Ga naar overzicht
Ga naar overzicht Ga naar overzicht Ga naar overzicht Ga naar overzicht Ga naar overzicht Ga naar overzicht Ga naar overzicht
Terug

Expertises:

Contracten
IT en software

De digitale wereld evolueert razendsnel en helaas geldt dat ook voor cyberdreigingen. Vandaag loopt elke onderneming een reëel risico om slachtoffer te worden van een cyberaanval. Digitale weerbaarheid is dan ook geen luxe, maar essentieel voor de continuïteit en de bescherming van je onderneming.

Tijdig investeren in doordachte beveiligingsmaatregelen, duidelijke procedures en een proactief cyberbeleid is cruciaal. Niet alleen om incidenten te vermijden, maar ook om voorbereid te zijn wanneer het toch misgaat.

Niet elke onderneming loopt hetzelfde risico. Precies daarom heeft Europa met de NIS-richtlijn, omgezet in België via de NIS-wet, een risicogebaseerd kader ingevoerd. Ondernemingen worden verplicht stil te staan bij hun cyberrisico’s en – afhankelijk van hun profiel – passende maatregelen te nemen. Met de NIS2-richtlijn, omgezet in België via de NIS2-wet, werd het aantal geviseerde ondernemingen uitgebreid.

De Belgische NIS2-wet is al in werking sinds 18 oktober 2024. Intussen zijn ook de eerste registratiedeadlines verstreken (18 december 2024 en 18 maart 2025). Maar de volgende cruciale datum komt snel dichterbij: 18 april 2026, voor veel ondernemingen hét moment van de waarheid.

Valt je onderneming onder NIS2?

De eerste vraag is eenvoudig, maar fundamenteel: valt je onderneming onder het toepassingsgebied van de NIS2-wet?

Een eerste schifting wordt gemaakt op basis van de sector waarin je onderneming actief is. Wanneer je onderneming ten minste een van de volgende diensten levert, moet je de NIS2-wet naleven:

Ondernemingen binnen het toepassingsgebied worden verder onderverdeeld in “essentiële” en “belangrijke” entiteiten, elk met hun eigen verplichtingen. Dit criterium wordt bepaald op basis van:

  • de grootte van de onderneming (focus op middelgrote en grote ondernemingen), en
  • de sector of diensten die worden aangeboden.

De overheid stelt een praktische test ter beschikking om na te gaan of je onderneming onder het toepassingsgebied valt én om te besluiten of je een “essentiële”, dan wel “belangrijke” entiteit bent.

Let op: zelfs wanneer de test aangeeft dat je buiten het toepassingsgebied valt, kan NIS2 alsnog impact hebben:

  • de nationale cyberbeveiligingsautoriteit kan in uitzonderlijke gevallen entiteiten alsnog aanduiden;
  • ondernemingen in de toeleveringsketen van een NIS2-entiteit krijgen vaak contractuele verplichtingen opgelegd rond cyberbeveiliging.

Verplichtingen

Welke verplichtingen gelden vandaag al voor essentiële én belangrijke entiteiten?

Sinds 18 oktober 2024 gelden in België al meerdere verplichtingen. Zie dit als een korte compliance-checklist:

  • registratie op Safeonweb@work;
  • ontwikkeling en implementatie van maatregelen voor het beheer van cyberbeveiligingsrisico’s;
  • melden van significante incidenten aan het CCB (Centrum voor Cybersecurity België)
  • goedkeuring door management van maatregelen, toezicht op nakoming en het volgen van opleidingen;
  • samenwerking met autoriteiten (o.a. uitwisseling van informatie)

Vanaf 18 april 2026: proof of compliance

Vanaf 18 april 2026 volstaat het niet langer om maatregelen te hebben ontwikkeld en te hebben geïmplementeerd. In het bijzonder moeten “essentiële” entiteiten kunnen bewijzen dat zij conform zijn aan NIS2 via een formele conformiteitsbeoordeling of certificering. Voor “belangrijke” entiteiten geldt geen verplichting tot automatische conformiteitsbeoordeling, maar is er wel een verplichting tot aantoonbare compliance bij controle achteraf.

