Templates & Toolkits - Audit-klare Compliance Instrumenten
Zes regulatoir verankerde compliance-instrumenten voor NIS2, EU AI Act, cloud soevereiniteit en DevSecOps. Elke template is traceerbaar tot CELEX-geciteerde primaire wetgeving via de DjimIT Template Provenance Architecture.
Wat onderscheidt een audit-klaar template van een generieke checklist?
Een generieke NIS2-checklist van een willekeurige leverancier bevat maatregelen. Een audit-klaar instrument bevat maatregelen, het exacte wetsartikel dat elke maatregel verplicht, het bewijs-type dat een toezichthouder verwacht, en de kolom-structuur om dat bewijs aantoonbaar bij te houden. Het verschil is niet comfort - het is de vraag of uw compliance-documentatie standhoudt bij een regulatoire audit door NCSC, Autoriteit Persoonsgegevens of een sectorieel toezichthouder.
De zes DjimIT-instrumenten zijn ontworpen vanuit de Template Provenance Architecture (TPA), een drielaags traceerbaarheidsmodel dat elk template verankert aan primaire wetgeving.
TPA Laag 1 - Framework Genealogie: Elk template is afgeleid van een DjimIT-originalframework (NIS2-AEC, LLSAF, CSAP, AGAP, NIS2-MIM, TPA/SSDF), dat op zijn beurt is afgeleid van de toepasselijke primaire wet- of normgeving. De genealogie is transparant en gepubliceerd bij elk instrument.
TPA Laag 2 - Regulatoire Verankering: Elke maatregel in elk template is getagd met het CELEX-geciteerde wetsartikel dat de verplichting schept. "Maatregel gebaseerd op NIS2" is onvoldoende, "Maatregel: art. 21(2)(e) Richtlijn (EU) 2022/2555 (CELEX 32022L2555) - beveiliging netwerk- en informatiesystemen" is audit-defensible.
TPA Laag 3 - Bewijs-Output Klasse: Elk template produceert een gedefinieerd output-type. Type A: directe meldplicht-bewijsstukken voor toezichthouder (NIS2 art. 23). Type B: bestuursniveau-documentatie (directiebrieven, governance-beleid). Type C: technische implementatiebewijzen (assessmentrapporten, pipeline-configuraties, conformiteitsdossiers).
Een professional die weet welk output-type een toezichthouder verwacht, bouwt documentatie die standhoudt. Een professional die dat niet weet, bouwt documentatie die eruit ziet als compliance.
Downloadbare Templates & Toolkits
NIS2 Gap-analyse Template
Regulatoire grondslag: Richtlijn (EU) 2022/2555 art. 21 sub a-j (CELEX 32022L2555) + Uitvoeringsverordening (EU) 2024/2690 (13 thematische gebieden, 150+ technische maatregelen voor digitale dienstverleners) + ISO/IEC 27001:2022 Annex A crosswalk.
DjimIT-framework: NIS2-AEC (NIS2 Auditklare Evidence Compiler).
Deliverable-specificatie: 40 checkpunten georganiseerd langs de tien NIS2 art. 21-maatregelgroepen (sub a-j), elk met zes kolommen: (1) Norm-referentie (CELEX + artikelnummer), (2) Vereiste maatregel, (3) Bewijs-type (beleidsdocument / logboek / configuratiebewijs / risicorapport / testresultaat), (4) Verantwoordelijke functie, (5) Implementatiestatus (Geimplementeerd / In uitvoering / Gepland / Niet van toepassing), (6) Audit-referentie (documentlocatie + versiedatum). Bijgevoegd: prioriteitsmatrix (Verplicht nu / Verplicht per datum / Aanbevolen), bewijslast-kaart per maatregel, en 90-dagenimplementatie-roadmap.
TPA bewijs-output: Type A + B. Het ingevulde template constitueert het compliance-dossier voor een NCSC-audit of sectorieel toezichtbezoek en documenteert de organisatorische zorgplicht zoals bedoeld in NIS2 art. 21 lid 1 ("passende en evenredige technische, operationele en organisatorische maatregelen").
Doelgroep en tijdsinvestering: CISO + Compliance Officer. Initieel invullen: 4-8 uur. Kwartaalupdate: 1-2 uur.
