Cyberrisico’s zijn niet langer een technisch probleem. Het is een ernstig bedrijfsrisico. In de digitale wereld van vandaag is het niet de vraag óf er cyberincidenten plaatsvinden, maar wanneer. Cybercriminelen ontwikkelen zich in hoog tempo en maken gebruik van steeds geavanceerdere technieken, zoals door AI aangestuurde phishing en ransomware-as-a-service.
Cyberweerbaarheid is daarom niet langer een ‘nice-to-have’ – het is van cruciaal belang voor de bescherming van bedrijfsactiviteiten, gegevens en reputatie. Organisaties moeten zowel preventieve als reactieve maatregelen nemen, afgestemd op hun risicoprofiel. Deze aanpak vormt de kern van de Europese NIS2-richtlijn, die een gestructureerd kader introduceert voor het anticiperen op, het beheren van en het reageren op cyberdreigingen.
Hoewel de richtlijn op EU-niveau is aangenomen, wordt ze pas bindend voor organisaties zodra elke lidstaat haar in nationale wetgeving heeft omgezet. In België is de NIS2-wet sinds 18 oktober 2024 van kracht. De komende jaren zullen in het teken staan van verschillende belangrijke deadlines, waarbij een eerste belangrijke mijlpaal zich snel nadert: 18 april 2026. Tegen die tijd moeten organisaties in de praktijk kunnen aantonen dat ze aan de voorschriften voldoen – niet alleen op papier.
Is de NIS2-wet van toepassing op uw bedrijf?
De NIS2-wet breidt het toepassingsgebied aanzienlijk uit en is nu van toepassing op een breed scala aan organisaties in diverse sectoren, waaronder, maar niet beperkt tot, energie, vervoer, gezondheidszorg en digitale infrastructuur. Of de wet van toepassing is, wordt bepaald aan de hand van twee belangrijke criteria:
- the sector in which your company operates; and
- de omvang van de organisatie, met de nadruk op middelgrote en grote ondernemingen.
De NIS2-wet maakt een onderscheid tussen ‘essentiële’ en ‘belangrijke’ entiteiten, waarvoor elk verschillende niveaus van verplichtingen gelden. Het Belgisch Centrum voor Cyberveiligheid (CCB) biedt een praktisch hulpmiddel om te beoordelen of uw organisatie onder het toepassingsgebied valt.
Organisaties moeten niet te beperkt denken. Zelf als ze buiten het formele toepassingsgebied vallen, kunnen ze toch gevolgen ondervinden — bijvoorbeeld door contractuele verplichtingen in de toeleveringsketen van entiteiten die wel onder het toepassingsgebied vallen.
Huidige verplichtingen uit hoofde van de NIS2-wet
Sinds oktober 2024 moeten de betrokken organisaties aan een aantal verplichtingen voldoen, waaronder:
- registreren via Safeonweb@work;
- het nemen van passende maatregelen voor cyberrisicobeheer;
- het melden van incidenten aan de CCB;
- verantwoordingsplicht van het management (met inbegrip van toezicht en opleiding); en
- samenwerking met de bevoegde autoriteiten.
Van naleving op papier naar naleving in de praktijk
Vanaf 18 april 2026 verschuift de focus: het volstaat niet langer om alleen over documenten te beschikken – organisaties moeten kunnen aantonen dat ze aan de voorschriften voldoen. Essentiële entiteiten zullen een formele conformiteitsbeoordeling of certificering moeten ondergaan. Belangrijke entiteiten moeten kunnen aantonen dat ze aan de voorschriften voldoen, met name in het kader van toezicht of audits. In de praktijk moet naleving verifieerbaar en verdedigbaar zijn.
De juiste compliance-aanpak kiezen
Bedrijven kunnen kiezen uit verschillende benaderingen op het gebied van naleving:
- CyberFundamentals (CyFun®): Een Belgisch raamwerk dat zich richt op praktische beveiligingsmaatregelen op drie niveaus (Basis, Belangrijk, Essentieel). Vaak de meest pragmatische aanpak voor organisaties met een lagere maturiteitsgraad.
- ISO/IEC 27001: Een internationaal erkende norm die is gebaseerd op een volledig informatiebeveiligingsbeheersysteem (ISMS). Deze norm is uitgebreider, maar vergt ook meer middelen.
- CCB-inspectieroute: een toezichtsaanpak die is gebaseerd op zelfbeoordeling en follow-up door de autoriteiten. Een mogelijke alternatieve oplossing wanneer er beperkingen zijn op het gebied van tijd of middelen.
Niet-naleving is geen optie
Niet-naleving kan leiden tot administratieve boetes van maximaal 10 miljoen euro. Het werkelijke risico reikt echter verder dan alleen financiële sancties – het omvat ook operationele verstoringen en reputatieschade.
Hoe wij u kunnen helpen
Dit is het moment om na te gaan of uw organisatie onder het toepassingsgebied valt, uw huidige stand van zaken op het gebied van cyberbeveiliging te beoordelen, de meest geschikte aanpak voor naleving te bepalen en de resterende hiaten in kaart te brengen.
De NIS2-richtlijn is niet alleen een regelgevingslast, maar ook een kans om een veerkrachtigere en toekomstbestendige organisatie op te bouwen. Om de NIS2-richtlijn goed te kunnen toepassen, is zowel juridisch als praktisch inzicht nodig. Wij helpen bedrijven om vast te stellen of zij onder het toepassingsgebied vallen, om wettelijke verplichtingen om te zetten in concrete maatregelen en om zich voor te bereiden op certificering of een toezichtscontrole.
Heeft u vragen over de gevolgen van de NIS2-wet voor uw bedrijf? Wij denken graag met u mee.
Wilt u meer informatie?
Meer informatie vindt u op de website van de CCB of Safeonweb.
Neem bij vragen contact op met Nuans.
