TL;DR: Het NIS2 stappenplan voor Vlaamse KMO’s omvat zeven concrete stappen: registratie bij het CCB via Safeonweb@Work, keuze tussen CyFun of ISO 27001, een gap-analyse, implementatie van prioritaire maatregelen, documentatie, de formele conformiteitsbeoordeling en het benutten van VLAIO-subsidies. Essentiële entiteiten moeten uiterlijk 18 april 2026 hun eerste bewijs van conformiteit indienen. Belangrijke entiteiten hebben meer tijd, maar de zorgplicht geldt al sinds oktober 2024.
U weet inmiddels dat NIS2 uw bedrijf raakt. De wet is actief, de deadlines naderen, en u zoekt geen uitleg meer over wát NIS2 is, maar hoe u er concreet mee aan de slag gaat. Precies dat levert dit NIS2 stappenplan: een praktisch overzicht van de zeven stappen die u als Vlaamse KMO doorloopt om compliant te worden, inclusief de tijdlijn, de kosten en de subsidies die het traject betaalbaar maken. Een uitgebreid overzicht van wat NIS2 precies inhoudt leest u in onze NIS2-gids.
Valt uw bedrijf onder NIS2?
Voordat u begint aan het compliance-traject, moet u vaststellen of uw organisatie als essentiële of belangrijke entiteit wordt geclassificeerd. Dat onderscheid bepaalt welke deadlines en welk toezicht op u van toepassing zijn.
De Belgische NIS2-wet maakt een fundamenteel verschil tussen beide categorieën. Essentiële entiteiten zijn grote organisaties in zeer kritieke sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur. Belangrijke entiteiten zijn middelgrote organisaties (50 tot 250 medewerkers of meer dan €10 miljoen omzet) in kritieke of minder kritieke sectoren, zoals voedselproductie, afvalwaterbeheer of postdiensten.
Het verschil is niet alleen semantisch. Essentiële entiteiten vallen onder proactief toezicht: zij moeten vooraf bewijzen dat ze compliant zijn via een formele conformiteitsbeoordeling. Belangrijke entiteiten vallen onder reactief toezicht, maar dat betekent niet dat zij geen verplichtingen hebben. De beveiligingsmaatregelen en incidentmeldplicht gelden voor beide categorieën sinds 18 oktober 2024.
Twijfelt u over uw classificatie? Het CCB biedt een NIS2 Scope Test Tool aan via het Safeonweb@Work-portaal. Binnen vijf minuten weet u of en hoe NIS2 op uw organisatie van toepassing is.
Belangrijk om te weten: de Belgische wet hanteert een “whole-entity approach”. De beveiligingsverplichtingen gelden voor uw volledige IT-omgeving, inclusief administratieve systemen, HR-platformen en eventuele operationele technologie. Niet alleen voor de kernactiviteiten die als kritiek worden beschouwd.
Hoe registreert u zich bij het CCB?
Registratie bij het Centrum voor Cybersecurity België is de formele eerste stap van elk NIS2-traject. Zonder registratie bent u juridisch in overtreding, ook als uw beveiliging op orde is.
De registratie verloopt via het platform Safeonweb@Work. Een wettelijk vertegenwoordiger van uw onderneming meldt zich aan met eID of itsme en wijst zichzelf de rol van toegangsbeheerder toe voor de dienst cybersecurity. Vervolgens vult u een aantal verplichte gegevens in: uw ondernemingsnummer (KBO), contactgegevens voor cybersecurity-aangelegenheden (inclusief een 24/7 gemonitord e-mailadres voor incidentmeldingen), uw sector en entiteitstype conform de NIS2-bijlagen, en de IP-bereiken die uw organisatie gebruikt.
De registratiedeadline voor de meeste sectoren lag op 18 maart 2025. Bent u nog niet geregistreerd? Dan is dit de eerste actie die u vandaag nog kunt ondernemen. Het niet-registreren wordt door het CCB beschouwd als een procedurele overtreding die administratieve boetes kan opleveren, zelfs zonder dat er sprake is van een beveiligingsincident.
Na registratie kunt u via hetzelfde portaal de CyFun Selection Tool gebruiken om uw vereiste beveiligingsniveau te bepalen. Dat brengt ons bij de volgende stap.
CyFun of ISO 27001: welk kader kiest u?
