Ga naar hoofdcontent
NIS2Certify
Terug naar overzicht

België NIS2: Het CyFun-kader, de deadline van 18 april en wat MSP's nu moeten doen

Door NIS2Certify
nis2belgiecyfuncyberfundamentalsccbauditmspcomplianceconformiteitsbeoordeling

Op 18 april 2026 werd België de eerste EU-lidstaat die een harde NIS2-conformiteitsbeoordelingsdeadline afdwong. Essentiële entiteiten die onder het Belgisch recht opereren, moesten uiterlijk op die datum bewijs van conformiteit indienen bij het Centrum voor Cybersecurity België (CCB). Geen zelfverklaring. Geen roadmap. Een daadwerkelijk door een derde partij geverifieerde beoordeling.

Als u NIS2-compliance beheert voor Belgische klanten — of als uw klanten diensten leveren aan België — verandert dit de discussie.

Wat de deadline van 18 april daadwerkelijk vereiste

De Belgische wetgeving gaf essentiële entiteiten twee nalevingspaden:

CyberFundamentals (CyFun) pad: Essentiële entiteiten moesten uiterlijk op 18 april 2026 minimaal een CyFun Basic of CyFun Important verificatieverklaring verkrijgen van een BELAC-geaccrediteerd Conformiteitsbeoordelingsorgaan (CAB).

ISO/IEC 27001 pad: Organisaties die al gecertificeerd zijn onder ISO 27001 konden hun scopedocument, Verklaring van Toepasselijkheid (SoA) en meest recente interne auditresultaten rechtstreeks per e-mail bij het CCB indienen voor dezelfde deadline.

Geen van beide paden staat zelfcertificering toe. België vereist expliciet een onafhankelijke derde partij om compliance te verifiëren — een model dat strenger is dan wat de meeste EU-lidstaten tot dusver hebben geïmplementeerd.

De volgende harde deadline is 18 april 2027, wanneer volledige CAB-certificering vereist is voor alle essentiële entiteiten. Belangrijke entiteiten volgen een apart, iets later schema.

CyFun begrijpen: het nationale NIS2-kader van België

Het CyberFundamentals-kader — CyFun — is de gestructureerde aanpak van het CCB voor NIS2-compliance. Het is geen vervanging voor NIS2; het is een operationalisering ervan voor de Belgische markt.

CyFun is gestructureerd rond 6 functies, 22 categorieën en 106 subcategorieën. Het mapt direct op de beveiligingsmaatregelen die vereist zijn onder NIS2 Artikel 21, met gebieden zoals risicobeheer, toegangscontrole, incidentrespons, bedrijfscontinuïteit en beveiliging van de toeleveringsketen.

Het kader heeft vier niveaus:

  • CyFun Basic — 34 controles, het startpunt voor kleinere organisaties
  • CyFun Important — de standaard voor NIS2 "belangrijke entiteiten"
  • CyFun Essential — vereist voor NIS2 "essentiële entiteiten"
  • CyFun Critical — voor de hoogste risicogebieden

Voor de meeste MSP-klanten in België is CyFun Important of Essential het relevante niveau. CyFun Basic is een geldig tussentijds mijlpaal, maar is op de lange termijn niet voldoende voor volledige NIS2-compliance.

Het CAB-knelpunt: een praktisch probleem voor consultants

Per april 2026 zijn slechts twee BELAC-geaccrediteerde instanties gemachtigd om CyFun-certificeringsaudits in België uit te voeren: Brand Compliance Belgie en What a Work SRL (Trust CHECK).

Twee auditors voor de volledige populatie essentiële entiteiten van een heel land is een ernstige capaciteitsbeperking. Dit is geen theoretische zorg — organisaties die de auditplanning te laat deden, konden de deadline van 18 april niet halen ondanks hun eigen gereedheid.

Voor IT-consultants en MSP's levert dit zowel een probleem als een kans op. Het probleem: uw klanten hebben auditslots nodig die mogelijk niet beschikbaar zijn wanneer ze ze nodig hebben. De kans: klanten die volledig voorbereid zijn wanneer een slot vrijkomt, doorlopen de audit sneller, verminderen de CAB-betrokkenheidstijd en verlagen hun totale compliance-kosten.

Klanten voorbereiden op CyFun-audits — gap-analyse, gedocumenteerde controles, bewijsarchieven, beleidsdocumentatie — is een concreet MSP-dienstenaanbod. Het CCB-model is dat MSP's voorbereiden, CAB's verifiëren. Die taakverdeling is een businessmodel.

