX 32022R2554); toepassingsdatum 17 januari 2025. Sectorspecifieke verordening voor financiële instellingen. Vijf pijlers: ICT-risicobeheer, ICT-incidentmelding, digitale operationele weerbaarheidstests, ICT-risico van derde aanbieders, informatie-uitwisseling. Exitstrategieën voor ICT-dienstverleners (art. 28) zijn een DORA-specifieke verplichting die niet bestaat in NIS2.

NEN 7510:2024 Informatiebeveiliging in de zorgsector; NEN 7510-1:2024 + NEN 7510-2:2024; gepubliceerd 16 december 2024. Gebaseerd op ISO/IEC 27001:2022 met zorgsectorspecifieke aanvullingen. Certificeringstransitie tot 20 februari 2027. Complementair aan NIS2 voor zorgaanbieders die als essentiële entiteit kwalificeren.

SAST / DAST Static Application Security Testing (SAST): analyse van broncode op kwetsbaarheden zonder programma-uitvoering. Dynamic Application Security Testing (DAST): runtime-testen van de uitvoerende applicatie. Beider combinatie vereist voor volledige SDLC-dekking. ISO 27001:2022 A.8.29 vereist security testing in het development lifecycle.

SBOM (Software Bill of Materials) Gestructureerde, machine-leesbare inventarisatie van alle softwarecomponenten, bibliotheken en afhankelijkheden van een applicatie of systeem, inclusief versienummers en licenties. CRA Verordening (EU) 2024/2847 art. 13(5) (CELEX 32024R2847): SBOM-verplichting per 11 december 2027. Standaardformaten: CycloneDX of SPDX (ISO/IEC 5962:2021). → 4.14 Templates & Toolkits

SCA (Software Composition Analysis) Geautomatiseerde analyse van open-source en derde-partij afhankelijkheden op bekende kwetsbaarheden (CVEs), verouderde versies en licentie-compliance-risico's. Tools: Dependabot, Snyk, OWASP Dependency-Check. NIS2 art. 21(2)(d): supply chain security; CRA art. 13 SBOM-basis vereist component-inventarisatie.

Compliance & Regulering

Algoritmeregister Centraal register van de Nederlandse overheid (algoritmes.overheid.nl) waar overheidsorganisaties informatie publiceren over hun algoritmen en AI-systemen. Per juni 2026: meer dan 1.300 gepubliceerde beschrijvingen van 500+ overheidsorganisaties. Bijdraagt aan EU AI Act-transparantieverplichtingen (art. 50) en IAMA/FRIA-documentatie.

BCM (Business Continuity Management) Systematisch proces om bedrijfscontinuïteit te waarborgen bij incidenten, rampen of andere verstoringen. NIS2 art. 21(2)(c): crisismanagement, back-ups en herstelprocedures als verplichte risicobeheersmaatregelen. ISO 22301 is de internationale norm voor BCM.

Cbw (Cyberbeveiligingswet) Nederlandse implementatiewet van NIS2 Richtlijn (EU) 2022/2555 (CELEX 32022L2555). Tweede Kamer akkoord: 15 april 2026. Verwachte inwerkingtreding: ~1 juli 2026. Verplichtingen: zorgplicht (art. 21 NIS2), incidentmelding (art. 23 NIS2). → 4.2 NIS2 Compliance Gids

CRA (Cyber Resilience Act) Verordening (EU) 2024/2847 (CELEX 32024R2847); gepubliceerd 20 november 2024. Vereisten voor producten met digitale elementen: beveiligingseisen gedurende levensduur, incidentrapportage aan ENISA, SBOM-verplichting (art. 13(5)). Toepassingsdatum SBOM: 11 december 2027. → 4.14 Templates & Toolkits

DPIA (Data Protection Impact Assessment) Gegevensbeschermingseffectbeoordeling; AVG art. 35 (CELEX 32016R0679). Verplicht wanneer een verwerking "waarschijnlijk een hoog risico" inhoudt voor de rechten en vrijheden van personen. Indicatoren: profilering, gevoelige gegevens, stelselmatige monitoring, grootschalige verwerking. DPIA versus FRIA: DPIA is uitsluitend privacygericht; FRIA (EU AI Act art. 27) betrekt alle grondrechten. NL instrument voor gecombineerde beoordeling: IAMA v2 (zie aldaar). → 4.11 GDPR/DPIA Consulting + 4.3 AI Governance Publieke Sector