Belgische KMO’s staan voor een strategische keuze: het nationale CyberFundamentals (CyFun) framework of het internationale ISO 27001. Beide worden door het CCB gelijkwaardig erkend als route naar NIS2-compliance. In de praktijk kiest 75% van de geregistreerde entiteiten voor CyFun.
Die voorkeur is niet verrassend. CyFun is specifiek ontwikkeld door het CCB voor de Belgische markt, is gratis beschikbaar en biedt een schaalbaar traject met drie niveaus. De versie van 2025 is afgestemd op NIST CSF 2.0 en bevat een zesde kernfunctie, “Govern”, die direct aansluit bij de NIS2-vereiste rond bestuursverantwoordelijkheid.
CyFun Basic omvat 34 tot 50 maatregelen en richt zich op essentiële cyberhygiëne: multifactorauthenticatie, patchmanagement, back-upprocedures. Dit niveau biedt bescherming tegen 82% van de veelvoorkomende cyberaanvallen en is het instapniveau voor de meeste KMO’s die als belangrijke entiteit worden geclassificeerd. CyFun Important voegt zo’n 99 maatregelen toe en verhoogt de bescherming naar 94%. CyFun Essential is het hoogste niveau, met circa 140 tot 200 maatregelen.
De kosten spreken ook in het voordeel van CyFun. Een ISO 27001-traject kost gemiddeld €15.000 tot €60.000 aan implementatie en certificering, met een doorlooptijd van 6 tot 14 maanden. Een CyFun-verificatie op Basic-niveau kan binnen 3 tot 6 maanden worden afgerond met een aanzienlijk lager budget.
Een uitgebreide vergelijking van beide frameworks leest u in ons artikel over ISO 27001 of CyberFundamentals. Meer over de structuur en niveaus van CyFun vindt u in ons artikel over het CyberFundamentals framework.
Wat houdt een gap-analyse in?
Een gap-analyse is het moment waarop u uw huidige beveiligingsniveau afzet tegen de vereisten van het gekozen framework. Het verschil tussen waar u staat en waar u moet zijn, vormt uw implementatie-roadmap.
Bij een CyFun-traject gebruikt u de officiële zelfbeoordelingstool van het CCB: een Excel-tool waarin u elke beveiligingsmaatregel scoort op documentatievolwassenheid en implementatievolwassenheid, telkens op een schaal van 1 tot 5. Voor CyFun Basic moet u gemiddeld 2,5 op 5 halen, met elk van de 13 sleutelmaatregelen minimaal op 2,5. Voor CyFun Important is de lat 3,0 op 5, met 21 sleutelmaatregelen.
In de praktijk voeren de meeste KMO’s deze gap-analyse niet alleen uit. Een cybersecurity audit door een externe partner levert een objectiever beeld op en voorkomt blinde vlekken. Cyberplan begeleidt Vlaamse KMO’s door het volledige traject: van gap-analyse tot implementatie en voorbereiding op de conformiteitsbeoordeling.
De output van een goede gap-analyse is een concrete roadmap met prioriteiten: welke maatregelen moet u eerst aanpakken om het vereiste niveau te bereiken, en hoeveel tijd en budget vraagt dat?
Welke maatregelen implementeert u eerst?
Na de gap-analyse begint het echte werk. De kunst is om te prioriteren: niet alles tegelijk, maar eerst de maatregelen die het grootste risico afdekken en het snelst het verschil maken.
Voor de meeste KMO’s die starten op CyFun Basic-niveau zijn dit de quick wins die binnen drie maanden realiseerbaar zijn:
Multifactorauthenticatie (MFA) activeren op alle externe toegangspunten en beheerdersaccounts. Dit is een van de 13 sleutelmaatregelen en blokkeert het merendeel van de credential-based aanvallen.
Patchmanagement structureren: een maandelijks proces inrichten voor het testen en uitrollen van beveiligingsupdates. Niet-gepatchte systemen zijn verantwoordelijk voor een aanzienlijk deel van succesvolle aanvallen op Belgische KMO’s.
Back-upstrategie volgens de 3-2-1-1 regel: drie kopieën, op twee verschillende media, waarvan één off-site en één immutable of air-gapped. Test uw back-ups minstens halfjaarlijks op herstelbaarheid.
Incidentresponsplan opstellen: wie doet wat als het misgaat? NIS2 verplicht een 24-uurs early warning aan het CCB, gevolgd door een volledige melding binnen 72 uur. Zonder plan voldoet u niet aan deze verplichting.
