België is een van de weinige EU-lidstaten die de NIS2-richtlijn op tijd in nationale wetgeving heeft omgezet. Terwijl landen als Nederland, Frankrijk en Duitsland nog worstelen met hun implementatie, is de Belgische cyberwet sinds 18 oktober 2024 van kracht. Dat klinkt als goed nieuws, en dat is het ook. Maar het betekent ook dat de klok tikt: de eerste verificatiedeadline voor NIS2-compliance valt op 18 april 2026.
Ondertussen worden Belgische organisaties gemiddeld 1.925 keer per week aangevallen. Het CCB (Centrum voor Cybersecurity België) ontving in 2024 maar liefst 352 incidentmeldingen, bijna vier keer zoveel als in 2022. En volgens de VLAIO-barometer was 45,8% van de Vlaamse bedrijven in 2024 slachtoffer van een cyberaanval.
NIS2 is geen abstract Europees regeltje. Het is de nieuwe realiteit voor duizenden Vlaamse ondernemingen. In deze gids leest u wat de wet precies inhoudt, of uw bedrijf eronder valt, welke maatregelen u moet nemen en hoe u de beschikbare Vlaamse subsidies kunt benutten.
Wat is de NIS2-richtlijn en waarom is ze belangrijk voor België?
NIS2 staat voor Network and Information Security Directive 2. Het is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 en stelt aanzienlijk strengere eisen aan de cyberveiligheid van organisaties in kritieke sectoren. België heeft deze Europese richtlijn omgezet via de wet van 26 april 2024, die volledig in werking trad op 18 oktober 2024.
De belangrijkste verschuivingen ten opzichte van NIS1:
- Het aantal gereguleerde sectoren steeg van 6 naar 18 sectoren, waaronder nu ook de maakindustrie, voedingssector en afvalbeheer.
- Identificatie gebeurt niet langer door de overheid per bedrijf, maar automatisch op basis van omvang en sector.
- Er geldt een strikte meldingsplicht: binnen 24 uur een eerste waarschuwing, binnen 72 uur een gedetailleerde melding en binnen 1 maand een eindverslag.
- Bestuurders zijn nu persoonlijk aansprakelijk voor de naleving van cybersecuritymaatregelen.
- De maximale boetes stijgen naar 10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten.
Het Centrum voor Cybersecurity België (CCB) treedt op als nationale toezichthouder en coördineert de implementatie via het CyberFundamentals framework.
Valt uw bedrijf onder de Belgische NIS2-wet?
De Belgische NIS2-wet hanteert twee criteria om te bepalen of uw organisatie binnen het toepassingsgebied valt: de sector waarin u actief bent en de omvang van uw bedrijf.
Omvangsregel: In principe valt uw organisatie onder NIS2 als u minstens 50 werknemers telt, of een jaaromzet of balanstotaal van meer dan 10 miljoen euro hebt, en actief bent in een van de gereguleerde sectoren.
De wet onderscheidt twee categorieën sectoren:
Sectoren van zeer hoog belang (Bijlage I) omvatten onder meer energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur, ICT-dienstverlening (B2B) en overheid.
Andere kritieke sectoren (Bijlage II) omvatten onder meer post- en koeriersdiensten, afvalbeheer, chemie, levensmiddelen, maakindustrie, digitale aanbieders en onderzoeksorganisaties.
Op basis van uw sector en omvang wordt uw bedrijf geclassificeerd als een essentiële entiteit (grote ondernemingen in Bijlage I-sectoren) of een belangrijke entiteit (middelgrote ondernemingen in Bijlage I, of grote ondernemingen in Bijlage II). Essentiële entiteiten krijgen proactief toezicht via inspecties en audits. Belangrijke entiteiten worden in principe pas gecontroleerd na een incident of bij aanwijzingen van niet-naleving.
Momenteel zijn in België ongeveer 1.500 essentiële en 2.500 belangrijke entiteiten geregistreerd bij het CCB.