GDPR / AVG Algemene Verordening Gegevensbescherming; Verordening (EU) 2016/679 (CELEX 32016R0679); van kracht 25 mei 2018. Rechtsgrondslagen verwerking: art. 6; bijzondere categorieën: art. 9; DPIA: art. 35; doorgifte derde landen: art. 44-49. Toepassing op AI: verwerking persoonsgegevens in training- + inferentiefase vereist rechtsgrondslag; geautomatiseerde besluitvorming met significante gevolgen vereist menselijk toezicht (art. 22). → 4.11 GDPR/DPIA Consulting

Incidentmelding (NIS2) NIS2 art. 23 (CELEX 32022L2555): drietrapsmeldplicht. (1) Early Warning: binnen 24 uur; (2) Incident Notification: binnen 72 uur - oorzaak, ernst, indicatoren van compromittering; (3) Final Report: binnen 1 maand - volledige analyse en geïmplementeerde maatregelen. → 4.14 Templates & Toolkits voor Incident Response Playbook

NIS2 Richtlijn (EU) 2022/2555 (CELEX 32022L2555). Tien verplichte risicobeheersmaatregelen (art. 21 sub a-j). NL implementatie via Cbw (~1-7-2026). Uitvoeringsverordening (EU) 2024/2690 voor digitale dienstverleners: 150+ technische maatregelen in 13 thematische gebieden. → 4.2 NIS2 Compliance Gids + 4.4 NIS2 Compliance Checklist

SCC / SCCa (Standard Contractual Clauses) Standaard contractuele bepalingen voor doorgifte van persoonsgegevens aan derde landen buiten de EER; Uitvoeringsbesluit (EU) 2021/914 (CELEX 32021D0914). Vier modules: verwerkingsverantwoordelijke → verwerkingsverantwoordelijke; verwerkingsverantwoordelijke → verwerker; verwerker → verwerker; verwerker → verwerkingsverantwoordelijke. TIA verplicht bij gebruik (EDPB Aanbevelingen 01/2020). → 4.11 GDPR/DPIA Consulting

DjimIT Originalframeworks

AGAP - AI Governance Architectuurprotocol DjimIT B.V. © 2026 | Vierdefasig protocol: (1) AI Systeem Registratie; (2) Gap-analyse + ISO 42001 AIMS-delta; (3) AI Governance Framework; (4) Conformiteitsdossier. Grondslag: EU AI Act Bijlage IV + art. 9. → 4.13 AI Governance Consulting

B-RAMP - BIO2 Risicobeoordeling en Maatregelenselectieprotocol DjimIT B.V. © 2026 | Vierdimensionaal matrixmodel: vier BIO2-maatregelengroepen (Organisatorisch, Technisch, Fysiek, Procesniveau) × vijf overheidslagen. Grondslag: BIO2 v1.3 + ISO/IEC 27001:2022. → 4.9 BIO2 Consulting

CSAP - Cloud Soevereiniteit Assessment Protocol DjimIT B.V. © 2026 | Vierdefasige beoordeling: (1) Cloud Soevereiniteits-Inventarisatie; (2) TIA-onderlegger; (3) Soevereiniteitskloof-matrix; (4) Cloud Soevereiniteits-Directiebrief. Vier dimensies: juridisch/contractueel, technisch/architectuur, operationeel/controle, strategisch/exit. Grondslag: Data Act art. 25-27 + AVG art. 28. → 4.5 Cloud Soevereiniteit Blueprint + 4.12 Cloud Sovereignty Consulting

KTN - Kennisbank Taxonomisch Navigatiemodel DjimIT B.V. © 2026 | Vierdimensionaal classificatieraamwerk voor navigatie door de DjimIT kennisbank: (1) Regulatoir Domein; (2) Inhoudstypologie; (3) Organisatorisch Niveau; (4) Urgentieklasse. Dit document (4.15) is de primaire KTN-toepassing.

LLSAF - LLM Security Architecture Framework DjimIT B.V. © 2026 | Zeslaagse beveiligingsarchitectuur: Laag 1 Input Validation, Laag 2 Access Control, Laag 3 Prompt Security, Laag 4 Output Filtering, Laag 5 Monitoring, Laag 6 Incident Response. Grondslag: OWASP LLM Top 10 v2025 + NIS2 art. 21 sub e en h. → 4.7 LLM Security Framework

NIS2-AEC - NIS2 Auditklare Evidence Compiler DjimIT B.V. © 2026 | Veertig checkpunten × zes evidence-kolommen. Grondslag: NIS2 art. 21 sub a-j + Uitvoeringsverordening (EU) 2024/2690. → 4.4 NIS2 Compliance Checklist