Awareness training voor medewerkers: de Belgische VLAIO Cybersecurity Barometer toont dat 45,8% van de Vlaamse ondernemingen slachtoffer werd van een cyberaanval. De mens is de eerste verdedigingslijn, en training is een verplichte maatregel onder artikel 21 van de NIS2-wet.
Na de quick wins volgt de documentatiefase: beleidsvorming, processen vastleggen, supply chain-afspraken formaliseren. Deze fase duurt typisch drie tot zes maanden. Het totale traject van nul naar CyFun Basic-verificatie neemt realistisch 9 tot 12 maanden in beslag.
Hoe werkt de conformiteitsbeoordeling?
De conformiteitsbeoordeling is het formele bewijs dat uw organisatie voldoet aan de NIS2-vereisten. Het volledige proces en de actuele deadlines leest u in ons artikel over de NIS2 conformiteitsbeoordeling.
De kernelementen in het kort: essentiële entiteiten moeten uiterlijk 18 april 2026 een verificatieverklaring voor CyFun Basic of Important indienen bij het CCB, of equivalente ISO 27001-documentatie. Tegen 18 april 2027 moet het volledige doelniveau (CyFun Essential of ISO 27001-certificaat) behaald zijn.
De beoordeling wordt uitgevoerd door een conformiteitsbeoordelingsorgaan (CAB), geaccrediteerd door BELAC en geautoriseerd door het CCB. Op dit moment zijn er slechts twee CAB’s geaccrediteerd voor CyFun-verificaties: Brand Compliance België (geaccrediteerd sinds september 2025) en Trust CHECK. De wachttijden lopen op tot 3 tot 5 maanden, wat betekent dat bedrijven die nu nog niet zijn begonnen het bijzonder krap krijgen voor de april 2026-deadline.
Belangrijke entiteiten zijn niet verplicht om een externe conformiteitsbeoordeling te ondergaan, maar moeten wel beschikken over een actuele zelfbeoordeling en hun zorgplicht kunnen aantonen. Wie vrijwillig een CyFun-label behaalt, geniet van een vermoeden van conformiteit bij eventuele inspecties.
De consequenties van niet-conformiteit zijn stevig. Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid. Een uitgebreide analyse vindt u in ons artikel over NIS2-boetes en bestuurdersaansprakelijkheid.
Welke VLAIO-subsidies kunt u inzetten?
Vlaamse KMO’s beschikken over twee krachtige subsidie-instrumenten die het NIS2-traject aanzienlijk betaalbaarder maken. Sinds 1 februari 2026 is cybersecurity het enige adviesdomein dat nog in aanmerking komt voor de KMO-portefeuille, wat de drempel om deze subsidie te benutten verlaagt.
KMO-portefeuille (advies en opleiding): kleine ondernemingen ontvangen 45% subsidie, middelgrote ondernemingen 35%, met een maximum van €7.500 per jaar. Concreet: een gap-analyse en NIS2-adviestraject van €5.000 kost een kleine onderneming na subsidie slechts €2.750. De aanvraag loopt via het e-loket van VLAIO en moet binnen 14 kalenderdagen na de start van de prestaties worden ingediend. Let op: enkel prestaties van geregistreerde dienstverleners komen in aanmerking. Cyberplan is geregistreerd als dienstverlener bij VLAIO.
Cybersecurity verbetertrajecten: voor een structureler traject subsidieert VLAIO 50% van de kosten bij KMO’s, op trajecten tussen €7.100 en €39.900. Het aanbod is opgedeeld in drie pakketten: START (eerste analyse en actieplan, circa €7.100 tot €11.900), MEDIUM (analyse plus implementatiebegeleiding, circa €14.200 tot €24.720) en PLUS (uitgebreide ondersteuning inclusief pentesting, circa €24.000 tot €39.900). Meer details over deze trajecten vindt u in ons artikel over het VLAIO cybersecurity verbetertraject.
U kunt beide instrumenten combineren, mits ze voor verschillende onderdelen van uw project worden ingezet. Bijvoorbeeld: de KMO-portefeuille voor awareness-opleidingen en het verbetertraject voor de overkoepelende implementatie.
