IT-partner? Ontdek hoe je NIS2 audit-readiness levert

Bekijk partneraanbod →

Belgische NIS2-deadline gemist? Wat Verandert na 18 April 2026

18 april 2026 was de Belgische deadline voor de conformiteitszelfbeoordeling onder NIS2. Als je organisatie binnen scope valt en niet heeft ingediend, dit is wat er werkelijk verandert — en de drie concrete remediatiepaden die het CCB CyberFundamentals-raamwerk openhoudt.

Wat 18 april 2026 Werkelijk Vereiste

De Belgische NIS2-omzettingswet van 26 april 2024 stelt twee deadlines vast die er voor het CyberFundamentals-raamwerk van het Centrum voor Cybersecurity Belgie (CCB) toe doen:

  • 1
    18 april 2026 — Conformiteitszelfbeoordeling. Belangrijke entiteiten moeten een CyFun-zelfbeoordeling indienen op minimaal BASIC-niveau (34 controls). Ingediend via het CCB Safeonweb @work-portaal.
  • 2
    18 april 2027 — Volledige certificering. Essentiele entiteiten moeten een audit door een Conformity Assessment Body (CAB) ondergaan op IMPORTANT-niveau (132 controls) of ESSENTIAL-niveau (217 controls). De CAB moet geaccrediteerd zijn door BELAC, het Belgisch accreditatie-orgaan.

Niet zeker of je organisatie is geclassificeerd als belangrijk of essentieel? Begin met wie moet voldoen aan NIS2.

Wat Werkelijk Verandert Als Je Niet Hebt Ingediend

Een gepasseerde deadline verschuift je positie van "op koers" naar "in remediatie". Drie specifieke dingen veranderen:

1. De bewijslast verschuift naar jou

Voor de deadline volstond "we werken eraan". Na de deadline, wanneer een toezichthouder, verzekeraar of grote zakelijke klant ernaar vraagt, ben je een gedocumenteerd late-indieningsplan verschuldigd met streefdata en bewijs van voortgang.

2. Druk vanuit de toeleveringsketen stapelt op

NIS2 Artikel 21(2)(d) vereist dat in-scope organisaties leveranciersrisico beheren. Grote zakelijke klanten die in scope zitten, beginnen bewijs te vragen bij contractverlenging — typisch een samenvatting van een CyFun-zelfbeoordeling, een ISO 27001-certificaat, of een gelijkwaardige Statement of Applicability.

3. Het 2027-certificeringsvenster wordt smaller

Een CAB-auditcyclus voor IMPORTANT- of ESSENTIAL-niveau vereist meestal 3-6 maanden bewijsverzameling plus de audit zelf. Nu starten geeft nog steeds aanloop. Starten in Q4 2026 zonder gedocumenteerde basislijn niet.

Drie Remediatiepaden

Kies het pad dat past bij je NIS2-classificatie en de auditpositie die je grote zakelijke klanten daadwerkelijk vragen. Alle drie zijn aanvaard door het CCB.

A

Late CyFun BASIC zelfbeoordeling

Best voor: belangrijke entiteiten onder de drempelwaarde voor essentiele entiteiten

Het snelste pad terug op koers. 34 controls gegroepeerd onder vijf NIST CSF-functies (Identify, Protect, Detect, Respond, Recover). Geen externe auditor vereist — de beoordeling wordt door de organisatie zelf ingediend via het CCB Safeonweb @work-portaal.

Wat je verschuldigd bent: bewijs per control (beleidsverwijzing, screenshot, logvoorbeeld, trainingsregistratie), een gedocumenteerde gap-lijst, en streefdata voor remediatie. Tijd tot indiening: 4-8 weken voor een organisatie met redelijke bestaande beveiligingshygiene.

B

CAB-audit op IMPORTANT- of ESSENTIAL-niveau

Vereist voor: essentiele entiteiten · Optioneel voor: belangrijke entiteiten die een verdedigbaar certificaat zoeken

Het eindpunt van 18 april 2027 voor essentiele entiteiten. Audit uitgevoerd door een Conformity Assessment Body geaccrediteerd door BELAC. IMPORTANT-niveau dekt 132 controls; ESSENTIAL-niveau dekt 217 controls en is alleen verplicht voor de meest kritieke sectoren.

Wat je verschuldigd bent: een volledige CyberFundamentals-workbook met bewijs per control, een getest incidentresponsplan, leveranciersrisicoregister en een onderhouden change log. Tijd tot certificaat: 3-6 maanden van een basis-zelfbeoordeling tot een CAB-audit, plus de auditcyclus zelf (typisch 4-8 weken).