Wat Belgische NIS2 betekent voor grensoverschrijdende leveranciers

De Belgische NIS2-wetgeving is niet alleen van toepassing op Belgische bedrijven. Als uw organisatie ICT-diensten of -producten levert aan Belgische essentiële of belangrijke entiteiten, zijn die Belgische klanten nu verplicht onder Artikel 21 om hun toeleveringsketenbeveiliging te beheren — wat betekent dat ze u om compliance-bewijs zullen vragen.

Dit weerspiegelt het patroon dat we behandelden in NIS2 supply chain security: downstream klanten worden een compliance-dwingende factor voor hun leveranciers, ongeacht waar die leveranciers gevestigd zijn.

Als u een MSP bent gevestigd in Nederland, Duitsland of elders en managed services levert aan Belgische klanten, verwacht dan inkoopcurieuze vragenlijsten en contractuele NIS2-clausules in uw inbox. Het Belgische handhavingsmodel maakt dit concreet in plaats van theoretisch.

De rest van de EU kijkt toe

De aanpak van België wordt nauwlettend gevolgd door andere lidstaten. Het CCB-model — verplichte derde-partijverificatie, een geaccrediteerd CAB-ecosysteem, een gelaagd kader met duidelijke mijlpalen — is gestructureerder dan wat de meeste EU-landen hebben gebouwd.

Per mei 2026 hebben 21 van de 27 EU-lidstaten NIS2 omgezet in nationale wetgeving. De Europese Commissie heeft gemotiveerde adviezen gestuurd aan 19 lidstaten met de eis voor volledige omzetting. Handhaving is actief, niet in afwachting.

Duitslands BSI voert een parallelle handhavingsopbouw uit onder NIS2UmsuCG — dat behandelden we in NIS2 handhaving Duitsland. Italië's ACN heeft oktober 2026 als deadline gesteld voor minimale beveiligingsvereisten. Frankrijk's ANSSI beweegt naar handhaving onder zijn eigen wetgevingstijdlijn.

Het patroon is duidelijk: 2026 is het jaar waarin NIS2 overgaat van omzetting naar actief toezicht in de hele EU. België is gewoon als eerste gegaan.

Wat MSP's nu meteen moeten doen

Als u Belgische klanten heeft die essentiële of belangrijke entiteiten zijn:

Audit de auditsituatie. Zoek uit of uw klanten hun CyFun-conformiteitsbeoordeling hebben gepland of afgerond. Zo niet, zet ze dan onmiddellijk op een CAB-wachtlijst — de capaciteit is beperkt.

Voer een CyFun gap-analyse uit. Breng de huidige beveiligingscontroles van uw klanten in kaart ten opzichte van het relevante CyFun-niveau. Gaps die nu gevonden worden zijn herstelbaar; gaps die tijdens een audit gevonden worden zijn duur.

Bouw het bewijsarchief. CyFun-auditors willen gedocumenteerde controles en bewijs van implementatie — niet alleen beleid. Beleid zonder bewijs slaagt niet voor verificatie.

Controleer de toeleveringsketenpositie. Als uw klanten essentiële entiteiten zijn, hebben ze NIS2-conforme leverancierscontracten nodig onder Artikel 21. Als u een leverancier bent van Belgische essentiële entiteiten, moet u klaar zijn om uw eigen compliance-bewijs te produceren.

Voor klanten die nog aan de startlijn staan, is een gestructureerde NIS2 gap-analyse de snelste manier om vast te stellen waar ze daadwerkelijk staan. U kunt een eerste beoordeling uitvoeren op NIS2Certify om een basislijn te genereren voor het plannen van de formele CAB-audit.

De bredere les uit België

De NIS2-implementatie van België toont aan hoe handhaving er daadwerkelijk uitziet wanneer een toezichthouder een concreet operationeel kader bouwt in plaats van de interpretatie van compliance open te laten. Het CyFun-kader, het CAB-accreditatiemodel en de harde deadline van 18 april lieten geen ruimte voor ambiguïteit.

Voor MSP's en IT-consultants is dat nuttig — zelfs als uw klanten niet Belgisch zijn. Het laat de richting zien waarin handhaving in de EU gaat. Toezichthouders bouwen geaccrediteerde auditor-ecosystemen, stellen harde deadlines en stappen af van zelfcertificering.

De organisaties die voor die curve lopen — volledig gedocumenteerd, gap-geanalyseerd en auditklaar — zullen minder tijd en geld aan compliance besteden dan degenen die wachten tot een deadline de zaak forceert.

België heeft dat precedent al gesteld. De rest van de EU bouwt naar hetzelfde model toe.

    België NIS2: Het CyFun-kader, de deadline van 18 april en wat MSP's nu moeten doen — NIS2Certify