Reglyze zit onder de NIS2-kmo-drempel van artikel 2, lid 1.
We passen de maatregelen van artikel 21 vrijwillig toe met Reglyze (het product), tegelijk als onderwerp en als instrument. Dit is dogfooding, geen wettelijke verplichting. We tonen deze pagina zodat u kunt nagaan hoe een door AI opgebouwde NIS2-bewijsbasis er echt uitziet vóór u koopt.
Onze eigen NIS2-bewijsbasis — in alle openheid
Elke beleidslijn, elk opleidingsdossier, elke leverancier en elke doeltreffendheids-KPI hieronder is gegenereerd, gescoord en beoordeeld binnen Reglyze het product, door de oprichter van Reglyze het bedrijf, op hetzelfde abonnement dat onze betalende klanten gebruiken.
We hebben onze volledige NIS2-bewijsbasis gedocumenteerd in minder dan 1 uur.
Schatting voor handmatig consultancywerk ter vergelijking: 80–120 uur.
Kloktijd in minuten uit het dogfooding-tijdslogboek (docs/research/self-compliance-timing.md). Omvat de AI-generatie, het redactiewerk van Cyril en het reviewpakket. Exclusief de onderbreking van 36 uur 's nachts tussen de fasen.
De handmatige basislijn is de ondergrens van een typische EU-NIS2-consultancyopdracht voor kmo's (5–25 medewerkers): 10–15 dagen werk van een senior consultant aan €80–100 per uur. Bron: marktoffertes uit de ledennetwerken van CLUSIF, Clusit en APDC (2025–2026).
19 May 2026
19 Aug 2026
Driemaandelijkse zelfaudit conform artikel 21, lid 2, f). De cyclus Q2-2026 liep op 2026-05-19 — 5 KPI's beoordeeld, 4 op doel + 1 boven doel, geen tekortkomingen onder doel. De cyclus vervangt de eerdere PDF's op hun plaats op deze pagina; de metriek en de data worden bij elke cyclus bijgewerkt.
Wat deze pagina betekent
Reglyze (de rechtspersoon) is een bedrijf met 5 personen en een omzet onder €10 miljoen — uitdrukkelijk onder de kmo-ondergrens die artikel 2, lid 1 van de NIS2-richtlijn hanteert om entiteiten binnen het toepassingsgebied te brengen. We zouden zelfs geen incidentmelding op grond van artikel 23 bij ANSSI kunnen indienen, al zouden we het willen; we vallen buiten het toepassingsgebied van de richtlijn. De eerlijke redenen waarom we de bewijsbasis op deze pagina toch publiceren:
- Dogfooding. Als onze klanten via het Reglyze-product een NIS2-bewijsbasis opbouwen, dan hoort de oprichter dat eerst zelf te doorlopen. Problemen die we tijdens dat parcours vinden, worden producttaken (zie de open-source-planbrief).
- Marketing. Wie een door AI gebouwd NIS2-platform evalueert, verdient het te zien wat de AI werkelijk produceert. Een geredigeerde maar echte bewijsbasis is eerlijker dan een synthetische demo.
- Toekomstige aanwervingen. De dag dat Reglyze de 50 medewerkers of €10 miljoen omzet overschrijdt, is de richtlijn van toepassing. De beleidslijnen op deze pagina vormen de basislijn waarop we geauditeerd zullen worden. Ze nu opbouwen is goedkoper dan ze onder tijdsdruk opbouwen.
- Driemaandelijkse cadans. Artikel 21, lid 2, f) vraagt om een periodieke doeltreffendheidsbeoordeling. Onze vrijwillige cadans is driemaandelijks — dezelfde die we onze betalende klanten aanraden.
Beleidslijnen en bewijs uit artikel 21
De 14 artefacten hieronder dekken de tien cyberbeveiligingsmaatregelen voor risicobeheer uit artikel 21, lid 2, plus de opleiding van het bestuursorgaan uit artikel 20, lid 2 en de doeltreffendheidstests uit artikel 21, lid 2, f). Elke rij verwijst naar de geredigeerde PDF zodra die gepubliceerd is; kaarten met de markering Enkel samenvatting bevatten alleen het uittreksel tot Cyril de redactie per PDF heeft afgerond.
Informatiebeveiligingsbeleid
Hoofdbeleid: risicoanalyse, governance, rollen en verantwoordelijkheden. Goedgekeurd door Cyril (enige lid van het bestuursorgaan) voor de entiteit Reglyze.
Incidentresponsplan
Detectie → triage → indamming → uitroeiing → herstel → geleerde lessen. Het communicatiekanaal met de autoriteit is vrijwillig voor Reglyze (buiten scope op grond van artikel 2(1)), maar gedocumenteerd voor de volledigheid.
Bedrijfscontinuïteitsplan
RTO/RPO-doelen per serviceniveau, failover-paden (Hetzner primair + Google Drive als koude back-up) en de cadans van tabletop-oefeningen voor de Reglyze-SaaS zelf.
Back-up- en noodherstelplan
Dagelijkse PostgreSQL-dumps via rclone naar Google Drive; rotatie van 7 dagen op de machine; hersteloefening in deploy-rollback.md. Afgestemd op het bereik van één oprichter.