C

ISO 27001 met een NIS2 Statement of Applicability

Best voor: organisaties met bestaande of in-progress ISO 27001-certificering

Het CCB erkent ISO/IEC 27001 met een NIS2-gemapte Statement of Applicability (SoA) als een gelijkwaardig pad. De SoA moet ISO 27001 Annex A-controls expliciet mappen op CyberFundamentals-controls zodat eventuele gaps zichtbaar zijn.

Wat je verschuldigd bent: een actueel ISO 27001-certificaat, een SoA die elke CyberFundamentals-control bij ID benoemt, en bewijs dat de NIS2-specifieke vereisten (24-uurs incidentmelding, due diligence in de toeleveringsketen, cybersecuritytoezicht op bestuursniveau) zijn geoperationaliseerd — die zijn niet 1-op-1 met ISO 27001 Annex A.

Hoe Je een Late CyFun BASIC Zelfbeoordeling Indient

De mechanische stappen die het CCB Safeonweb @work-portaal verwacht, op volgorde:

  1. 1

    Registreer je organisatie op Safeonweb @work

    Gebruik itsme of eID om je te authenticeren als wettelijke vertegenwoordiger. Het CCB controleert de registratie tegen Kruispuntbank van Ondernemingen (KBO/BCE)-data.

  2. 2

    Bevestig je NIS2-classificatie

    Belangrijk of essentieel. Het portaal loopt door de groottes- en sectortest die mapt op NIS2 Annex I en II.

  3. 3

    Download de CyberFundamentals-workbook

    Excel-bestand onderhouden door het CCB. Elke control heeft een bewijskolom waarvan het CCB verwacht dat die wordt gevuld met een verwijzing (documentnaam, screenshot, logpad).

  4. 4

    Scoor elke control eerlijk

    De CyFun-volwassenheidsscoring gebruikt een 1-5 rubriek per control. Auditors en het CCB verliezen hun geduld met zelfbeoordelingen die elke control op 5 scoren. Een baseline van 2-3 met een gedocumenteerd verbeterplan leest als geloofwaardiger dan een muur van groen.

  5. 5

    Upload de workbook en voeg een remediatieplan toe

    Voor een late indiening is het remediatieplan het document dat "deadline gemist" verandert in "actief aan het remedieren". Streefdata per control, eigenaar per control, en bewijsverwijzingen voor wat al op zijn plaats is.

Wat het CCB Werkelijk Heeft Gezegd over Handhaving

Het Centrum voor Cybersecurity Belgie publiceert zijn handhavingspositie via formele richtlijnen, jaarverslagen en het Safeonweb @work-portaal — niet via gelekte handhavingsacties. Twee signalen zijn zichtbaar uit publiek CCB-materiaal:

  • Incidentmeldingen stijgen snel. Het CCB registreerde 635 verplichte incidentmeldingen in NIS2-relevante categorieen in 2025 — een stijging van ongeveer 70% jaar-over-jaar volgens het CCB-jaarverslag 2025. Dat signaleert aandacht-bandbreedte bij de toezichthouder, geen stille inbox.
  • Remediatie-eerst houding. Gepubliceerde CCB-richtlijnen over het BELAC-accreditatieproces en het CyberFundamentals-raamwerk kaderen handhaving consequent als een gestructureerde escalatie: kennisgeving → herstelopdracht → administratieve boete. Dat is hetzelfde patroon dat de Gegevensbeschermingsautoriteit (GBA) gebruikt voor GDPR.

Beide signalen wijzen in dezelfde richting: de kosten van een gedocumenteerde late indiening zijn lager dan de kosten van een gedocumenteerde weigering. Het punt is om in de boeken te staan als remedierend voordat iemand het vraagt.

Hoe Easy Cyber Protection de Inhaallus Verkort

We bouwden een compliance-engine rond de CCB CyberFundamentals-workbook omdat dat bestand het artefact is dat elke late indiener, CAB-auditor en ISO 27001 SoA-reviewer uiteindelijk leest. De release van april 2026 leverde CCB Excel-export en auditor-reimport, zodat de workbook die een late indiener voorbereidt in ECP rechtstreeks aan een CAB kan worden overhandigd zonder herwerking.

