De Belgische regering heeft als een van de eersten in Europa de NIS2-richtlijn in nationale wetgeving omgezet. Dat is goed nieuws voor de cyberveiligheid van het land, maar het legt ook een zware last op de schouders van duizenden bedrijven waaronder vele kleinere ondernemingen die zich tot voor kort buiten schot waanden.
Dit bericht BelgiumCloud. Bedrijven moeten vanaf april 2026 aan de basisverplichtingen van NIS2 voldoen. En tegen 2027 moeten ze dat ook kunnen aantonen via een certificaat van een externe controle-instantie.
Een van de opmerkelijkste aspecten van de Belgische interpretatie van NIS2 is dat ook relatief kleine bedrijven in de essentiële NIS2-categorie kunnen vallen. Bijvoorbeeld als ze zelf energie opwekken met zonnepanelen of een windmolen. Die ondernemingen zijn dan een energieleverancier. Ze moeten daarmee voldoen aan de strengste cybersecurityregels. Hierdoor komen duizenden extra bedrijven in het vizier van de wetgever.
Volgens schattingen van Grant Thornton zullen tussen de 5.000 en 10.000 Belgische bedrijven onder NIS2 vallen. Dat aantal ligt mogelijk nog hoger door de ruime interpretatie van het begrip essentiële diensten.
Forse investering voor kleinere bedrijven
De richtlijn legt zowel een zorgplicht als een meldplicht op. Bij de Zorgplicht gaat het om de implementatie van tien verplichte maatregelen, zoals een incident response plan, risicobeoordeling, beveiliging bij leveranciers en opleiding van personeel. De Meldplicht stelt dat bedrijven incidenten met significante impact moeten melden aan het CCB (Centre for Cybersecurity Belgium).
Voor kleinere organisaties betekent dit een stevige investering. Nieuwe technologie, gespecialiseerde software, en mensen met expertise in cyberveiligheid zijn broodnodig. In een krappe arbeidsmarkt met schaarse specialisten en stijgende kosten voor tools, kan dat budgettair bijzonder zwaar doorwegen.
Volgens Grant Thornton zullen veel bedrijven hun budget voor IT-beveiliging minstens moeten verdubbelen.
Noodzakelijke stappen
Voor grotere organisaties is het vaak een kwestie van versnellen. Ze beschikken al over ervaring met ISO27001 of maken gebruik van het CyFun-raamwerk van het CCB. Voor kleinere bedrijven is het meestal een kwestie van vanaf nul beginnen.
ICT-managers en directies in deze organisaties staan nu voor een cruciale keuze: wachten en hopen op uitstel, of vandaag beginnen met concrete actie. Hier zijn enkele stappen:
- Maak een risicoanalyse: weet of je bedrijf onder de NIS2-verplichting valt.
- Stel een verantwoordelijke aan: iemand moet de trekker zijn van het traject.
- Zorg voor inzicht in je netwerk: welke systemen zijn er, wie heeft toegang, wat zijn de zwakke plekken?
- Gebruik het CCB-rekenblad: het is een eerste, praktische tool om je maturiteit te meten.
- Zoek hulp waar nodig: externe specialisten kunnen helpen bij beleid, opleiding en implementatie.
Die verantwoordelijkheid komt bij NIS2 rechtstreeks op het bord van het management te liggen. NIS2 is geen IT-dossier. Het is een strategisch, juridisch en financieel risico dat in de boardroom thuishoort.