Uw NIS2-tijdlijn in de praktijk
Het volledige traject van nul naar CyFun Basic-verificatie neemt realistisch 9 tot 12 maanden in beslag. Voor KMO’s die vandaag starten, ziet die tijdlijn er als volgt uit:
Maand 1: registratie op Safeonweb@Work afronden, CyFun Selection Tool doorlopen, kader kiezen (CyFun of ISO 27001).
Maand 2: gap-analyse uitvoeren (intern via de zelfbeoordelingstool of extern via een cybersecurity audit), roadmap opstellen.
Maand 3 tot 5: quick wins implementeren: MFA, patchmanagement, back-ups, eerste awareness training.
Maand 6 tot 8: documentatie op orde brengen: beleidsvorming, incidentresponsplan, supply chain-afspraken.
Maand 9: interne audit uitvoeren, bewijslast verzamelen.
Maand 10 tot 12: formele verificatie door een CAB, aanvraag CyFun-label via Safeonweb@Work.
Gezien de huidige wachttijden bij de twee geaccrediteerde CAB’s is het cruciaal om zo vroeg mogelijk in uw traject een CAB te selecteren en een overeenkomst af te sluiten. Wie pas in maand 9 een afspraak probeert te plannen, loopt het risico de deadline te missen.
Wilt u weten waar uw bedrijf staat en hoe het NIS2-traject er voor u uitziet? Plan een vrijblijvend kennismakingsgesprek met Cyberplan en wij brengen uw startpositie in kaart.
Veelgestelde vragen over het NIS2 stappenplan
Hoelang duurt het om NIS2-compliant te worden?
Het volledige traject van nul naar CyFun Basic-verificatie neemt 9 tot 12 maanden in beslag. KMO’s met een bestaand beveiligingsniveau (zoals een actueel back-upbeleid en MFA) kunnen het traject vaak in 6 tot 9 maanden doorlopen. De doorlooptijd hangt af van uw startpositie, beschikbare interne resources en de wachttijd bij een CAB.
Wat kost het om NIS2-compliant te worden?
De totale investering varieert per bedrijf, maar voor een KMO met 50 tot 150 medewerkers moet u rekenen op €5.000 tot €20.000 voor het complete traject (gap-analyse, implementatie en verificatie). Met de VLAIO-subsidies (45% via KMO-portefeuille en 50% via verbetertrajecten) wordt dit bedrag aanzienlijk lager. Een concreet rekenvoorbeeld: een traject van €10.000 kost een kleine onderneming na subsidie circa €5.500.
Wat als ik de deadline van 18 april 2026 niet haal?
Het CCB hanteert momenteel een coöperatieve, educatieve aanpak. Er zijn in de eerste vijftien maanden geen sancties opgelegd. Maar naarmate de deadlines verstrijken, kan dat beleid veranderen. Essentiële entiteiten die geen enkel bewijs van conformiteit kunnen voorleggen, riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten hebben geen harde indieningsplicht tegen april 2026, maar moeten hun zorgplicht kunnen aantonen bij een eventuele inspectie.
Is CyFun Basic voldoende voor een KMO?
CyFun Basic is het instapniveau en voldoende als eerste stap voor de meeste KMO’s die als belangrijke entiteit worden geclassificeerd. Het niveau beschermt tegen 82% van de veelvoorkomende cyberaanvallen. Essentiële entiteiten moeten uiteindelijk het Essential-niveau bereiken (deadline april 2027), maar kunnen met een Basic- of Important-verificatie aan de eerste deadline van april 2026 voldoen.
Kan ik de KMO-portefeuille combineren met een verbetertraject?
Ja, dat is mogelijk. De voorwaarde is dat u beide subsidies voor verschillende onderdelen van uw project inzet. Gebruik bijvoorbeeld de KMO-portefeuille voor specifieke cybersecurity-opleidingen van medewerkers en het verbetertraject voor de overkoepelende implementatie en gap-analyse. Beide vallen onder de Europese de-minimisregelgeving: de totale steun mag over drie jaar niet meer dan €300.000 bedragen.
Moet ik zelf een CAB contacteren of doet mijn dienstverlener dat?
U sluit zelf een overeenkomst af met een geaccrediteerde CAB. Uw dienstverlener kan u wel adviseren over de timing en u helpen bij de voorbereiding, zodat de verificatie vlot verloopt. Gezien de huidige marktkrapte (twee geaccrediteerde CAB’s voor ruim 1.100 essentiële entiteiten) is het verstandig om zo vroeg mogelijk contact op te nemen.
