NL
NL
Boek een kennismaking
Blog

NIS2 conformiteitsbeoordeling: deadline 18 april 2026 nadert

De NIS2 conformiteitsbeoordeling nadert snel. Ontdek het exacte proces, welke CAB’s erkend zijn en wat uw bedrijf moet doen voor de deadline van 18 april 2026.
Een officieel certificaat ligt op een modern bureau met op de achtergrond een klok die bijna twaalf uur slaat, wat de dringende deadline voor de verplichte NIS2-conformiteitsbeoordeling symboliseert.

De klok tikt. Op 18 april 2026 moeten essentiële entiteiten onder de Belgische NIS2-wet hun eerste conformiteitsbeoordeling hebben afgerond. Dat is geen theoretische verplichting meer: het Centrum voor Cybersecurity België (CCB) verwacht concreet bewijs dat uw organisatie voldoet aan de vereiste beveiligingsmaatregelen. In dit artikel leggen we uit wat die beoordeling precies inhoudt, hoe het proces verloopt en welke stappen u vandaag nog kunt zetten.

Wat is een NIS2 conformiteitsbeoordeling?

Een conformiteitsbeoordeling is de formele, externe verificatie of certificering die aantoont dat uw organisatie voldoet aan de NIS2-beveiligingsvereisten. Het is nadrukkelijk geen zelfbeoordeling. Een onafhankelijk conformiteitsbeoordelingsorgaan (CAB), geaccrediteerd door BELAC en geautoriseerd door het CCB, voert de beoordeling uit.

Belangrijk om te begrijpen: de NIS2-wet trad in werking op 18 oktober 2024. Sinds dat moment bent u wettelijk verplicht om beveiligingsmaatregelen te implementeren. De deadline van 18 april 2026 gaat niet over het “compliant worden”, maar over het bewijzen dat u het al bent.

Er bestaan twee routes voor die beoordeling. De eerste is het CyberFundamentals framework (CyFun), ontwikkeld door het CCB. De tweede is ISO 27001-certificering. Beide worden gelijkwaardig erkend. In de praktijk kiest ongeveer 75% van de geregistreerde entiteiten voor CyFun. Meer over de vergelijking tussen beide kaders leest u in ons artikel over ISO 27001 of CyberFundamentals.

Welke deadline geldt voor uw organisatie?

Niet elke organisatie heeft dezelfde verplichtingen. De Belgische NIS2-wet maakt een fundamenteel onderscheid tussen essentiële en belangrijke entiteiten, en dat heeft directe gevolgen voor uw conformiteitsbeoordeling.

Essentiële entiteiten (grote organisaties in sectoren als energie, transport, gezondheidszorg en digitale infrastructuur) vallen onder verplicht, regelmatig toezicht. Zij moeten voor 18 april 2026 een conformiteitsbeoordeling hebben afgerond. Concreet betekent dat:

  • Kiest u voor CyFun? Dan moet u minimaal een Basic- of Important-verificatie kunnen voorleggen.
  • Kiest u voor ISO 27001? Dan moet u uw scope, Verklaring van Toepasselijkheid (SoA) en meest recente interne audit aan het CCB overhandigen.

De volgende stap volgt op 18 april 2027. Tegen die datum moeten essentiële entiteiten die voor CyFun kozen hun doelniveau hebben bereikt. Dat betekent: een Important-verificatie als u in 2026 op Basic zat, of een volledige Essential-certificering.

Belangrijke entiteiten (middelgrote organisaties in kritieke of minder kritieke sectoren) vallen onder toezicht achteraf. Zij zijn niet verplicht om een conformiteitsbeoordeling te ondergaan, maar mogen dat wel vrijwillig doen. Wie dat doet, krijgt een vermoeden van conformiteit. Alle andere NIS2-verplichtingen, waaronder beveiligingsmaatregelen en incidentmelding, gelden wel degelijk vanaf 18 oktober 2024.

Twijfelt u of uw organisatie als essentieel of belangrijk wordt geclassificeerd? Het CCB biedt een NIS2 Scope Test Tool aan via het Safeonweb@Work-portaal. Een overzicht van alle NIS2-verplichtingen vindt u in onze complete NIS2-gids.

Hoe verloopt het beoordelingsproces via CyFun?