Urgentie: VERPLICHT NU. De Cyberbeveiligingswet (NL NIS2-implementatie) treedt naar verwachting in werking per 1 juli 2026. Een onvolledige gap-analyse op het moment van inwerkingtreding vormt een aantoonbare tekortkoming in de art. 21-zorgplicht.
Excel + PDF, Direct inzetbaar
€29
LLM Security Assessment Checklist
Regulatoire grondslag: OWASP LLM Top 10 v2025 (LLM01:2025 Prompt Injection t/m LLM10:2025 Unbounded Consumption) + NIST AI RMF Measure 2.5 (adversarial testing) + NIS2 art. 21(2)(e) (CELEX 32022L2555, beveiliging netwerk- en informatiesystemen) + EU AI Act art. 9 (CELEX 32024R1689, risicobeheersysteem voor hoog-risico AI).
DjimIT-framework: LLSAF (LLM Security Architecture Framework), zeslaagse beveiligingsarchitectuur.
Deliverable-specificatie: Zes assessmentgebieden aligned aan de LLSAF-lagen, elk met 8-12 checkpunten (totaal 55+ checkpunten), elk getagd met het toepasselijke OWASP LLM-risiconummer en NIS2/EU AI Act-artikel. Laag 1 Input Validation: prompt injection resistentie, tokenisatie-grenzen, contextvenster-limieten. Laag 2 Access Control: authenticatie op LLM-endpoint, RBAC voor model-toegang, API-sleutelbeheer. Laag 3 Prompt Security: system prompt-bescherming, jailbreak-detectie, indirect injection vanuit externe bronnen. Laag 4 Output Filtering: PII-redactie, schadelijke content-detectie, hallucination-detection triggers. Laag 5 Monitoring en Observability: anomaliedetectie op inferentie-patronen, auditlogging, alertdrempels. Laag 6 Incident Response: LLM-specifieke IR-procedure aligned aan NIS2-MIM (24u/72u/1 maand). Bijgevoegd: LLSAF-conformiteitsrapport-template, risicoscore per laag, aanbevelingenmatrix prioriteit × impact.
TPA bewijs-output: Type C. Het afgeronde assessment vormt de beveiligingsbaseline voor een LLM-implementatie en constitueert technische documentatie in het kader van EU AI Act art. 9 (risicobeheersysteem) voor hoog-risico AI-toepassingen.
Doelgroep en tijdsinvestering: DevSecOps Lead + Security Engineer. Per LLM-implementatie: 2-4 uur.
Urgentie: VERPLICHT NU voor NIS2-plichtige entiteiten met LLM-productie-inzet. EU AI Act hoog-risico LLM-toepassingen: VERPLICHT PER DATUM 2-8-2026.
PDF, 55+ checkpunten in 6 LLSAF-lagen
€29
Cloud Soevereiniteit Scorecard
Regulatoire grondslag: EC Cloud Sovereignty Framework v1.2.1 (SEAL-0 t/m SEAL-4, 20 oktober 2025) + Verordening (EU) 2023/2854 art. 23-31 (CELEX 32023R2854, Data Act cloud switching en portabiliteit, van kracht 12-9-2025) + Verordening (EU) 2016/679 art. 44-49 (CELEX 32016R0679, AVG doorgifte derde landen) + EDPB Aanbevelingen 01/2020 (TIA-grondslag post-Schrems II).
DjimIT-framework: CSAP (Cloud Soevereiniteit Assessment Protocol), Fase 3 output: Soevereiniteitskloof-matrix.
Deliverable-specificatie: Vier soevereiniteitsdimensies elk gebenchmarkt op SEAL-niveaus (0-4). Dimensie 1 Juridisch/contractueel: CLOUD Act-exposure beoordeling, SCC-status (Uitvoeringsbesluit (EU) 2021/914), TIA-volledigheid, contractuele EU-rechtsmacht. Dimensie 2 Technisch/architectuur: data residency conformiteit (AVG art. 44-49), versleutelingssleutelbeheer (HSM-locatie), open standaarden-afhankelijkheid, interoperabiliteitscheck (Data Act art. 23). Dimensie 3 Operationeel/controle: auditrechten (Data Act art. 25), incident response-controle, toegang personeel leverancier, monitoring-capaciteit. Dimensie 4 Strategisch/exit: Data Act art. 25-31 portabiliteitsreadiness, technische switching-kosten, switching-tijdlijn, alternatieve leveranciers-matrix. Per dimensie: huidige SEAL-score, doelscore, kloof-beschrijving en aanbevolen maatregelen. Bijgevoegd: TIA-onderlegger (Transfer Impact Assessment basisstructuur), vendor lock-in exposure calculator, Cloud Soevereiniteits-Directiebrief (CSDR) sjabloon voor bestuurspresentatie.
