011 23 30 64
info@exacto-advocaten.be
011 23 30 64
NIS2: de deadline van 18 april nadert — actieplan voor uw onderneming
Terug naar overzicht
Nieuws
19 maart 2026

NIS2: de deadline van 18 april nadert — actieplan voor uw onderneming

Geschreven door: Wim Wijsmans

Op 18 april 2026 moeten de meeste essentiële en belangrijke entiteiten voor het eerst aantonen welke stap ze hebben gezet in hun NIS2-traject. 

De verplichting is concreet: essentiële entiteiten die kiezen voor een certificeringstraject moeten een eerste formele verificatie door een erkende conformiteitsbeoordelingsinstantie (CAB) op CyFun-niveau Basic of Important kunnen voorleggen, of hun ISO 27001-scope en statement of applicability indienen. Essentiële entiteiten die kiezen voor toezicht door de inspectiedienst van het CCB kunnen volstaan met een zelfbeoordeling. 

Heeft u dat nog niet gedaan, of twijfelt u welk traject het best bij uw situatie past? Dan moet u nu actie ondernemen.

Wat is de deadline van 18 april 2026 precies?

De Belgische NIS2-wet (Wet van 26 april 2024) trad in werking op 18 oktober 2024. Het Koninklijk Besluit van 9 juni 2024 legt voor essentiële entiteiten concrete termijnen op die lopen vanaf de datum van inwerkingtreding of, voor later geïdentificeerde entiteiten, vanaf de datum van identificatie. 

De termijn van 18 maanden brengt u voor de meeste entiteiten bij de datum van 18 april 2026 als eerste controlemijlpaal. Dit is geen absolute kalenderdeadline die voor elke entiteit identiek is, maar een relatieve termijn. Entiteiten die later worden geïdentificeerd, hebben 18 maanden vanaf hun identificatiedatum.

Twee trajecten: certificering of inspectietoezicht

De NIS2-wet biedt essentiële entiteiten een keuze tussen twee trajecten. 

  • Het certificeringstraject houdt in dat u uw cybersecuritymaatregelen laat verificeren of certificeren door een erkende conformiteitsbeoordelingsinstantie (CAB) op basis van het CyberFundamentals Framework (CyFun) of de ISO/IEC 27001-norm. Binnen 18 maanden na inwerkingtreding of identificatie moet u een verificatie op niveau Basic of Important kunnen voorleggen, of uw ISO 27001-scope en statement of applicability indienen. Binnen 30 maanden moet de volledige certificering zijn behaald. 
  • Het inspectietoezichtstraject houdt in dat u geen CAB inschakelt, maar rechtstreeks onder het proactieve toezicht van de inspectiedienst van het CCB valt. Binnen 18 maanden volstaat dan een zelfbeoordeling op CyFun-niveau Basic of Important, of een intern beveiligingsbeleid met scope en statement of applicability. Binnen 30 maanden bezorgt u een voortgangsrapport. Voor belangrijke entiteiten zijn CAB-beoordelingen en certificering vrijwillig. Zij vallen in principe onder reactief toezicht van de inspectiedienst van het CCB, tenzij ze vrijwillig kiezen voor het certificeringstraject.

Wat moet u concreet doen voor 18 april 2026?

U doorloopt vier stappen. 

  1. Ten eerste controleert u of uw onderneming geregistreerd is op Safeonweb@Work. De registratiedeadline was (strikt gezien) 18 maart 2025, maar het portaal blijft open. Als u zich nog niet geregistreerd heeft, doe dat dan onmiddellijk. 
  2. Ten tweede bepaalt u via een strategische risicoanalyse welk CyFun-niveau voor uw entiteit van toepassing is en welk traject het best bij uw situatie past. 
  3. Ten derde voert u de vereiste stap uit op basis van uw gekozen traject: een CAB-verificatie of ISO 27001-scope voor het certificeringstraject, of een zelfbeoordeling voor het inspectietoezichtstraject. 
  4. Ten vierde stelt u een actieplan op voor de resterende maatregelen.

Welke cybersecuritymaatregelen zijn verplicht?

NIS2 verplicht een geïntegreerde aanpak op vier gebieden. 

  1. Op het vlak van risicobeheer voert u een risicoanalyse uit en stelt u een beveiligingsbeleid op. 
  2. Voor incidentbeheer meldt u significante cybersecurityincidenten binnen 24 uur bij het CCB, gevolgd door een uitgebreid rapport binnen 72 uur en een eindverslag binnen 30 dagen. 
  3. Wat ketenbeveiliging betreft, evalueert u de cybersecuritypraktijken van uw IT-leveranciers, cloudproviders en andere kritieke dienstverleners: hun zwakheden zijn ook uw verantwoordelijkheid. 
  4. Tot slot bereidt u uw bedrijfscontinuïteit voor door herstelplannen op te stellen voor het geval van een ernstig cyberincident.

Wie is verantwoordelijk op bestuursniveau?

