Nieuw
Lifestyle
Lenteschoonmaak: in de vuilbak ermee?
Lifestyle
Doe eens iets buiten je comfortzone
Lifestyle
Wonen met meerwaarde: slimme investeringen voor de lente
Lifestyle
3 vragen aan… Vanomobil
Lifestyle
Je volgende vakantie hoeft niet te wachten
Safety & Security

NIS2 – van compliance naar strategisch risico

maart 12, 2026
door Marleen Walravens

Met de invoering van NIS2 zet Europa een volgende, ingrijpende stap in het versterken van de digitale weerbaarheid. Ook België heeft deze Europese richtlijn inmiddels omgezet in nationale wetgeving, met verregaande gevolgen voor een groot aantal organisaties.

Cyberdreigingen nemen jaar na jaar toe en raken steeds vaker essentiële diensten en bedrijfsprocessen. De cybersecurity barometer van de Vlaamse overheid geeft aan dat in 2024 één op twee Vlaamse bedrijven slachtoffer was van een cyberaanval, gelukkig niet altijd met nefaste gevolgen waarbij bijvoorbeeld informaticasystemen in ongebruik raken of losgeld moet betaald worden. Cyberincidenten zijn al lang geen puur IT-probleem meer.

Verplichte cyberveiligheid

Tegen die achtergrond heeft de Europese Unie NIS2 (Network and Information Security Directive 2) formeel aangenomen in december 2022, met als doel de cyberbeveiliging binnen de EU-lidstaten te versterken en te harmoniseren. Omdat het geen verordening is, moesten alle lidstaten deze regelgeving omzetten in nationale wetten, uiterlijk tegen half oktober 2024. In België is de NIS2-wet in werking sinds 18 oktober 2024 en verplicht ze bedrijven in essentiële en belangrijke sectoren tot het implementeren van strenge cyberbeveiligingsmaatregelen om hun digitale weerbaarheid te vergroten. Het Centrum voor Cybersecurity België (CCB) is de nationale autoriteit en coördineert de implementatie. “België is in deze materie de koploper”, zegt Christian Oudenbroek, CEO van Brand Compliance, “en Safeonweb, opgesteld door het CCB, is het officiële platform voor informatie rond cyberveiligheid.”

Een grote groep bedrijven en organisaties wordt dus met nieuwe, bindende verplichtingen geconfronteerd. Essentiële organisaties moeten aantonen dat ze voldoen aan de basismaatregelen van de NIS2-richtlijn. “Die proactieve aantoningsplicht geldt voor grote bedrijven met meer dan 250 medewerkers of 50 miljoen euro jaarlijkse omzet in zeer kritieke sectoren, onder andere energie, telecommunicatie, havens en vliegvelden en gezondheidszorg. Cybercriminaliteit in deze sectoren moeten ten alle koste vermeden morden om implosie van de maatschappelijke infrastructuur te voorkomen”, verklaart Christian Oudenbroek verder.

“Cybersecurity is een strategische verantwoordelijkheid en geen IT-oefening”

— Danny Zeegers • CISO - Compliance Officer en RISK manager bij Orange Cyberdefense België

Maatregelingen voor digitale weerbaarheid

“Een praktische manier om aan de NIS2-vereisten te voldoen voor essentiële organisaties, is de implementatie van het CyberFundamentals-raamwerk (CyFun), gevolgd door een verificatie door een geaccrediteerde beoordelingsinstantie, ook een CAB of Conformity Assessment Body genoemd”, zegt Danny Zeegers, CISO – Compliance Officer en RISK manager bij Orange Cyberdefense België. De CyberFundamentals zijn een geheel van kernmaatregelen, met als doel kritieke en belangrijke sectoren beter te beschermen tegen cyberincidenten en de continuïteit van essentiële diensten te garanderen. Dit CyFun-programma is vanuit de praktijk ontworpen en opgesteld op basis van reële cyberaanvallen in België. Het is een soort laddermodel dat gaat van ‘Basic’ over ‘Important’ naar ‘Essential’. Bedrijven in essentiële sectoren moeten dus concrete actie ondernemen waarbij ze zelf hun risico’s inschatten en bepalen welk niveau ze nastreven. Ze moeten voldoen aan basisbeveiligingsnormen en hun cyberveiligheidsniveau (Basic of Important) aantonen, onder dreiging van sancties bij niet-naleving. De deadline voor de verificatie van de implementatie van deze basisbeveiliging door geaccrediteerde partijen of het CCB is 18 april 2026. Tegen 18 april 2027 moeten alle, ook niet-essentiële, bedrijven die onder de reikwijdte van de NIS2 vallen, hun eindniveau hebben gehaald.  Ondernemingen in de kritieke sectoren moeten vanaf dan voldoen aan de hogere veiligheidsbepalingen.

Een andere mogelijke route voor essentiële entiteiten om aan te tonen dat ze voldoen aan de NIS2-vereisten is de ISO 27001-certificering. ISO 27001 dekt veel technische en organisatorische maatregelen die ook door NIS2 worden geëist, zoals risicobeheer, toegangscontrole en continue verbetering. Maar voor een volledige NIS2-compliance zijn extra CyFun-maatregelen nodig, zoals een gedetailleerde ketenanalyse, het opzetten van de verplichte meldingsprocessen voor incidenten en de bestuurlijke verankering.

Bestuurlijke verantwoordelijkheid

Voor het Belgische bedrijfsleven betekent NIS2 een duidelijke verschuiving: cyberbeveiliging wordt expliciet een bestuurs- en managementverantwoordelijkheid. Niet alleen IT-afdelingen, maar ook CEO’s en raden van bestuur worden rechtstreeks aangesproken op beleid, toezicht en besluitvorming. “Cyberweerbaarheid onder NIS2 kan alleen slagen wanneer ze gedreven wordt door het management en verankerd is in het volledige bedrijf”, verklaart Danny Zeegers. “Cybersecurity is een strategische verantwoordelijkheid en geen IT-oefening. Volgens de NIS2-wetgeving zijn cyberincidenten niet langer louter operationele fouten, maar vallen ze ook onder de bestuurlijke verantwoordelijkheid.”

Echte digitale weerbaarheid toont zich wanneer een organisatie structureel investeert in detectie, incidentrespons en herstel, en deze regelmatig test via realistische scenario’s. “Ook is het van groot belang de toeleveringsfirma’s actief te betrekken bij het beperken van de veiligheidsrisico’s”, geeft Christian Oudenbroek nog mee. “NIS2 creëert geen absolute veiligheid maar dringt aan op een gefundeerde strategie tegen cybercriminaliteit.” •

Vorig artikel
Volgend artikel