Het CyberFundamentals framework kent drie niveaus, elk met een eigen beoordelingstype. Voor de deadline van april 2026 is het Basic- of Important-niveau relevant voor de meeste organisaties.

Basic en Important: verificatie (ISO/IEC 17029)

Bij deze niveaus gaat het om een verificatie. Een erkende CAB controleert of uw zelfbeoordeling inhoudelijk correct is. Het proces verloopt in zes stappen:

  1. U vult de officiële CyFun-zelfbeoordelingstool in (een Excel-tool van het CCB). Daarin scoort u elke beveiligingsmaatregel op documentatievolwassenheid en implementatievolwassenheid, telkens op een schaal van 1 tot 5.
  2. U selecteert een geaccrediteerde CAB en sluit een overeenkomst af.
  3. De CAB voert een volledige verificatie uit. Dat omvat documentatiebeoordeling en een bezoek ter plaatse. Minimaal 1,5 mandagen, waarvan ten minste 1 dag (8 uur) on-site.
  4. Een onafhankelijke reviewer binnen de CAB beoordeelt de bevindingen.
  5. De CAB geeft een verificatieverklaring af.
  6. U dient de geverifieerde zelfbeoordeling en verificatieverklaring in bij het CCB via Safeonweb@Work. Het CCB beoordeelt het dossier en kent een CyFun-label toe met QR-code.

De drempelwaarden verschillen per niveau. Voor Basic moet u gemiddeld 2,5 op 5 halen, met elk van de 13 sleutelmaatregelen minimaal op 2,5. Voor Important is de lat 3,0 op 5, met 21 sleutelmaatregelen. Meer over het CyFun framework leest u in ons artikel over het CyberFundamentals framework.

Essential: certificering (ISO/IEC 17021-1)

Het Essential-niveau is fundamenteel anders. Het betreft een management systeem-certificering, vergelijkbaar met een ISO 27001-audit. Dat proces omvat een Stage 1-audit (documentatiebeoordeling), een Stage 2-audit (implementatiebeoordeling ter plaatse), jaarlijkse surveillance-audits en een hercertificering om de drie jaar. De drempelwaarde ligt op gemiddeld 3,5 op 5. Dit niveau is pas verplicht tegen april 2027 voor essentiële entiteiten.

Wie zijn de erkende beoordelingsorganen?

Dit is een van de meest gestelde vragen, en het antwoord is ontnuchterend: op dit moment zijn slechts twee CAB’s officieel geaccrediteerd door BELAC voor CyFun-verificaties.

Brand Compliance België ontving als eerste de BELAC-accreditatie op 4 september 2025. Zij zijn geaccrediteerd voor Basic- en Important-verificaties onder ISO/IEC 17029.

What a Work SRL (via hun Trust CHECK-divisie) volgde als tweede. Zij opereren vanuit Wallonië en voeren audits uit in het Nederlands, Frans en Engels.

Beide CAB’s dekken alleen Basic- en Important-verificaties. Er is op dit moment nog geen CAB geaccrediteerd voor Essential-certificeringen. Het CCB verwacht dat het accreditatieproces voor bijkomende CAB’s “rond april 2026 volledig afgerond” zal zijn, maar concrete cijfers ontbreken.

Daarnaast kunnen organisaties kiezen voor de ISO 27001-route. Daarvoor zijn meerdere geaccrediteerde certificerings-instellingen beschikbaar in België.

Het CCB publiceert een actuele lijst van geautoriseerde en geaccrediteerde CAB’s op de Safeonweb@Work CAB-pagina.

Waarom nu starten essentieel is

De timing is krap. Uit de recentste cijfers van het CCB (februari 2026) blijkt dat ongeveer 1.574 essentiële entiteiten geregistreerd zijn. Driekwart daarvan koos CyFun. Dat betekent dat ruim 1.100 organisaties een CyFun-verificatie nodig hebben, terwijl er slechts twee geaccrediteerde CAB’s operationeel zijn.

Johan Klykens, directeur NCCA bij het CCB, gaf in januari 2026 aan dat het CCB voldoende capaciteit verwacht tegen april 2026. Maar in de praktijk kost een volledige verificatie minimaal 1,5 mandagen per organisatie, exclusief planning en rapportage. Wie laat begint, riskeert in de wachtrij terecht te komen.

