Nog 15 dagen: is jouw onderneming klaar voor de NIS2-deadline?
Commercial • 00/00/0000 • Julie Van Acker
Op 18 april 2026 moet je aantoonbaar compliant zijn. Dit kun je nu nog doen.
Op 18 april — over precies 15 dagen — moeten essentiële entiteiten onder de NIS2-wet kunnen aantonen dat hun cyberbeveiliging op orde is. Wie dat niet kan, riskeert boetes tot 10 miljoen euro. Is jouw onderneming voorbereid? En zo niet: wat kun je nu nog ondernemen?
Stap 1 — Val je eronder?
De NIS2-wet geldt niet voor iedereen, maar voor meer ondernemingen dan je zou denken. De basisregel: is je onderneming actief in een van de geviseerde sectoren én heb je minstens 50 voltijdsequivalenten (VTE) óf meer dan 10 miljoen euro jaaromzet of balanstotaal? Dan val je er waarschijnlijk onder. Let op: bij de financiële drempels telt het laagste van beide bedragen. En bij groepsstructuren worden de cijfers van de verschillende entiteiten samengeteld.
Geviseerde sectoren zijn onder meer:
Essentiële sectoren | Belangrijke sectoren |
|---|---|
Energie | Post- & koeriersdiensten |
Vervoer | Afvalbeheer |
Bankwezen | Chemie & voeding |
Gezondheidszorg | Medische hulpmiddelen |
Drinkwater & afvalwater | Digitale aanbieders |
Digitale infrastructuur | Onderzoek |
Herken je je onderneming hierin? Dan ben je een “essentiële” of “belangrijke” entiteit onder NIS2. Het verschil tussen beide bepaalt hoe streng het toezicht is en welk certificeringstraject je moet volgen.
Tip: Doe de praktische scopetest op atwork.safeonweb.be om snel te weten of je erbij hoort — en in welke categorie.
Niet rechtstreeks geviseerd? Toch opletten.
Lever je diensten of producten aan een bedrijf dat wél onder NIS2 valt — denk aan een IT-dienstverlener voor een ziekenhuis, of een softwareleverancier voor een energiebedrijf — dan zal die klant jou contractueel verplichten om aan vergelijkbare beveiligingseisen te voldoen. NIS2 heeft dus een domino-effect doorheen de hele toeleveringsketen.
Stap 2 — De klok tikt
De NIS2-wet is sinds oktober 2024 van kracht. De registratiedeadlines zijn al verstreken. En nu nadert de eerste grote graadmeter met rasse schreden:
Deadline | Wat wordt er verwacht? |
|---|---|
18 okt 2024 ✓ | NIS2-wet van kracht. Registratie, risicobeheer, incidentmelding en managementgoedkeuring zijn verplicht. |
18 april 2026 ⚠ | NOG 15 DAGEN — Essentiële entiteiten moeten aantoonbaar compliant zijn: eerste certificering of verificatie (minstens CyFun® Basic) óf scopedocumenten ingediend bij het CCB. |
18 april 2027 | Volledige certificering op het vereiste niveau (Important, Essential of ISO 27001). Belangrijke entiteiten moeten bij controle kunnen bewijzen dat ze compliant zijn. |
Opgelet: deze verplichtingen gelden nu al
De deadline van 18 april gaat over aantoonbare compliance. Maar een aantal verplichtingen zijn al van kracht sinds oktober 2024:
- Registratie op Safeonweb@Work — de deadlines hiervoor zijn al verstreken (december 2024 en maart 2025). Nog niet geregistreerd? Doe dit alsnog zo snel mogelijk.
- Incidentmelding — significante cyberincidenten moeten nu al gemeld worden aan het CCB (Centrum voor Cybersecurity België).
- Managementverantwoordelijkheid — je bestuurders moeten de cyberbeveiligingsmaatregelen goedkeuren, toezien op de naleving ervan, en zelf voldoende opgeleid zijn. Dit is geen toekomstige verplichting — dit geldt vandaag.
- Risicobeheermaatregelen — passende technische en organisatorische maatregelen om je netwerk- en informatiesystemen te beschermen, inclusief beveiliging van de toeleveringsketen.