Beveiligingsbeleid voor de toeleveringsketen
Checklist voor due diligence van leveranciers, verwachtingen rond de verwerkersovereenkomst, cascade voor inbreukmelding. Van toepassing op de SaaS-stack met 7 leveranciers (Cloudflare, Hetzner, Anthropic, Stripe, GitHub, Resend, Google Drive).
Toegangscontrolebeleid
Model van minimale rechten, MFA op elk SaaS-oppervlak, in-/door-/uitstroomproces (formeel triviaal bij 5 personen, maar gedocumenteerd). Legt het beleidsplafond vast voor toekomstige aanwervingen.
Cryptografiebeleid
TLS 1.3 onderweg, AES-256 in rust (PostgreSQL, MinIO, GDrive-back-up), cadans voor sleutelrotatie, geen zelfgemaakte crypto. Waar van toepassing overgenomen via de SaaS-leveranciers.
Beleid voor het beheer van bedrijfsmiddelen
Afbakening van de inventaris van bedrijfsmiddelen (laptop + cloudaccounts), labeling, levenscyclus en buitengebruikstelling. Zelf geattesteerd op solo-schaal; driemaandelijks herzien.
Beveiligingsbeleid voor personeelszaken
Beveiligingschecklist voor onboarding, NDA-sjabloon, opleidingsvereiste en stappen voor toegangsintrekking bij offboarding. Afgestemd op de eerste aanwerving; huidige staat zelf geattesteerd.
Beleid voor kwetsbaarhedenbeheer
Dependabot + GitHub-beveiligingsmeldingen als inkomend kanaal; SLA per ernstniveau (kritiek < 7 dagen, hoog < 30 dagen); patchbewijs in de commitgeschiedenis.
Beleid voor MFA en beveiligde communicatie
MFA afgedwongen op elk SaaS-oppervlak; voorkeur voor een authenticator-app (geen sms-terugval); matrix van beveiligde kanalen voor gevoelige communicatie (Signal voor incidenten, GitHub voor code).
Beleid voor doeltreffendheidstests
Driemaandelijkse cadans van zelfaudit, KPI-definities (vandaag: Mean Time To Detect < 2 dagen), revisiebewijs bewaard naast het tijdstip van de laatste audit van deze pagina.
Opleidingsplan cyberbeveiliging
Jaarlijks opleidingsprogramma voor het bestuursorgaan (artikel 20(2)) en het personeel (artikel 21(2)(g)). Bij 5 personen is dat Cyril; gemarkeerd voor validatie door een derde partij bij de volgende aanwerving.
Opleidingsattest bestuursorgaan (artikel 20(2))
Cyril voltooide de Reglyze-opleiding voor het bestuursorgaan op 2026-05-17 (op eigen tempo, zelf geattesteerd). Geldig tot 2027-05-17. Eerlijk over de beperking op solo-schaal.
Opleidingsregister (artikel 20, lid 2 + artikel 21, lid 2, g))
Het bestuursorgaan van Reglyze voltooide de opleiding uit artikel 20, lid 2 binnen het product op 2026-05-17. Bij een personeelsbestand van 5 met één enkele oprichter bestaat het bestuursorgaan uit één persoon; we markeren dit eerlijk als een beperking op solo-schaal die bij de volgende aanwerving een door een derde gevalideerde opleiding zal activeren.
NIS2 Article 20(2) — Management-Body Training
- Deelnemer:
- Cyril Poder
- Voltooid:
- Geldig tot:
Solo-schaal, op eigen tempo, zelf geattesteerd. Validatie door een derde partij gemarkeerd voor de volgende aanwerving.
Leveranciersregister (artikel 21, lid 2, d))
Reglyze draait op een SaaS-stack van 7 leveranciers. Het register houdt per leverancier de gedeelde gegevens, de restrisicoscore en de beoordelingscadans bij. We publiceren de namen van de leveranciers openlijk — zie de Trust-pagina voor het actuele overzicht.
| Leverancier | Dienst | Kritikaliteit |
|---|---|---|
| Cloudflare | CDN, DNS, WAF, TLS-terminatie | Kritiek |
| Hetzner Online GmbH | Cloudinfrastructuur / hosting | Kritiek |
| Anthropic | AI / LLM (Claude API voor documentgeneratie) | Kritiek |
| Stripe | Betalingsverwerking en facturatie | Kritiek |
| GitHub | Hosting van broncode en CI/CD | Kritiek |
| Google Workspace + Drive (via rclone) | Bestemming voor externe back-ups | Hoog |
| Resend | Verzending van transactionele e-mail | Gemiddeld |
Het volledige register, inclusief restrisicoscores en beoordelingsdata, staat in het product. De kritikaliteitsindeling hierboven komt overeen met het veld audit_classification (critical / important / standard) dat de cron voor leveranciersbeoordelingsherinneringen gebruikt.