Let op: ook als uw bedrijf zelf niet onder NIS2 valt, kunt u er indirect mee te maken krijgen. De wet verplicht NIS2-entiteiten om de cyberveiligheid van hun toeleveranciers te beoordelen. Als u levert aan een NIS2-plichtig bedrijf, kan dat bedrijf eisen stellen aan uw beveiliging.
Bent u niet zeker of u een essentiële of belangrijke entiteit bent? Ontdek het in deze gids.
Tien maatregelen die uw bedrijf moet nemen
De kern van NIS2 is de zorgplicht: uw organisatie moet passende technische, operationele en organisatorische maatregelen nemen. De wet specificeert tien domeinen die minimaal gedekt moeten zijn.
1. Risicoanalyse en informatiebeveiligingsbeleid
Een formeel goedgekeurd beleid dat beschrijft hoe risico’s worden geïdentificeerd en aangepakt.
2. Incidentenbehandeling
Gedocumenteerde processen voor detectie, respons en herstel na cyberincidenten, inclusief samenwerking met het CCB.
3. Bedrijfscontinuïteit en crisisbeheer
Plannen voor back-upbeheer, disaster recovery en crisiscommunicatie zodat uw kernactiviteiten doorgaan bij een aanval.
4. Beveiliging van de toeleveringsketen
Beoordeling van de beveiligingspraktijken van uw leveranciers en dienstverleners. Dit is een van de meest impactvolle verplichtingen.
5. Veilige aanschaf, ontwikkeling en onderhoud
Netwerk- en informatiesystemen moeten veilig worden ontworpen, inclusief kwetsbaarheidsbeheer.
6. Regelmatige beoordeling en testen
Het testen van de effectiviteit van uw maatregelen via penetratietesten en kwetsbaarheidsscans.
7. Cyberhygiëne en training
Basishygiëne zoals patching en sterke wachtwoorden, en regelmatige bewustzijnstrainingen voor alle medewerkers, inclusief het management.
8. Cryptografie en encryptie
Bescherming van gevoelige gegevens zowel tijdens transport als in rust.
9. Personeelsbeleid en toegangsbeheer
Strikt Identity & Access Management op basis van het “least privilege”-principe.
10. Multi-factor authenticatie (MFA)
Verplicht voor de toegang tot kritieke systemen en voor extern personeel.
CyberFundamentals: het Belgische kompas voor NIS2-compliance
Om de NIS2-vereisten concreet en werkbaar te maken, heeft het CCB het CyberFundamentals framework (CyFun) ontwikkeld. Dit framework vertaalt internationale standaarden zoals NIST CSF 2.0, ISO 27001 en CIS Controls naar een praktische, gelaagde aanpak die specifiek is afgestemd op de Belgische markt.
CyFun werkt met drie assurance-niveaus, elk afgestemd op de risico’s en middelen van uw organisatie:
- Basic: essentiële controles voor basis-cyberhygiëne. Het minimale niveau dat elke onderneming zou moeten nastreven.
- Important: uitgebreidere bescherming tegen gerichte cyberaanvallen met gangbare middelen.
- Essential: het hoogste niveau, bedoeld om weerstand te bieden tegen geavanceerde aanvallen door gespecialiseerde actoren.
Eind 2025 lanceerde het CCB CyFun 2025, een geactualiseerde versie met onder meer een versterkte focus op OT-beveiliging (machines en industriële systemen), verdubbelde controles voor supply chain security, uitgebreide governance-maatregelen en een betere auditbaarheid.
Driekwart van de geregistreerde NIS2-entiteiten heeft inmiddels een beveiligingskader gekozen, en de meerderheid kiest voor CyFun boven ISO 27001. Dat is geen toeval: CyFun is volgens het CCB geschreven rond de echte cyberdreigingen die in België voorkomen, en vertaalt die naar begrijpelijke en haalbare maatregelen. Bijzonder geschikt dus voor een kmo-land als België.
NIS2-entiteiten mogen overigens ook kiezen voor ISO 27001 als alternatief voor CyFun. Welk kader het beste bij uw organisatie past, hangt af van uw sector, omvang en bestaande beveiligingsinfrastructuur.