Daarnaast heeft u tijd nodig om het beoordelingsproces voor te bereiden. Een realistisch tijdspad van zelfbeoordeling tot verificatie is drie tot zes maanden, afhankelijk van uw vertrekpositie. Organisaties die vandaag nog geen CyFun-zelfbeoordeling hebben ingevuld, zitten in de gevarenzone.

Wat als u de deadline niet haalt?

De Belgische NIS2-wet voorziet stevige sancties. Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten tot 7 miljoen euro of 1,4%. Bij herhaalde overtredingen binnen drie jaar kunnen die bedragen verdubbeld worden.

Maar financiële sancties zijn niet het enige risico. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid. De wet verplicht het bestuursorgaan expliciet om cybersecuritymaatregelen goed te keuren en toezicht te houden op de implementatie. Een diepgaande analyse van de NIS2-boetes en bestuurdersaansprakelijkheid publiceren we binnenkort in een apart artikel.

Het CCB hanteert voorlopig een coöperatieve, educatieve aanpak. In de eerste vijftien maanden zijn geen sancties opgelegd. Maar dat beleid kan veranderen naarmate de deadlines verstrijken.

Hoe Cyberplan helpt bij uw conformiteitsbeoordeling

Een conformiteitsbeoordeling begint niet bij de CAB, maar bij een helder beeld van uw huidige beveiligingsniveau. Cyberplan ondersteunt organisaties bij de voorbereiding op de NIS2-conformiteitsbeoordeling via een cybersecurity audit: een grondige analyse van uw IT-beveiliging die als praktische gap-analyse dient. Op basis daarvan weet u precies waar u staat ten opzichte van het CyFun-framework en welke maatregelen nog ontbreken.

Die voorbereiding kan bovendien gesubsidieerd worden. Via het VLAIO cybersecurity verbetertraject kunt u tot 50% subsidie ontvangen op een begeleid implementatietraject.

Wilt u weten waar uw organisatie staat? Boek een vrijblijvende kennismaking en we brengen samen in kaart welke stappen u nog moet zetten voor 18 april 2026.

Veelgestelde vragen over de NIS2 conformiteitsbeoordeling

Wat is het verschil tussen een verificatie en een certificering bij CyFun?

Een verificatie geldt voor het Basic- en Important-niveau en bevestigt of uw zelfbeoordeling inhoudelijk correct is. Het is een momentopname. Een certificering geldt voor het Essential-niveau en beoordeelt of uw managementsysteem structureel in staat is cybersecurity te waarborgen. Een certificering omvat ook jaarlijkse surveillance-audits.

Hoeveel kost een CyFun conformiteitsbeoordeling?

De kosten hangen af van de omvang van uw organisatie en het gekozen CyFun-niveau. Een volledige verificatie duurt minimaal 1,5 mandagen. De exacte prijzen verschillen per CAB. Neem contact op met een geaccrediteerde CAB voor een offerte. De voorbereidende audit kan gesubsidieerd worden via het VLAIO cybersecurity verbetertraject.

Moet mijn bedrijf voor 18 april 2026 al op Essential-niveau zitten?

Nee. De deadline van april 2026 vereist minimaal een Basic- of Important-verificatie voor essentiële entiteiten. Het Essential-niveau (met volledige certificering) is pas verplicht tegen 18 april 2027.

Wat als er geen CAB beschikbaar is voor mijn beoordeling?

Naast de twee geaccrediteerde CyFun-CAB’s kunt u kiezen voor de ISO 27001-route, waarvoor meer certificeringsinstellingen beschikbaar zijn. U kunt ook kiezen voor een rechtstreekse inspectie door het CCB als alternatief pad.

Is een zelfbeoordeling voldoende om aan NIS2 te voldoen?

Nee. Een zelfbeoordeling is een verplichte eerste stap, maar vervangt de formele conformiteitsbeoordeling niet. Essentiële entiteiten moeten een externe verificatie of certificering ondergaan door een erkende CAB. Belangrijke entiteiten mogen volstaan met een zelfbeoordeling, maar worden wel gecontroleerd bij incidenten.

Waar vind ik de officiële CyFun-zelfbeoordelingstool?

Het CCB biedt de zelfbeoordelingstool gratis aan via de CyberFundamentals Toolbox op Safeonweb@Work: atwork.safeonweb.be/cyberfundamentals-toolbox. Daar vindt u ook de selectietool om uw passende CyFun-niveau te bepalen.