Er zijn drie mogelijke routes voor de conformiteitsbeoordeling:

  1. CyberFundamentals-route (CyFun®);
  2. ISO/IEC 27001-route;
  3. CCB-route.

De drie routes vertrekken elk vanuit een andere insteek. CyFun® werd ontwikkeld voor de Belgische context, werkt met drie niveaus (Basic – Important – Essential) en legt de nadruk op concrete, actiegerichte beveiligingsmaatregelen. ISO/IEC 27001 is een internationale norm die focust op de opbouw van een volledig Information Security Management System (ISMS) en daardoor doorgaans een omvangrijker traject inhoudt. Indien er onvoldoende tijd rest om een certificeringstraject tijdig af te ronden, dan is de derde route, de inspectie door de CCB, wellicht meer op het lijf geschreven. Let wel, deze laatste optie is een toezichtmechanisme dat niet wettelijk verankerd is en vormt dus geen wettelijk equivalent van certificering.

Welke route je kiest, hangt af van de aard, bestaande basis op vandaag en risico’s voor je organisatie.

ROUTE 1: CYBERFUNDAMENTALS (CYFUN®) FRAMEWORK

Afhankelijk van het zekerheidsniveau dat entiteiten op basis van hun risicobeoordeling bepalen (Basic, Important of Essential), gelden verschillende deadlines, met 18 april 2026 als eerste sleuteldatum en in sommige gevallen een uitloop tot 18 april 2027.

  • Basic: tegen uiterlijk 18 april 2026 moet je een verificatie verkrijgen door een geaccrediteerde en erkende conformiteitsbeoordelingsinstantie (hierna “CAB”).
  • Important: tegen uiterlijk 18 april 2026 moet je ofwel een Basic of een Important verificatie verkrijgen door een geaccrediteerde en erkende CAB. Indien nodig kan je een eerste verificatie op niveau Basic verkrijgen en na nog eens 12 maanden een verificatie op niveau Important (uiterlijk op 18 april 2027).
  • Essential: tegen uiterlijk 18 april 2026 moet je ofwel een Basic of een Important verificatie verkrijgen door een geaccrediteerde en erkende CAB. Je hebt daarna nog eens 12 maanden waarbinnen je een zekerheidsniveau Essential certificering moet verkrijgen door een geaccrediteerde en erkende CAB (uiterlijk op 18 april 2027).

ROUTE 2: ISO/IEC 27001-CERTIFICATIE

  • uiterlijk op 18 april 2026: toepassingsgebied en statement of applicability bij het CCB indienen;
  • uiterlijk op 18 april 2027: volledige certificering door een CAB.

ROUTE 3: INSPECTIE DOOR CCB

  • uiterlijk op 18 april 2026: zelfbeoordeling van CyFun® zekerheidsniveau Basic of Important OF ISO/IEC 27001-informatiebeveiligingsbeleid, toepassingsgebied en statement of applicability aan het CCB overmaken;
  • uiterlijk op 18 april 2027: verslag over de voortgang m.b.t. de conformiteit.

Wie niet conformeert aan de aantoonbare compliance-verplichting riskeert administratieve boetes van 500,00 EUR tot wel 10.000.000,00 EUR, afhankelijk van de categorie van inbreuk en het type entiteit!

Dit is dus het ultieme moment om te beoordelen waar je staat, welke route voor je onderneming geschikt is en welke stappen vandaag nog nodig zijn om de deadline van 18 april 2026 te halen.

Heb je vragen over de impact van NIS2 op jouw onderneming, dan denken wij graag met je mee. Neem ook zeker een kijkje op de website van CCB of Safeonweb.

DELEN:

Contactpersonen
Schrijf u hier in op onze nieuwsbrief

Recent nieuws

Checklist factuur betwisten website

Checklist: hoe betwist je correct een factuur?

10/02/2026 - Heb je een factuur ontvangen die niet klopt? Dan is het belangrijk om deze tijdig en correct te betwisten. Dat geldt zowel voor e-facturatie (via het ...

Lees meer
Dag van de privacy 399 x 314 px

GDPR stopt niet wanneer de arbeidsovereenkomst eindigt

28/01/2026 - De Dag van de Gegevensbescherming, ook wel Dag van de Privacy genoemd, staat in het teken van bewustmaking en het stimuleren van best practices rond p...

Lees meer