NIS2-MIM - NIS2 Minimale Incidentmelding Methode DjimIT B.V. © 2026 | Drietraps-incidentresponsprotocol: Fase 1 Early Warning (24u), Fase 2 Incident Notificatie (72u), Fase 3 Final Report (1 maand). Grondslag: NIS2 art. 23 + NIST SP 800-61 Rev. 3 (3 april 2025). → 4.14 Templates & Toolkits

NORA-CAM - NORA Compliance Architectuurmodel DjimIT B.V. © 2026 | Vijf NORA-kernwaarden (Vindbaar, Toegankelijk, Transparant, Interoperabel, Veilig) × vier compliance-domeinen (EU AI Act, NIS2/BIO2, AVG, sectorspecifiek). Grondslag: NORA architectuurprincipes AP01-AP39+ (revisie 2023). → 4.10 NORA Consulting

TPA - Template Provenance Architecture DjimIT B.V. © 2026 | Drielaags traceerbaarheidsmodel: Laag 1 Framework Genealogie, Laag 2 Regulatoire Verankering (CELEX-nummers), Laag 3 Bewijs-Output Klasse. Onderscheidt DjimIT operationele instrumenten van analytische referentiekaders. → 4.14 Templates & Toolkits

Architectuur & Overheidsnormen

ISO/IEC 27001:2022 Internationale managementsysteemnorm voor informatiebeveiliging; gepubliceerd oktober 2022. Structuur: 10 clausules + Annex A met 93 beheersmaatregelen in 4 thema's. Basis voor BIO2 v1.3, NEN 7510:2024, ISO 42001:2023. Transitiedeadline 2013 → 2022: 31 oktober 2025 (verlopen).

NORA (Nederlandse Overheid Referentie Architectuur) Architectuurkader voor de Nederlandse overheid met vijf Kernwaarden: Vindbaar, Toegankelijk, Transparant, Interoperabel en Veilig. Herzien in 2023 (EAR-framework vervallen per 1 januari 2024). Van toepassing op alle overheidslagen. DjimIT-framework: NORA-CAM. → 4.10 NORA Consulting

Leesroutes per doelgroep

Route A - CISO / Hoofd Informatiebeveiliging

Primaire zorg: NIS2/Cbw compliance + BIO2 + incidentmelding | Tijdsinvestering: 6-11 uur

1. 4.2 NIS2 Compliance Gids - NIS2-MIM-structuur en Cbw-tijdlijn (60-90 min)
2. 4.4 NIS2 Compliance Checklist - huidige positie beoordelen met NIS2-AEC 40 checkpunten (2-4 uur)
3. 4.9 BIO2 Consulting - BIO2-overlap en B-RAMP-toepassing voor uw overheidslaag (45 min)
4. 4.14 Templates & Toolkits - NIS2 Gap-analyse Template + Incident Response Playbook (3-5 uur)

Route B - CIO / Directeur IT / Bestuurder

Primaire zorg: Cloud soevereiniteit + EU AI Act strategische implicaties | Tijdsinvestering: 3-4 uur

1. 4.5 Cloud Soevereiniteit Blueprint - CSAP-model + SEAL-niveaus (45 min)
2. 4.1 EU AI Act Implementatie Gids - verplichtingstijdlijn en hoog-risico categorieën (60 min)
3. 4.3 AI Governance Publieke Sector - AGAP en Algoritmeregister-verplichtingen (45 min)
4. 4.13 AI Governance Consulting of 4.12 Cloud Sovereignty Consulting - consulting-scope bepalen (20 min)

Route C - Enterprise Architect (publieke sector)

Primaire zorg: NORA-alignement + cloud architectuur + AI-integratie | Tijdsinvestering: 3-4 uur

1. 4.10 NORA Consulting - NORA-CAM 5 Kernwaarden × 4 compliance-domeinen (45 min)
2. 4.5 Cloud Soevereiniteit Blueprint - CSAP vierdimensionaal model (45 min)
3. 4.3 AI Governance Publieke Sector - IAMA/FRIA in architectuurontwerp (45 min)
4. 4.6 Agentic AI Threat Landscape - AASM-dreigingsmodel voor moderne architectuur (30 min)

Route D - Privacy/Compliance Officer (DPO)

Primaire zorg: DPIA + FRIA + AVG doorgifte | Tijdsinvestering: 2-3 uur

1. 4.11 GDPR/DPIA Consulting - DPIA-FRIA Convergentiematrix (45 min)
2. 4.1 EU AI Act Implementatie Gids - art. 27 FRIA (deadline 2-8-2026) (30 min)
3. 4.3 AI Governance Publieke Sector - IAMA v2 + Algoritmeregister (30 min)
4. 4.14 Templates & Toolkits - AI Governance Policy Template (Bijlage IV EU AI Act) (30 min)