Doeltreffendheidstests (artikel 21, lid 2, f))
De cyclus Q2-2026 (de eerste driemaandelijkse audit op grond van artikel 21, lid 2, f)) registreerde 5 doeltreffendheids-KPI's ten opzichte van hun vastgelegde doelen: Mean Time To Detect (MTTD), Mean Time To Restore (MTTR), naleving van de SLA voor kritieke patches, uitvoering van de back-uphersteloefening en voltooiing van de leveranciersbeoordeling. Het aantal KPI's groeit mee met nieuwe beleidslijnen — de ruggengraat ligt vast.
| KPI | Subcontrole artikel 21, lid 2, f) | Doel | Waargenomen Q2-2026 | Status |
|---|---|---|---|---|
Mean Time To Detect (MTTD) Tijd tussen het optreden van een cyberbeveiligingsgebeurtenis en de detectie ervan door Reglyze. Uptimemonitor van Hetzner + Docker-healthchecks op solo-CTO-schaal; geen SOC/SIEM. | nis2.21.2.f.1 | < 2 dagen | 0 incidenten | Op doel |
Mean Time To Restore (MTTR) Tijd tussen de detectie van een incident en het volledig herstel van de dienst. Back-up vóór deployment + automatische rollback gevalideerd in twee oefeningen in 2026-05, binnen 3 minuten kloktijd. | nis2.21.2.f.2 | < 4 uur | 0 incidenten | Op doel |
Critical patch SLA compliance Percentage kritieke/hoge Dependabot-beveiligings-PR's dat binnen 7 dagen is samengevoegd. Q2-2026: 3/3 (drizzle-orm, Next.js, @xmldom/xmldom). | nis2.21.2.f.3 | 100% | 100% | Op doel |
Backup restore drill execution Geslaagde hersteloefeningen per kwartaal. Herstel op staging 2026-05-03 + automatische RESTORE_DB-bij-smoke-fail gevalideerd op 2026-05-15. | nis2.21.2.f.4 | ≥ 1 / kwartaal | 2 oefeningen | Boven doel |
Supplier review completion Percentage leveranciers binnen de beoordelingscadans. 7/7 leveranciers hebben op de auditdatum een next_review_due_at in de toekomst. | nis2.21.2.f.5 | 100% | 100% | Op doel |
Bevindingen per KPI en corrigerende maatregelen worden bijgehouden in effectiveness_reviews op de productiedatabank (idempotent, alleen-toevoegen). De volgende cyclus ligt vast op 2026-08-19.
Niet-geteste KPI's (MTTD, MTTR, leveranciersbeoordelingscadans) zijn eerlijke dogfooding-artefacten — Reglyze had in Q2-2026 nul cyberbeveiligingsincidenten, waardoor de detectie- en herstelcontroles niet empirisch konden worden gevalideerd. De patch-SLA en de back-uphersteloefening zijn kwantitatief gevalideerd.
Samenvatting van de auditcyclus
Eén rij in audit_logs bekrachtigt de voltooiing van de cyclus. De handtekening van de beoordelaar is digitaal — de dogfooding-belofte: het bestuursorgaan is Cyril, de enige beheerder die elk scherm heeft doorlopen.
Reglyze valt buiten het NIS2-toepassingsgebied op grond van artikel 2, lid 1; deze audit is vrijwillig. De cadans ligt vast op driemaandelijks — dezelfde aanbeveling die we onze betalende klanten doen.
Integriteitsgaranties
Deze pagina maakt deel uit van de Reglyze-website, wordt geserveerd als een statische Next.js-route, en de geredigeerde PDF's staan samen met de pagina onder versiebeheer. Iedereen kan de tijdlijn nagaan:
- Broncode: apps/web/src/app/[locale]/compliance/page.tsx in de publieke Reglyze-repository.
- PDF's: apps/web/public/compliance-artifacts/ — elke commit toont het geredigeerde artefact + de goedkeuringsdatum ervan.
- Uren-bespaard-metriek: docs/research/self-compliance-timing.md, een tijdslogboek rij per rij; het totaal dat hierboven wordt vermeld is de som van de kloktijd van de agent over de taken 1.2 – 1.7 van Fase 1.
- Driemaandelijkse cadans: docs/research/self-compliance/task-3.1/applied.sql is het idempotente SQL-bewijs voor de cyclus Q2-2026 (effectiveness_kpis + effectiveness_reviews + een rij in audit_logs met action=effectiveness.quarterly_audit_completed). Opnieuw uitvoeren levert nul nieuwe rijen op.
- Conform de cadans van artikel 21, lid 2, f) wordt deze pagina driemaandelijks opnieuw geauditeerd; de data Laatst geauditeerd en Volgende audit gepland zijn de ankerpunten van de cyclus.
Wilt u dit voor uw bedrijf?
Begin in vijf minuten met een gratis scoping. Valt u net als wij buiten het toepassingsgebied op grond van artikel 2, lid 1, dan kunt u de vrijwillige bewijsbasis nog steeds opbouwen met het Free-abonnement. Valt u binnen het toepassingsgebied, dan dekt het Pro-abonnement van Reglyze het volledige oppervlak van artikel 21, met AI-documentgeneratie, leveranciersregister en driemaandelijkse audits.