NIS2: klaar voor de deadline van 18 april 2026?
door Gorik Van den Bergh en Güney Yalcin
Digitale dreigingen nemen exponentieel toe. Dat betekent dat cybersecurity voor ondernemingen vandaag geen louter technische aangelegenheid meer is, maar een strategische prioriteit. Met de NIS2-wetgeving heeft Europa die realiteit ook juridisch verankerd. En de tijd dringt: hoewel de Belgische NIS2-wet al sinds 18 oktober 2024 van kracht is, vormt 18 april 2026 voor veel organisaties een cruciale mijlpaal. Tegen die datum volstaat het immers niet langer om maatregelen te plannen of gedeeltelijk te implementeren. Organisaties moeten effectief kunnen aantonen dat zij compliant zijn.
Samengevat:
Tegen 18 april 2026 moet je NIS2-compliance kunnen aantonen
Check of je organisatie valt onder een essentiële of belangrijke entiteit
Compliance bewijs je via CyFun of ISO 27001
Reken op 3–6 maanden voorbereiding voor audit/certificatie
Niet compliant? Risico op boetes, aansprakelijkheid en reputatieschade
Voor wie geldt NIS2?
Niet elke organisatie heeft dezelfde verplichtingen. NIS2 maakt een onderscheid tussen twee categorieën:
Essentiële entiteiten
Grotere organisaties actief in kritieke sectoren zoals energie, gezondheidszorg, transport of digitale infrastructuur.
Belangrijke entiteiten
Middelgrote organisaties of dienstverleners in relevante sectoren.
Deze classificatie bepaalt welke maatregelen je moet nemen én hoe je compliance moet aantonen.
Van inspanning naar bewijs: wat verandert na de deadline van 18 april 2026?
De deadline van 18 april 2026 markeert een duidelijke shift: organisaties moeten niet alleen inspanningen leveren, ze moeten compliance ook formeel kunnen onderbouwen. Met andere woorden: “We zijn bezig” volstaat niet meer, je moet bewijs leveren.
Voor essentiële entiteiten betekent dit dat zij hun compliance moeten aantonen via een externe audit.
Belangrijke entiteiten moeten geen verplichte audit ondergaan, maar wel aantoonbaar compliant zijn. Controles kunnen uitgevoerd worden (bv. na een incident).
Zo wordt cybersecurity meetbaar, controleerbaar én afdwingbaar.
Hoe toon je compliance aan? Twee erkende trajecten
In België zijn er twee gangbare manieren om NIS2-compliance aan te tonen:
1. CyberFundamentals (CyFun)
Het Belgische CyberFundamentals-framework, ontwikkeld door het Centrum voor Cybersecurity België (CCB), is vandaag de meest gebruikte aanpak.
Kenmerken:
Drie niveaus: Basic, Important, Essential
Focus op concrete en operationele beveiligingsmaatregelen
Gefaseerde aanpak mogelijk
2. ISO/IEC 27001
ISO 27001 is een internationaal erkende norm die inzet op de uitbouw van een volledig Information Security Management System (ISMS).
Kenmerken:
Strategische en structurele aanpak
Omvangrijker traject
Internationale erkenning
Hoewel 18 april 2026 de belangrijkste mijlpaal vormt waarop organisaties hun compliance moeten kunnen aantonen, laten zowel het CyberFundamentals-framework als ISO 27001-trajecten toe om (afhankelijk van het gekozen traject en het vereiste zekerheidsniveau) een verdere uitrol of certificering te realiseren tot uiterlijk 18 april 2027.
Wat houdt een conformiteitsbeoordeling concreet in?
Een veelvoorkomende misvatting is dat compliance neerkomt op het afvinken van een checklist. In werkelijkheid gaat het om een grondige evaluatie van jouw organisatie.
Zelfevaluatie van je cybersecurityniveau
Externe audit door een erkende partij
Controle van documentatie én effectieve implementatie
Dit traject neemt gemiddeld drie tot zes maanden in beslag, afhankelijk van de maturiteit van je organisatie.
Wat als je de deadline mist?
De gevolgen zijn niet min:
Boetes tot € 10 miljoen of 2% van je wereldwijde omzet
Mogelijke persoonlijke aansprakelijkheid van bestuurders
Reputatieschade en verlies van vertrouwen
Cybersecurity wordt dus expliciet een verantwoordelijkheid op bestuursniveau.
Hoe start je met NIS2?
Voor veel organisaties lijkt NIS2 in eerste instantie complex, maar de eerste stappen zijn vaak duidelijker dan je denkt. Het begint met het correct inschatten van je positie: val je onder een essentiële of belangrijke entiteit? Van daaruit breng je je huidige cybersecurityniveau in kaart en identificeer je de grootste risico’s en hiaten.
Op basis van die analyse kies je een geschikt traject, zoals CyberFundamentals of ISO 27001, en werk je gericht toe naar aantoonbare compliance. Cruciaal daarbij is dat je tijdig start. Niet alleen omdat het traject enkele maanden in beslag neemt, maar vooral omdat NIS2 verder reikt dan IT alleen. Het raakt ook je governance, risicobeheer en strategische besluitvorming. Daarom is betrokkenheid van het management geen nice-to-have, maar een absolute voorwaarde voor succes.
NIS2: meer dan een verplichting
NIS2 wordt vaak gezien als een pure compliance-oefening, maar in werkelijkheid biedt het vooral een kans om je organisatie te versterken. Je krijgt meer grip op risico’s, verhoogt je operationele veerkracht en bouwt actief aan vertrouwen bij klanten, partners en stakeholders. De deadline van 18 april 2026 is dan ook geen eindpunt, maar een belangrijke stap richting een duurzame digitale strategie.
Om dit formulier te kunnen versturen moet u het gebruik van technische cookies aanvaarden. Dat kan u hier aanpassen.
Deze cookies worden gebruikt om onderscheid te maken tussen mensen en bots. Bepaalde gegevens, zoals uw IP adres of taal, kunnen hierbij doorgestuurd worden naar Google. Meer info vindt u in onze cookieverklaring.
Gorik Van den Bergh
Team Lead IT audit gorik.vandenbergh@vdl.be
Güney Yalcin
IT Risk Advisor guney.yalcin@vdl.be
Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.
Nieuws en inzichten
Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.