TPA bewijs-output: Type B. De CSDR is een bestuursnota die de soevereiniteitspositie van de organisatie documenteert, geschikt voor directie en Raad van Bestuur-presentatie. De dimensie-scores vormen tevens de basis voor inkoopovereenkomsten met cloudleveranciers.
Doelgroep en tijdsinvestering: Enterprise Architect + CISO + Inkoop. Initieel assessment: 3-5 uur. Per leverancier-herassessment: 1-2 uur.
Urgentie: AANBEVOLEN met escalerende urgentie. Data Act switching fees verbod: 12 januari 2027. Organisaties die nu beginnen hebben 18 maanden voor een gecontroleerde soevereiniteitsverbetering.
Excel + PDF, CSAP Fase 3 instrument
€29
AI Governance Policy Template
Regulatoire grondslag: Verordening (EU) 2024/1689 Bijlage IV (CELEX 32024R1689, negen secties technische documentatie voor hoog-risico AI) + art. 9 (risicobeheersysteem) + art. 27 (FRIA, verplicht per 2-8-2026 voor bepaalde deployers) + ISO/IEC 42001:2023 clausule 6 (risicobeoordeling AI-managementsysteem) + IAMA v2 (februari 2026, NL FRIA-equivalent voor publieke sector).
DjimIT-framework: AGAP (AI Governance Architectuurprotocol), Fase 3 output: AI Governance Framework (AGF) + Fase 4: Conformiteitsdossier.
Deliverable-specificatie: Vier afzonderlijke documenten in één template-pakket. Document 1 AI Governance Beleid (publiceerbaarheid): beleidsscope, rolverdeling (Eigenaar AI-systeem / AI Officer / Verwerkingsverantwoordelijke), governancecyclus, incidentmelding, transparantieverplichtingen (EU AI Act art. 50). Document 2 AI Systeem Register (ASR): per AI-systeem: risicoklasse, toepassingsdomein, data-inputs, output-gebruik, menselijk toezicht, FRIA-status. Document 3 Bijlage IV Technische Documentatie (negen secties): systeembeschrijving en doel, hardware- en softwarespecificaties, componentenarchitectuur en trainingsdata-documentatie, pre-markt tests en validatieresultaten, technische prestatiedoelstellingen en nauwkeurigheidsdrempels, maatregelen voor menselijk toezicht (art. 22), risicobeheersysteem (art. 9), conformiteitsassessment-procedure, postmarktmonitoringplan (art. 72). Document 4 FRIA-proxy voor publieke sector (IAMA v2-aligned): beoordeling impact op non-discriminatie, privacy, vrijheid van meningsuiting, kinderrechten, eigendomsrecht.
TPA bewijs-output: Type A + B. Het ingevulde Bijlage IV-dossier constitueert de wettelijk vereiste technische documentatie voor hoog-risico AI-systemen. Het AI Governance Beleid is het publiceerbare bestuursdocument dat transparantieverplichting (art. 50) invult.
Doelgroep en tijdsinvestering: AI Officer + DPO + Compliance Officer. Initieel invullen per AI-systeem: 4-8 uur. Jaarlijkse review: 2-3 uur.
Urgentie: VERPLICHT PER DATUM. EU AI Act hoog-risico verplichtingen (incl. Bijlage IV documentatie): 2 augustus 2026. FRIA voor bepaalde deployers: 2 augustus 2026. Organisaties die nu beginnen hebben 14 maanden om hun AI-portfolio te documenteren.
Word + PDF, Bijlage IV-gestructureerd, aanpasbaar per organisatie
€49
Incident Response Playbook
Regulatoire grondslag: Richtlijn (EU) 2022/2555 art. 23 (CELEX 32022L2555, drietrapsmeldplicht: 24u early warning, 72u incident notification, 1 maand final report) + NIST SP 800-61 Rev. 3 (3 april 2025, vervangt volledig de 2012-versie, aligned aan NIST CSF 2.0 Respond/Recover-functies) + ENISA Technical Implementation Guidance (TIG) juni 2025 (sector-CSIRT notificatieformaten).
