Reeks: De weg naar 18 april 2026

Met de deadline van 18 april aan de horizon zullen wij in deze reeks alle relevante info van het moment voor jullie verzamelen, zodat vraagtekens waar mogelijk verduidelijkt kunnen worden en we de meest actuele info en updates onmiddellijk met jullie kunnen delen.

Deze info zal regelmatig aangevuld worden en is gebaseerd op de info zoals hij op dit ogenblik voorhanden is.

Met vragen kunt u altijd terecht bij Thomas Rooyakkers, Robert Dirks en David Saray van ons GRC team.

Deel I: Wat houdt de deadline van april 2026 in?

1. Waarom NIS2 belangrijk is

Cybersecurity is al lang niet meer “alleen een IT-ding”. Wanneer een kritisch systeem uitvalt, of wanneer gegevens worden blootgesteld, is de impact onmiddellijk: operaties komen stil te liggen, patiënten of bewoners verliezen vertrouwen, en de gevolgen kunnen zich verder verspreiden naar partners en leveranciers.

Dat is precies het uitgangspunt van NIS2 (de bijgewerkte Europese richtlijn inzake netwerk- en informatiebeveiliging). NIS2 legt een hogere en meer consistente basislijn voor informatiebeveiliging vast binnen de EU, bestrijkt 18 kritieke sectoren en brengt aanzienlijk meer organisaties onder het toepassingsgebied dan het oorspronkelijke NIS-kader.

In de praktijk dwingt NIS2 organisaties om informatiebeveiliging te behandelen als een kernbedrijfsrisico: duidelijke verantwoordelijkheden op managementniveau, risicogebaseerde beveiligingsmaatregelen, strengere beheersing van leveranciers en een meer gestructureerde aanpak voor het melden van significante incidenten. In België is het NIS2-kader inmiddels verankerd in nationale wetgeving, en de volgende belangrijke mijlpaal is de verificatiedeadline van 18 april 2026 voor organisaties die onder NIS2 vallen.

In dit document onderscheiden we twee hoofdcertificeringstrajecten: ISO/IEC 27001 en het CyberFundamentals Framework. We lichten de vereisten voor beide trajecten toe. Hoewel het einddoel van beide kaders hetzelfde is, het verhogen van de weerbaarheid op het vlak van informatiebeveiliging, verschillen de achterliggende ideeën, methodes en verwachtingen aanzienlijk.

2. Uw twee belangrijkste opties

Scherpzinnige lezers zullen misschien opmerken dat er slechts twee opties worden vermeld binnen de nalevingstrajecten. In theorie bestaat er nog een derde optie, namelijk een rechtstreekse inspectie door het CCB. Hoewel dit een geldige optie is, hebben we ervoor gekozen deze buiten beschouwing te laten. Vaststellingen tijdens een inspectie door het CCB leiden immers rechtstreeks tot de vaststelling van een inbreuk op de wetgeving. Daarom adviseren wij om te werken via Conformity Assessment Bodies (CAB’s), aangezien dit ruimte biedt voor corrigerende maatregelen binnen een verificatiecyclus.

2.1 CyberFundamentals (CyFun®)

CyberFundamentals kent drie assurance-niveaus. Basic en Important zijn geverifieerde claims (u verklaart dat u aan het niveau voldoet; een Conformity Assessment Body (CAB) verifieert dit). 

In alle gevallen geldt de beoordeling in principe voor de organisatie als geheel. Activiteiten of processen kunnen doorgaans niet worden uitgesloten, tenzij u beschikt over IT/OT-omgevingen die fysiek of technisch gescheiden zijn en waarbij de buiten-scope omgeving geen invloed kan hebben op de risico’s van wat wel in scope is (dit moet duidelijk worden beschreven in de scope). “Key measures” zijn de meest kritieke beheersmaatregelen.

Deadline: 18 april 2026

Indien u CyberFundamentals wilt gebruiken als onderdeel van uw NIS2-nalevingsaanpak, moet u vóór de deadline een verificatie hebben afgerond. Voor deze verificatie kunt u kiezen voor het Basic- of Important-niveau.

Voor essentiële entiteiten is vooral de timing cruciaal: de certificeringsdeadline ligt in april 2027. Indien u nu verifieert op Basic-niveau, is de stap naar Essential-certificering tegen april 2027 aanzienlijk groter (en doorgaans arbeidsintensiever) dan wanneer u nu verifieert op Important-niveau.

Disclaimer: ongeacht de gekozen optie, dient u enkel verder te gaan indien u verwacht later te kunnen voldoen aan de toepasselijke verificatiedrempels in dit document (per key measure en voor het globale maturiteitsniveau).

Verificatieproces

Om te beginnen: alle verificatievereisten zijn vastgelegd in het CAS (Cyfun Conformity Assessment Scheme) en voor de zelfevaluatie mag enkel de tool van het CCB gebruikt worden, waar enkel cijfers en comments aan toegevoegd mogen worden.

De verificatie verloopt zelf volgens een duidelijk proces. Eerst komen u en de CAB overeen wat de scope is. Vervolgens dient u uw claimdossier in (claim statement, ingevulde zelfevaluatie, zelfevaluatierapport en bewijsmateriaal ter onderbouwing van de scores, inclusief het tabblad “details” en met bewijs van de maturiteit op document en implementatie voor het relevante zekerheidsniveau). Daarna ondertekent u een overeenkomst inzake vertrouwelijkheid, inclusief TLP-labeling en eventuele vereiste veiligheidsmachtigingen.

De CAB stelt vervolgens een verificatieplan op en bepaalt of de verificatie volledig of beperkt zal zijn (waarbij een beperkte verificatie enkel mogelijk is bij in aanmerking komende hernieuwingen). Vervolgens voert de CAB de verificatieactiviteiten uit (documentreview en gerichte controles, inclusief on-site verificatie van key measures indien vereist), stelt een verificatierapport op en laat dit onafhankelijk beoordelen. Tot slot wordt een onafhankelijke beslissing genomen en — indien aan de vereisten is voldaan — wordt een verificatieverklaring afgeleverd die de situatie weerspiegelt op het moment van uitgifte.

De CAB zal u hierbij begeleiden en kan bijkomende toelichting geven over zowel het verificatie- als het certificatieproces.

Bent u nog op zoek naar een CAB partner? Via SHIELD kunt u gebruik maken van de diensten van Brand Compliance & Vinçotte (meer info vind u hier https://www.shield-vzw.be/page/partner )

Slaagcriteria

Basic

• elke key measure scoort ≥ 2,5/5, en

• het totale maturiteitsniveau is ≥ 2,5/5.

Important

• elke key measure (Basic + Important) scoort ≥ 3/5, en

• het totale maturiteitsniveau is ≥ 3/5.

Essential

• elke key measure (Basic + Important + Essential) scoort ≥ 3/5,

• elke categorie-maturiteit is ≥ 3/5, en

• het totale maturiteitsniveau is ≥ 3,5/5.