De NIS2-wet verankert de verantwoordelijkheid voor cybersecurity expliciet op bestuursniveau. 

Het bestuursorgaan van een NIS2-entiteit moet de maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren en toezicht houden op de uitvoering ervan. Bestuurders dienen over voldoende kennis en vaardigheden te beschikken om die verantwoordelijkheid effectief op te nemen. In de praktijk betekent dit gerichte cybersecuritybewustwording of -opleiding voor het management. 

De NIS2-wet voorziet in zware administratieve sancties tegen de entiteit bij niet-naleving. Of en in hoeverre individuele bestuurders persoonlijk aansprakelijk kunnen worden gesteld, wordt bepaald door de algemene regels van het vennootschapsrecht en het gemeen aansprakelijkheidsrecht. We gaan dieper in op de bestuursverantwoordelijkheid in Deel 3 van deze reeks.

Wat zijn de sancties bij niet-naleving?

De sancties zijn aanzienlijk. Voor essentiële entiteiten kunnen administratieve boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten is dat 7 miljoen euro of 1,4% van de omzet. Naast geldboetes kan de inspectiedienst van het CCB ook bindende aanwijzingen opleggen, corrigerende maatregelen eisen of inbreuken openbaar maken. Het risico is niet hypothetisch: het CCB ontving in het eerste jaar al 279 incidentmeldingen en beschikt over een actieve inspectiedienst.

FAQ

Geldt de deadline van 18 april 2026 voor alle ondernemingen?

Nee. De datum 18 april 2026 is de praktische uitkomst van de 18-maandentermijn voor entiteiten die bij de inwerkingtreding op 18 oktober 2024 al onder de NIS2-wet vielen. Voor later geïdentificeerde entiteiten loopt de termijn van 18 maanden vanaf hun identificatiedatum. Of uw onderneming in scope valt, leest u in Deel 2 van deze reeks.

Wat als mijn onderneming zich nog niet geregistreerd heeft bij het CCB?

Het Safeonweb@Work-portaal blijft open voor registratie. U kunt zich alsnog inschrijven, maar doe dit onmiddellijk. Hoe later u registreert, hoe minder tijd u heeft om uw verificatiestap tijdig te zetten.

Welk traject kiest u: certificering of inspectietoezicht?

Dat hangt af van uw situatie. Het certificeringstraject geeft u een formeel conformiteitsbewijs via een onafhankelijke CAB en schept meer rechtszekerheid. Het inspectietoezichtstraject is minder intensief maar stelt u bloot aan proactieve inspecties door de inspectiedienst van het CCB. Voor beide trajecten gelden dezelfde cybersecurityverplichtingen. Een advocaat gespecialiseerd in technologierecht kan helpen bij de keuze.

Wat is het CyberFundamentals Framework?

Het CyberFundamentals Framework (CyFun) is het door het CCB ontwikkelde kader waarmee NIS2-plichtige entiteiten hun cybersecuritymaatregelen kunnen beoordelen en aantonen. Het bestaat uit vier niveaus: Basic, Important en Essential, met een instapniveau Small. In 2025 lanceerde het CCB een vernieuwde versie: CyFun 2025.

Wat zijn de volgende deadlines na 18 april 2026?

Binnen 30 maanden na inwerkingtreding of identificatie — voor entiteiten die bij inwerkingtreding al in scope waren, is dat 18 april 2027 — moeten essentiële entiteiten die het certificeringstraject volgen de volledige certificering hebben behaald. Entiteiten die het inspectietoezichtstraject volgen, moeten tegen dan een voortgangsrapport bezorgen. De exacte datum is relatief en hangt af van uw identificatiedatum.

Moet een advocaat betrokken worden bij NIS2-compliance?

Dat hangt af van de complexiteit van uw situatie. Een advocaat kan helpen bij de keuze van het compliance-traject, bij het aanpassen van contracten met IT-leveranciers en cloudproviders en bij het in kaart brengen van de bestuursverantwoordelijkheden. Voor de technische implementatie werkt u best samen met een gespecialiseerde cybersecuritypartner.

CONCLUSIE

De 18-maandentermijn voor de eerste NIS2-mijlpaal verstrijkt voor de meeste entiteiten rond 18 april 2026. Of u nu kiest voor een certificeringstraject of voor inspectietoezicht: de stap die nu verwacht wordt, moet gezet zijn. Heeft u vragen over welk traject het best bij uw onderneming past, of over de juridische aspecten van NIS2-compliance? Neem dan vrijblijvend contact op met ons team.

Wim begeleidt ondernemingen in innovatieve sectoren bij de implementatie van digitale regelgeving en adviseert bij IT-contracten, privacy en cybersecurity. Dit artikel maakt deel uit van de reeks NIS2: wat elke ondernemer moet weten. Exacto Advocaten publiceert de komende maanden een uitgebreide blogreeks over technologiewetgeving. Nu aan de beurt: NIS2. Daarna volgen onder meer de AI-Verordening, de Cyber Resilience Act en de Data Act.