Route E - DevSecOps Lead / Security Engineer

Primaire zorg: LLM security + SBOM/CRA + secure development | Tijdsinvestering: 2-3 uur

1. 4.7 LLM Security Framework - LLSAF 6-laags model (45 min)
2. 4.6 Agentic AI Threat Landscape - AASM + Agent Threat Severity Matrix (30 min)
3. 4.8 AI Security - ASAP-protocol + pentesting scope (20 min)
4. 4.14 Templates & Toolkits - DevSecOps Pipeline Config + SBOM-integratie (CRA 2027) (45 min)

Regulatoire urgentie-kalender

Deadline	Verplichting	Component
17-10-2024	NIS2 EU-implementatiedeadline	4.2
17-1-2025	DORA toepassingsdatum (financiële sector)	4.11
12-9-2025	Data Act cloud switching van kracht	4.5
2-8-2025	EU AI Act art. 5 verboden + GPAI (art. 51-56)	4.1
~1-7-2026	Cbw inwerkingtreding (NIS2 NL)	4.2 + 4.4
2-8-2026	EU AI Act hoog-risico Bijlage III + FRIA (art. 27)	4.1 + 4.3
12-1-2027	Data Act switching fees verbod	4.5
11-12-2027	CRA SBOM-verplichting art. 13(5)	4.14

Veelgestelde vragen

Wat is het verschil tussen de NIS2 Compliance Gids (4.2) en de NIS2 Compliance Checklist (4.4)? De Gids is een analytisch kader dat NIS2 uitlegt en het NIS2-MIM-incidentmeldingskader introduceert. De Checklist is een operationeel instrument met het NIS2-AEC-framework: 40 checkpunten × 6 evidence-kolommen voor zelfassessment en auditvoorbereiding. Begin met de Gids; gebruik de Checklist voor meting.

Is de FRIA (EU AI Act art. 27) hetzelfde als een DPIA (AVG art. 35)? Nee. Een DPIA beoordeelt uitsluitend privacyrisico's. Een FRIA beoordeelt de impact op alle grondrechten uit het EU Handvest - inclusief non-discriminatie, waardigheid en kinderrechten - bij de inzet van hoog-risico AI-systemen. De FRIA is verplicht per 2 augustus 2026 voor bepaalde deployers. Het NL IAMA v2 (februari 2026) functioneert als equivalent voor de publieke sector.

Wanneer is de Cyberbeveiligingswet van kracht en wat is mijn eerste stap? De Cbw is door de Tweede Kamer aangenomen op 15 april 2026 en treedt naar verwachting in werking rond 1 juli 2026. Eerste stap: bepalen of uw organisatie kwalificeert als essentiële of belangrijke entiteit. 4.2 NIS2 Compliance Gids biedt een sectoroverzicht; 4.4 NIS2 Compliance Checklist leidt u door de art. 21-zelfbeoordeling.

Wat is het verschil tussen EUCS en de EC Cloud Sovereignty Framework SEAL-niveaus? Twee afzonderlijke instrumenten: EUCS is een certificeringsschema op basis van de EU Cybersecurity Act, gericht op cybersecurityniveaus. EC CSF SEAL-niveaus (v1.2.1, 20 oktober 2025) zijn een soevereiniteitsscoringssysteem gericht op jurisdictionele onafhankelijkheid. Beide kunnen naast elkaar van toepassing zijn; ze meten verschillende dimensies van cloudgeschiktheid.

Hoe verhouden de DjimIT-frameworks zich tot internationale standaarden? DjimIT-originalframeworks zijn operationele instrumenten afgeleid van internationale standaarden. CSAP is gebaseerd op EC CSF SEAL + AVG art. 28 + Data Act art. 25-27. AGAP is gebaseerd op EU AI Act Bijlage IV + ISO 42001:2023. LLSAF is gebaseerd op OWASP LLM Top 10 v2025 + NIS2 art. 21. De TPA maakt deze genealogie voor elk DjimIT-instrument transparant.

Wat is de relatie tussen NIS2, BIO2 en ISO 27001 voor Nederlandse overheidsorganisaties? NIS2 stelt de verplichting; BIO2 v1.3 operationaliseert die voor de overheid door ISO/IEC 27001:2022 + 27002:2022 te implementeren als verplicht kader voor provincies, waterschappen en Rijk; ISO 27001 is de internationale certifieerbare norm. Gemeenten volgen BIO2 als richtinggevend kader via VNG.

Mis ik een begrip of route in dit overzicht? Laat het ons weten via DjimIT kennismaking. De begrippenlijst wordt bijgehouden per regulatoire revisiecyclus.

Suggestie doen → /kennismaking/