Stap 3 — Wat kun je nu nog doen?
Laten we eerlijk zijn: een volledig certificeringstraject afronden in 15 dagen is onrealistisch. Maar dat betekent niet dat je machteloos bent. De drie compliance-routes bieden elk een andere aanpak — en voor wie laat is, bestaat er een noodscenario.
Route | Wat houdt het in? | Voor wie? |
|---|---|---|
CyFun® | Belgisch framework met drie niveaus (Basic → Important → Essential). Pragmatisch, groeipad ingebouwd. | Wie nog geen formeel kader heeft en stap voor stap wil groeien |
ISO 27001 | Internationale norm. Opbouw van een volledig informatiebeveiligingssysteem (ISMS). Vóór 18/4/2026: toepassingsgebied, Statement of Applicability én meest recente interne audit indienen bij het CCB. | Wie al een basis heeft of internationaal werkt |
CCB-inspectie | Zelfbeoordeling indienen bij het CCB, dat vervolgens toezicht houdt. Geen certificaat, wel een vangnet. | Wie te weinig tijd heeft voor een volledig traject |
Heb je al een degelijk informatiebeveiligingsbeleid? Dan kan ISO 27001 een logische stap zijn — maar de volledige certificering is pas tegen april 2027 vereist, dus je kunt nu alvast je scopedocumenten en interne audit indienen. Start je min of meer van nul? Dan biedt CyFun® Basic een haalbare eerste stap. Wordt het echt te krap? Dan is de CCB-inspectie je laatste vangnet: dien vóór 18 april een zelfbeoordeling in en koop daarmee tijd voor een volwaardig traject.
Goed om te weten: wie een certificaat of verificatie behaalt, geniet een wettelijk vermoeden van conformiteit. Je wordt dan geacht aan je NIS2-verplichtingen te voldoen tot het tegendeel bewezen is. Dat geeft je juridische zekerheid.
Wat als je niets doet?
De sancties zijn niet mals:
- Administratieve boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten (tot 7 miljoen of 1,4% voor belangrijke entiteiten) — het hoogste bedrag telt. Bij herhaalde overtredingen binnen 3 jaar worden deze bedragen verdubbeld.
- Mogelijkheid tot persoonlijke aansprakelijkheid van het management — bestuurders moeten de maatregelen goedkeuren en kunnen aangesproken worden bij nalatigheid
- Bij een incident zonder afdoende maatregelen: audit of inspectie achteraf door het CCB
Maar los van de boetes: een cyberaanval op een onbeschermd bedrijf kost gemiddeld 200.000 euro aan directe schade. En na 18 april ben je niet alleen kwetsbaar voor hackers, maar ook voor het CCB dat komt controleren. Wie op dat moment geen dossier kan voorleggen, heeft een dubbel probleem.
Hoe kunnen wij je helpen?
Met 15 dagen op de teller is er geen ruimte voor een lang traject. Maar er is wél ruimte voor gerichte actie. Dit is wat wij op korte termijn voor je kunnen doen:
- Spoedscreening: val je onder NIS2? Essentiële of belangrijke entiteit? We brengen dit binnen enkele dagen in kaart.
- Noodscenario 18 april: wij helpen je de juiste documenten samen te stellen en tijdig in te dienen bij het CCB — of het nu een CyFun®-zelfbeoordeling is, een ISO 27001-scopeverklaring, of een combinatie.
- Contractaudit: zijn je leveranciers- en klantencontracten afgestemd op de NIS2-verplichtingen rond toeleveringsketen, incidentmelding en aansprakelijkheid?
- Governance & policies: opstellen van het juridisch kader: informatiebeveiligingsbeleid, incidentresponsplan, en documentatie van managementgoedkeuring
- Routekeuze richting 2027: samen bepalen welk certificeringstraject (CyFun®, ISO 27001) je de komende maanden doorloopt om volledig compliant te zijn tegen april 2027
- Bestuurdersaansprakelijkheid: duidelijk maken wat de persoonlijke risico’s zijn en hoe je die beheerst
Vragen? Let’s talk!