DjimIT-framework: NIS2-MIM (NIS2 Minimale Incidentmelding Methode), drietraps-incidentresponsprotocol.
Deliverable-specificatie: Drie NIS2 art. 23-conforme meldingssjablonen. Sjabloon 1 Early Warning (T+24u): incidentidentificatie-ID, eerste feitenbeschrijving, getroffen systemen (categorisering conform Uitvoeringsverordening 2024/2690 Annex), inschatting grensoverschrijdende impact, meldkanaal NCSC/sector-CSIRT. Sjabloon 2 Incident Notificatie (T+72u): ernst-classificatie (NIS2-relevant / significant / ernstig conform art. 23 lid 3), indicators of compromise (IoC-register met TTPs), oorzaak-hypothese, getroffen diensten en gebruikers, genomen inperkingsmaatregelen, verwachte hersteltijdlijn. Sjabloon 3 Final Report (T+1 maand): root cause analysis (vijf-waarom-methode of fishbone-structuur), chronologisch incidentoverzicht, geimplementeerde herstelmaatregelen, restrisico-beoordeling, lessons-learned-register, aanpassingen aan preventieve maatregelen. Bijgevoegd: vier communicatieplannen (Bestuur: bestuursniveau-briefing | Personeel: operationeel communicatiescript | Klanten en partners: extern communicatietemplate | Toezichthouder en pers: officieel verklaringstemplate), RACI-escalatiematrix per incidentfase met rolbeschrijvingen, oefenscenario-structuur voor tafeltoets.
TPA bewijs-output: Type A. De drie ingevulde meldingssjablonen constitueren het volledige NIS2 art. 23-bewijsdossier met exacte tijdstempels. Dit is primair audit-bewijs dat aantoont dat de organisatie haar meldplicht correct en tijdig heeft uitgevoerd.
Doelgroep en tijdsinvestering: CISO + Incident Response Coordinator. Implementatie en interne afstemming: 2-4 uur. Jaarlijkse tafeltoets op basis van oefenscenario: 2 uur.
Urgentie: VERPLICHT NU. De meldplicht is van kracht per inwerkingtreding Cbw (~1-7-2026). Een organisatie zonder operationeel Incident Response Playbook kan de 24u-meldtermijn niet halen en riskeert handhaving.
Word + PDF, NIS2 art. 23-gestructureerd, NIST CSF 2.0-aligned
€49
DevSecOps Pipeline Configuratie
Regulatoire grondslag: Verordening (EU) 2024/2847 art. 13(5) (CELEX 32024R2847, Cyber Resilience Act: SBOM-verplichting voor fabrikanten van producten met digitale elementen, deadline 11-12-2027) + ISO/IEC 5962:2021 (SPDX-formaat) + CycloneDX v1.6-standaard + OWASP SAMM v2.0 (Implementation Practice: Secure Build, Secure Deployment, Defect Management) + NIST SP 800-218 SSDF v1.1 (PW.4 Reusable Secure Software, RV.1 Vulnerability Testing).
DjimIT-framework: TPA Laag 1 (genealogie-documentatie per pipeline-component) + LLSAF Laag 1-2 (Input Validation en Access Control als pipeline-securityvereisten).
Deliverable-specificatie: Twee volledige CI/CD-configuraties (GitHub Actions + GitLab CI/CD) met vijf geintegreerde security-stadia. Stadium 1 SAST (Static Application Security Testing): Semgrep-regelset voor OWASP Top 10 + taalspecifieke kwetsbaarheden, SonarQube Community Edition-koppeling, threshold-configuratie (blokkeer bij critical/high). Stadium 2 SCA (Software Composition Analysis): GitHub Dependabot-configuratie met auto-PR voor CVE-patches, Snyk-integratie voor licentie-compliance (SPDX-output), afhankelijkheidsgraaf-export. Stadium 3 DAST (Dynamic Application Security Testing): OWASP ZAP Baseline Scan-actie voor staging-omgeving, custom scan-regels voor API-endpoints, rapportage-integratie. Stadium 4 SBOM-generatie: Anchore Syft-actie voor CycloneDX v1.6-output, automatische SBOM-archivering per release, component-inventarisatielogboek (CRA art. 13(5)-compliant). Stadium 5 Secret Scanning: TruffleHog-actie voor pre-commit en pipeline, patroonbibliotheek voor API-sleutels, credentials, certificaten. Bijgevoegd: OWASP SAMM v2.0-compliance-mapping per stadium (welke SAMM-practice het stadium invult), NIST SSDF-crosswalk per pipeline-component, CRA-readiness-checklist (11 vereisten art. 13 beoordeeld), SBOM-register-template voor productie-release-administratie.