De NIS2-deadlines die u in 2026 en 2027 moet kennen
De Belgische NIS2-implementatie volgt een gefaseerde aanpak. Dit zijn de cruciale momenten:
- 18 oktober 2024: NIS2-wet in werking. Entiteiten zijn verplicht maatregelen te implementeren en significante incidenten te melden.
- 18 maart 2025: Registratiedeadline bij het CCB via Safeonweb@Work. Dit is verstreken, maar het portaal blijft open.
- 18 april 2026: Eerste verificatiedeadline. Alle entiteiten moeten minimaal voldoen aan het CyFun Basic-niveau. Essentiële entiteiten moeten dit laten verifiëren door een geaccrediteerd auditbureau (CAB).
- 18 april 2027: Entiteiten die op basis van hun risicobeoordeling moeten voldoen aan het Important- of Essential-niveau, moeten hun volledige certificering afronden.
De transitie naar CyFun 2025 loopt parallel: bedrijven kunnen tot 18 april 2027 nog werken met CyFun 2023, maar daarna wordt uitsluitend CyFun 2025 geaccepteerd.
Wat riskeert uw bedrijf bij niet-naleving?
De Belgische NIS2-wet voorziet in stevige sancties. De maximale boetes zijn:
- Essentiële entiteiten: minstens 10 miljoen euro of 2% van de wereldwijde jaaromzet.
- Belangrijke entiteiten: minstens 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.
Maar de financiële boetes zijn niet het hele verhaal. Bestuurders en het hoger management zijn persoonlijk aansprakelijk voor de naleving. Zij moeten de cybersecuritymaatregelen formeel goedkeuren, toezicht houden op de implementatie en regelmatig cybersecuritytrainingen volgen. Bij ernstige inbreuken kunnen toezichthouders individuele bestuurders tijdelijk verbieden om managementfuncties uit te oefenen.
Vlaamse subsidies: tot 50% terug op uw beveiligingsinvestering
Goed nieuws: de Vlaamse overheid beseft dat NIS2 een forse inspanning vraagt van bedrijven en voorziet aanzienlijke financiële ondersteuning.
Cybersecurity verbetertrajecten (VLAIO) VLAIO heeft 19 erkende dienstverleners geselecteerd om bedrijven te begeleiden bij hun cybersecurity-maturiteitsgroei. De subsidie bedraagt 50% voor kmo’s en 35% voor niet-kmo’s die onder NIS2 vallen, op trajecten tussen 7.100 en 39.900 euro. Er zijn drie pakketten beschikbaar:
- START: maturiteitsanalyse en actieplan
- MEDIUM: analyse, actieplan en 9 dagen implementatiebegeleiding
- PLUS: analyse, actieplan en 23 dagen diepgaand advies en implementatie
KMO-portefeuille Sinds 1 februari 2026 is advies via de kmo-portefeuille beperkt tot het thema cybersecurity. Voor cybersecurity-advies en -opleidingen geldt een verhoogd steunpercentage: 45% voor kleine ondernemingen en 35% voor middelgrote ondernemingen, met een maximum van 7.500 euro per jaar.
In de praktijk betekent dit dat een cybersecurity audit of NIS2-gap-analyse voor uw bedrijf tot bijna de helft goedkoper uitvalt dan de catalogusprijs.
Stappenplan: zo begint u vandaag met NIS2-compliance
Wachten tot de deadline is geen optie. Zeker niet als u rekening houdt met de doorlooptijd van audits en de beperkte beschikbaarheid van geaccrediteerde auditbureaus. Een gestructureerde aanpak helpt.
Stap 1: bepaal uw scope. Gebruik de officiële Scope Test Tool op safeonweb.be om te controleren of uw organisatie onder NIS2 valt en in welke categorie.
Stap 2: registreer uw organisatie. Als u dat nog niet gedaan hebt, registreer dan via Safeonweb@Work. Het portaal is nog steeds toegankelijk.
Stap 3: kies uw beveiligingskader. Bepaal of CyFun of ISO 27001 het beste aansluit bij uw situatie. Gebruik de CyFun Selection Tool om uw assurance-niveau te bepalen.