  • Elke BASIC-, IMPORTANT- en ESSENTIAL-control gemapt, met de CCB-bewijskolom gekoppeld aan een echte documentopslag.
  • CCB-compatibele Excel-export — dezelfde workbook die het Safeonweb @work-portaal verwacht.
  • Auditor-reimport: de CAB stuurt een gemarkeerde workbook terug, ECP voegt de bevindingen samen in de live status zonder handmatige reconciliatie.
  • Multi-tier-progressie: start op BASIC voor de late zelfbeoordeling, promoveer naar IMPORTANT of ESSENTIAL wanneer het 2027-auditvenster opent.

Veelgestelde Vragen

Wat vereist de NIS2-deadline van 18 april 2026 werkelijk in Belgie?

Belangrijke entiteiten onder de Belgische NIS2-wet van 26 april 2024 moesten tegen 18 april 2026 een conformiteitszelfbeoordeling indienen tegen het Centrum voor Cybersecurity Belgie (CCB) CyberFundamentals-raamwerk — minimaal op BASIC-niveau. Essentiele entiteiten zitten op dezelfde registratietijdslijn maar hebben een aparte deadline van 18 april 2027 voor een volledige Conformity Assessment Body (CAB)-audit op IMPORTANT- of ESSENTIAL-niveau. De zelfbeoordeling wordt ingediend via het CCB Safeonweb @work-platform.

Ik heb de deadline gemist. Word ik onmiddellijk beboet?

Nee. Het CCB heeft geen boeteschema gepubliceerd dat is gekoppeld aan een gemiste zelfbeoordelingsdatum, en Belgische toezichthouders verkiezen historisch herstelopdrachten boven onmiddellijke sancties bij eerste non-compliance. Het risico is cumulatief: de zelfbeoordeling missen, dan de certificeringsdeadline van 18 april 2027 missen, dan een herstelopdracht missen, dat creeert echte blootstelling (tot €10M of 2% van de omzet voor essentiele entiteiten, €7M of 1,4% voor belangrijke entiteiten onder NIS2 Artikel 34).

Kan ik nog steeds een CyFun-zelfbeoordeling indienen na de deadline?

Ja. Het CCB Safeonweb @work-portaal aanvaardt late zelfbeoordelingen. Documenteer de datum waarop je met inhaalwerk bent begonnen, het bewijs dat je hebt verzameld, en een remediatieplan met streefdata. Late indiening met een geloofwaardig plan is een sterkere positie dan geen indiening.

Wat is het verschil tussen de drie remediatiepaden?

CyFun BASIC-zelfbeoordeling (34 controls) is het minimaal haalbare pad voor belangrijke entiteiten — interne review, geen externe auditor vereist. Een CAB-audit op IMPORTANT- (132 controls) of ESSENTIAL-niveau (217 controls) is verplicht voor essentiele entiteiten tegen 18 april 2027 en vrijwillig aanbevolen voor elke entiteit die een verdedigbaar certificaat wil. ISO 27001 met een NIS2 Statement of Applicability die mapt op CyberFundamentals wordt door het CCB erkend als een gelijkwaardig pad voor organisaties die al ISO 27001 hebben of nastreven.

Zullen mijn supply chain-partners om bewijs vragen?

Ja — steeds vaker. Artikel 21(2)(d) van NIS2 maakt supply chain-beveiliging een vereist controlegebied, wat betekent dat in-scope organisaties hun leveranciers moeten controleren. Zelfs als je niet direct in scope zit, zal een grote zakelijke klant die wel in scope zit typisch om een samenvatting van een CyFun-zelfbeoordeling of een ISO 27001-certificaat vragen voor het verlengen van een contract.

Hoe helpt een managed compliance-platform bij een late indiening?

Een platform dat elke CyFun-control mapt op bewijsverzameling en een CCB-compatibele Excel-export produceert verkort de inhaallus van "vanaf nul opstellen" tot "de gaps invullen die het platform al heeft geidentificeerd". De ECP-release van april 2026 leverde CCB Excel-export en auditor-reimport, zodat dezelfde workbook die een late indiener voorbereidt rechtstreeks aan een CAB kan worden overhandigd zonder herwerking.

Gerelateerde Artikelen

Bronnen

  1. Directive (EU) 2022/2555 (NIS2) — Articles 21, 23, 34
  2. Belgian NIS2 Law of 26 April 2024
  3. CCB CyberFundamentals Framework + Workbook
  4. Centre for Cybersecurity Belgium (CCB)
  5. BELAC — Belgian Accreditation Body
  6. D3 Security industry survey (April 2026) — Belgian NIS2 readiness statistics. Cited for the 84% / 25% figures.
TARS AI