TPA bewijs-output: Type C. De draaiende pipeline constitueert technisch implementatiebewijs voor NIS2 art. 21(2)(d) (supply chain security) en CRA art. 13(5) (SBOM-verplichting). Het SBOM-register vormt de audittrail voor CRA-conformiteitsassessment.
Doelgroep en tijdsinvestering: DevSecOps Lead + Platform Engineer. Pipeline-implementatie: 4-8 uur afhankelijk van bestaande CI/CD-setup. SBOM-workflow operationeel: 1-2 uur na initiele setup.
Urgentie: VERPLICHT PER DATUM (CRA SBOM: 11-12-2027). Sterke aanbeveling om nu te implementeren: organisaties die wachten tot 2027 moeten hun volledige release-administratie retroactief reconstrueren. Elke release die nu zonder SBOM wordt uitgebracht, vergroot de retroactieve last.
YAML-configuraties + Markdown-documentatie, GitHub Actions en GitLab CI
€49
Template-synergie: drie compliance-circuits
De zes instrumenten zijn niet zes losse producten maar drie overlappende compliance-circuits. Elk circuit sluit een specifieke regulatoire verplichting volledig af.
Circuit 1 - NIS2/Cbw-circuit (Verplicht nu, deadline ~1-7-2026)
NIS2 Gap-analyse Template (art. 21-zorgplicht) + Incident Response Playbook (art. 23-meldplicht) + DevSecOps Pipeline Configuratie (art. 21(2)(d) supply chain security + CRA SBOM). De drie instrumenten samen documenteren uw volledige NIS2-compliance: wat u doet om aanvallen te voorkomen (Gap-analyse), hoe u reageert als het toch misgaat (Playbook), en hoe uw software-toeleveringsketen is beveiligd (Pipeline).
Circuit 2 - EU AI Act-circuit (Verplicht per datum 2-8-2026)
AI Governance Policy Template (Bijlage IV technische documentatie + FRIA) + LLM Security Assessment Checklist (art. 9 risicobeheersysteem voor LLM-toepassingen). De twee instrumenten samen documenteren zowel het AI-governance-beleid op bestuursniveau als de technische beveiligingsbaseline per LLM-implementatie.
Circuit 3 - Cloud soevereiniteits-circuit (Strategisch, Data Act deadline 12-1-2027)
Cloud Soevereiniteit Scorecard (CSAP Fase 3, SEAL-benchmarking + TIA-onderlegger). Staat los als strategisch instrument, maar versterkt Circuit 1 (cloud-locatie van NIS2-plichtige systemen) en Circuit 2 (cloud-deployment van AI-systemen onder EU AI Act).
De bundle biedt het volledige driecircuit-systeem: NIS2/Cbw, EU AI Act, en cloud soevereiniteit gedekt met aaneengesloten bewijs-documentatie.
Regulatoire urgentie per template
| Template | Regulatoire grondslag | Deadline | Urgentie |
|---|---|---|---|
| NIS2 Gap-analyse | NIS2 art. 21 (CELEX 32022L2555) | ~1-7-2026 (Cbw) | VERPLICHT NU |
| Incident Response Playbook | NIS2 art. 23 (CELEX 32022L2555) | ~1-7-2026 (Cbw) | VERPLICHT NU |
| LLM Security Checklist | NIS2 art. 21(2)(e) + EU AI Act art. 9 | Nu (NIS2) / 2-8-2026 (AI Act) | VERPLICHT NU |
| AI Governance Policy | EU AI Act Bijlage IV + art. 27 | 2-8-2026 | VERPLICHT PER DATUM |
| DevSecOps Pipeline | CRA art. 13(5) (CELEX 32024R2847) | 11-12-2027 | VERPLICHT PER DATUM |
| Cloud Soevereiniteit Scorecard | Data Act art. 23-31 (CELEX 32023R2854) | 12-1-2027 | AANBEVOLEN |
Bundle: Volledige Toolkit
Alle zes instrumenten, €149 (los: €234, besparing €85).