Stap 4: voer een gap-analyse uit. Breng in kaart waar uw huidige beveiliging tekortschiet ten opzichte van de NIS2-normen. Dit kan via de CyFun Self-Assessment Tool of met hulp van een externe partner.
Stap 5: stel een roadmap op. Prioriteer de meest kritieke kwetsbaarheden en de maatregelen met de grootste impact. Begin met de “laaghangende vruchten” zoals MFA, back-upbeleid en netwerksegmentatie.
Stap 6: train uw management. Bestuurders moeten aantoonbaar cybersecuritytrainingen volgen. Dit is een wettelijke verplichting.
Stap 7: bereid de audit voor. Essentiële entiteiten moeten hun maatregelen laten verifiëren door een geaccrediteerd auditbureau voor 18 april 2026 (Basic-niveau).
Veelgestelde vragen over NIS2 in België
Moet mijn kmo voldoen aan NIS2?
Als uw bedrijf minstens 50 werknemers telt of een jaaromzet van meer dan 10 miljoen euro heeft, en actief is in een van de 18 gereguleerde sectoren, dan valt u onder NIS2. Maar ook kleinere bedrijven kunnen indirect geraakt worden als leverancier van een NIS2-plichtige organisatie.
Wat is het verschil tussen een essentiële en belangrijke entiteit?
Essentiële entiteiten zijn grote ondernemingen in de meest kritieke sectoren (energie, gezondheidszorg, digitale infrastructuur). Zij krijgen proactief toezicht via inspecties. Belangrijke entiteiten zijn middelgrote bedrijven in dezelfde sectoren of grote bedrijven in de overige kritieke sectoren. Zij worden in principe pas gecontroleerd na een incident.
Wanneer is de eerste NIS2-deadline?
De eerstvolgende cruciale deadline is 18 april 2026. Op dat moment moeten alle NIS2-entiteiten minimaal voldoen aan het CyFun Basic-niveau. Essentiële entiteiten moeten dit laten verifiëren door een geaccrediteerd auditbureau.
Wat zijn de NIS2-boetes in België?
De maximale boetes bedragen 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en 7 miljoen euro of 1,4% voor belangrijke entiteiten. Daarnaast kunnen individuele bestuurders persoonlijk aansprakelijk worden gesteld.
Welke subsidies zijn beschikbaar voor NIS2-compliance?
Via VLAIO kunt u tot 50% subsidie krijgen op cybersecurity verbetertrajecten (kmo’s) en tot 45% via de kmo-portefeuille voor cybersecurity-advies en -opleidingen (kleine ondernemingen). De kmo-portefeuille biedt sinds februari 2026 alleen nog adviessubsidies voor cybersecurity.
Moet ik kiezen tussen CyFun en ISO 27001?
Beide kaders zijn aanvaardbaar voor NIS2-compliance in België. CyFun is specifiek ontwikkeld voor de Belgische markt, is praktischer en toegankelijker voor kmo’s. ISO 27001 is internationaal erkend en kan voordelen bieden als u ook aan buitenlandse klanten compliance moet aantonen. Een gespecialiseerde partner kan u helpen de juiste keuze te maken.
Maak van NIS2 een kans voor uw bedrijf
NIS2-compliance voelt misschien als een extra last bovenop een al volle agenda. Maar het is ook een kans om uw cyberveiligheid structureel te versterken, het vertrouwen van klanten en partners te vergroten en uw marktpositie te beschermen in een economie waar digitale veiligheid steeds meer een kwaliteitslabel is.
Cyberplan begeleidt Vlaamse bedrijven bij het volledige NIS2-traject, van gap-analyse en CyFun-implementatie tot penetratietesten en awareness-trainingen. Als erkend VLAIO-dienstverlener helpen we u ook bij het maximaal benutten van de beschikbare subsidies, zodat u tot 50% bespaart op uw investering.
Benieuwd waar uw bedrijf staat? Boek een vrijblijvend gesprek en ontdek welke stappen u moet zetten voor 18 april 2026.
