België was het eerste EU-land dat de NIS2-richtlijn volledig omzet in nationale wetgeving, maar minstens even belangrijk is hoe die regelgeving vandaag wordt toegepast. NIS2 bestaat intussen drie jaar op papier en is in België al zo’n vijftien maanden realiteit. “We zitten op schema.”
Verwacht geen spectaculaire omwenteling of plotse compliance-golf. Wat zich aftekent, is een gestage beweging richting meer maturiteit in cybersecurity.
Volgens Johan Klykens, Director competent authority (NCCA) bij het Centrum voor Cybersecurity België (CCB), is de invoering van NIS2 bewust geen hard top-downverhaal geworden. “We kunnen gerust zeggen dat de implementatie behoorlijk smooth is verlopen,” stelde hij recent tijdens een webinar.
Registratie voor NIS2: het landschap wordt zichtbaar
Een eerste meetpunt voor NIS2 is registratie. Intussen zijn in België ongeveer 1.500 essentiële en zowat 2.500 belangrijke entiteiten geregistreerd. Dat betekent dat het overgrote deel van de organisaties binnen scope inmiddels in beeld is. “Dit loopt min of meer zoals gepland”, oppert Klykens.
Wat is het verschil tussen deze twee? Essentiële entiteiten leveren maatschappelijk kritieke diensten zoals energie, gezondheidszorg of digitale infrastructuur, terwijl belangrijke entiteiten een ondersteunende (maar nog steeds impactvolle) rol spelen en daarom met iets lichtere verplichtingen te maken krijgen.
Klykens benadrukt dat dit geen administratief doel op zich is. “Het grootste deel van de entiteiten is vandaag geregistreerd, en dat is goed nieuws, want alleen zo kunnen we ook effectief ondersteuning leveren via de Safeonweb@work-portal.” In sectoren waar de registratiegraad nog achterloopt, blijft het CCB organisaties actief wijzen op hulpmiddelen zoals de NIS2 Scope Test Tool. Opvallend: ook organisaties die strikt genomen niet onder NIS2 vallen, kiezen er soms bewust voor zich toch te registreren, om toegang te krijgen tot informatie en diensten.
CyFun als ruggengraat van de Belgische aanpak
Centraal in de Belgische NIS2-implementatie staat CyFun, wat voluit staat voor CyberFundamentals. Dit framework vertaalt de richtlijn naar concrete beveiligingsmaatregelen, maturiteitsniveaus en praktische tools. Driekwart van de entiteiten heeft intussen een beveiligingskader gekozen, en de meerderheid daarvan kiest voor CyFun boven internationale alternatieven zoals ISO 27001.
Die keuze is geen toeval, stelt Klykens. “CyFun is geschreven rond de echte cyberdreigingen die wij in België zien, en vertaalt die naar begrijpelijke en haalbare maatregelen.” Met CyFun 2025 werd het framework verder aangescherpt, onder meer met extra aandacht voor OT-omgevingen, supply-chainrisico’s en een betere auditbaarheid.
Belgische realiteit
CyFun speelt ook in op een typisch Belgische realiteit: een economie met veel KMO’s en toeleveranciers. Want ook relatief kleine bedrijven kunnen in België onder de essentiële NIS2-categorie vallen. Bijvoorbeeld wanneer ze actief zijn in energieproductie of -beheer, ook op relatief beperkte schaal.
Volgens Johan Klykens is CyFun expliciet opgezet voor een kmo-land als België, waar één controle en één bewijs idealiter door meerdere partijen hergebruikt kunnen worden om de return op cybersecurity-investeringen te verhogen. Zo is er ook de zorgplicht onder NIS2 die zich vertaalt in tien beveiligingsdomeinen — zoals risicobeoordeling, incidentrespons, supply-chainbeveiliging en opleiding van personeel — die organisaties op een proportionele manier moeten invullen, en die in CyFun concreet zijn uitgewerkt.
Een ander onderscheidend element is de sterke nadruk op proportionaliteit. CyFun werkt met duidelijke niveaus voor basis-, belangrijke en essentiële entiteiten, afgestemd op hun risico’s en middelen. “Want wat je verwacht van een kleine belangrijke entiteit is fundamenteel anders dan wat nodig is in een essentiële sector met zeer gespecialiseerde dreigingsactoren,” aldus Klykens.
Incidentmelding: liever te vroeg dan te laat
Onder NIS2 moet een organisatie een eerste melding doen binnen 24 uur nadat ze kennis krijgt van een mogelijk significant incident, gevolgd door een meer gedetailleerde melding binnen 72 uur en een eindrapport binnen 30 dagen.
In het eerste jaar werden 279 incidenten gemeld, waarvan 70 als significant. “Essentiële entiteiten blijken die verplichting goed te hebben ingebed, terwijl belangrijke entiteiten nog wat achterop lopen”, stelt hij.
Belangrijk is vooral hoe het CCB omgaat met onzekerheid bij organisaties. “Als je twijfelt of een incident significant is, meld het dan. De 24-uursmelding is bewust summier: liever een early warning dan te laat.” Die benadering verlaagt, volgens hem, de drempel om te melden en maakt van incidentrapportage een instrument voor samenwerking, niet voor bestraffing.
Hoewel het statistisch nog te vroeg is voor harde conclusies, ziet het CCB wel een duidelijke trend. “We zien niet alleen minder incidenten, maar vooral dat de impact van incidenten lager ligt,” merkt Klykens op. Dat lijkt erop te wijzen dat basismaatregelen rond detectie, back-ups en respons steeds beter ingebed raken in organisaties.
En wat met inspecties en sancties?
Misschien het meest opvallende aspect van de Belgische aanpak is de rol van inspecties. Tot vandaag is er geen enkele sanctioneringsprocedure opgestart. Inspecties verlopen vooral off-site en zijn in België in de eerste plaats gericht op begeleiding, waarbij sancties pas in beeld komen als organisaties structureel in gebreke blijven.
Klykens blijft daarbij consequent in zijn visie: “Mijn hoop is nog altijd dat we sancties zo weinig mogelijk nodig hebben. NIS2 moet organisaties niet verlammen, maar net helpen om structureel sterker te worden. Onze eerste prioriteit blijft hulp bieden”, aldus Klykens. “Informeren over de regels en vragen om remediatie, dat is onze kernopdracht.”
Volgende stap
De volgende fase van NIS2 in België verschuift de focus. Tegen april 2026 verwacht het CCB voldoende capaciteit voor grootschalige conformiteitsaudits bij essentiële entiteiten. Tegelijk groeit CyFun verder uit tot een volwaardig ecosysteem van tools, labels en accreditaties.
Of hoe NIS2 in België verder moet uitgroeien tot een praktisch kader om cyberweerbaarheid stap voor stap te versterken.