De bundel is meer dan een prijsvoordeel. De zes instrumenten zijn ontworpen als een samenhangend bewijs-systeem: de NIS2 Gap-analyse Template en het Incident Response Playbook gebruiken dezelfde maatregelcategorisering, de AI Governance Policy Template is cross-gerefereerd met de LLM Security Assessment Checklist, en de Cloud Soevereiniteit Scorecard levert de TIA-onderlegger die de AI Governance Policy nodig heeft voor cloud-gedeployede AI-systemen.
Bundle-kopers ontvangen automatisch updates bij regulatoire revisies (Cbw-inwerkingtreding, EU AI Act-uitvoeringsverordeningen, CRA-technische standaarden). Losse aankopen ontvangen updates voor het specifieke template bij directe wetgevingswijziging.
Veelgestelde vragen
Zijn de templates juridisch bindend of vervangen ze een externe audit? Nee. De templates zijn operationele zelfbeoordelingsinstrumenten. Ze produceren documentatie die een professioneel compliance-dossier constitueert, maar vervangen niet de validatie door een gecertificeerde auditor of juridisch adviseur. DjimIT positioneert de templates als voorbereiding op een externe audit, niet als vervanging ervan. Voor organisaties die een externe NIS2-audit moeten doorstaan, verlaagt een volledig ingevulde NIS2-AEC-template de auditkosten omdat de auditor een gestructureerd bewijs-dossier aantreft in plaats van losse documentatie.
Moet ik eerst een whitepaper kopen voor ik een template kan gebruiken? Nee, de templates zijn zelfstandige instrumenten met ingebedde instructies en norm-referenties. De bijbehorende whitepapers (NIS2 Compliance Gids, LLM Security Framework, Cloud Soevereiniteit Blueprint) bieden methodologische verdieping voor professionals die de redenering achter elke maatregel willen begrijpen, maar zijn geen vereiste voor templategebruik.
Welke template heeft de hoogste urgentie voor mijn organisatie? Dat hangt af van uw sector en kwalificatie. Essentiële en belangrijke entiteiten onder NIS2 (Cbw ~1-7-2026): NIS2 Gap-analyse Template en Incident Response Playbook zijn urgent. Ontwikkelaars of deployers van hoog-risico AI-systemen (EU AI Act art. 6 + Bijlage III): AI Governance Policy Template is urgent voor 2-8-2026. Fabrikanten van software of hardware: DevSecOps Pipeline Configuratie voor CRA-gereedheid. Als u niet zeker weet in welke categorie uw organisatie valt, start dan met de NIS2 Gap-analyse, die leidt u door de sectorale kwalificatiematrix.
Hoe verhouden de DjimIT-templates zich tot de gratis ENISA-checklists? ENISA publiceert analytische richtlijnen: ze leggen uit wat NIS2 vereist. De DjimIT-templates zijn operationele instrumenten: ze structureren hoe u bewijst dat u aan de vereisten voldoet. Het onderscheid is vergelijkbaar met het verschil tussen een wetstekst en een invulformulier voor belastingaangifte. ENISA's Technical Implementation Guidance (TIG, juni 2025) is de primaire bron voor de NIS2-AEC; de template vertaalt die guidance naar een invulbaar bewijs-dossier.
Wat kost non-compliance in vergelijking met de template-investering? NIS2: bestuurlijke boetes tot €10 miljoen of 2% mondiale jaaromzet voor essentiële entiteiten (Cbw art. X, aligned aan NIS2 art. 34). EU AI Act: tot €15 miljoen of 3% voor niet-verboden overtredingen. CRA: tot €15 miljoen of 2,5%. Een preventief investering van €29-€149 in gestructureerde compliance-documentatie staat tegenover potentiele boetes in de orde van miljoenen, plus reputatieschade en operationele herstelkosten na een incident.
Zijn de templates geschikt voor kleine en middelgrote ondernemingen? Ja, met een kanttekening. De templates zijn volledig uitgeschreven voor de maximale regulatoire scope. Een KMO met beperkte IT-capaciteit kan de templates modulair gebruiken: begin met de kolommen "Status" en "Verantwoordelijke" en bouw het bewijs-dossier incrementeel op. De prioriteitsmatrix in de NIS2 Gap-analyse Template onderscheidt expliciet welke 15 van de 40 checkpunten minimaal verplicht zijn voor kleinere entiteiten (NIS2-categorie "belangrijke entiteiten", lichtere handhavingsregeling conform art. 32 lid 2).