Wie is feitelijk bevoegd om NIS 2 in België af te dwingen?
De Belgische handhavingsstructuur voor de NIS 2-richtlijn lijkt misschien een lappendeken, maar de onderliggende logica is duidelijk: elk belangrijk incident en elke escalatieroute leidt naar het Centrum voor Cybersecurity België (CCB), de hoogste autoriteit van het land op het gebied van NIS 2. Terwijl de sectorale toezichthouders - FSMA en de Nationale Bank (BNB) voor Financiën, FANC en CREG voor Energie en Kernenergie, BIPT voor Telecom, FOD BOSA voor de Overheid - de dagelijkse naleving afhandelen, behoudt het CCB de overkoepelende handhavingsbevoegdheden. Wanneer een gebeurtenis de grenzen van een sector overschrijdt, het nationale belang raakt of resulteert in een ernstige overtreding van de regelgeving, treedt de bevoegdheid van de CCB onmiddellijk in werking.
Verantwoordelijkheid is een matrix: u moet weten wie uw eerste aanspreekpunt is en wie u kunt inschakelen. Anders loopt u het risico dat u uw verplichtingen niet nakomt.
Deze regelgevende matrix betekent dat complianceleiders niet alleen hun eigen sectorale toezichthouder in kaart moeten brengen, maar ook waar de escalatie overgaat in nationaal toezicht. Als u een hybride bedrijf bent, overheidsopdrachten uitvoert of deel uitmaakt van een toeleveringsketen met een sectoroverschrijdende impact, wordt van u verwacht dat u de CCB als reserveonderdeel in uw governancedocumentatie vermeldt. Alle betrokken entiteiten - essentieel, belangrijk of publiek - moeten hun proces verbaals, escalaties en auditreacties via de Safeonweb@work portaal, dat beheerd wordt door de CCB. Er is geen scenario meer waarin sectoraal toezicht "voldoende" is; de CCB heeft altijd de uiteindelijke handhavingsmacht (ccb.belgium.be; enisa.europa.eu).
| Sector | Hoofdregulator(en) | Escalatiepad | Rapportageplatform |
|---|---|---|---|
| Financiën (Banken) | FSMA, BNB | CCB (nationaal) | Safeonweb@work |
| Kernenergie | FANC, CREG | CCB | Safeonweb@work |
| Public Administration | FOD BOSA, CCB | CCB (einduitvoerder) | Safeonweb@work |
| Telecom | BIPT | CCB | Safeonweb@work |
| Gezondheid, water, etc. | CCB (directe leiding) | - | Safeonweb@work |
Voor alle hybride of multisectorale entiteiten: documenteer altijd zowel de sectorregulator als de CCB als onderdeel van uw escalatiematrix. Alle incidenten en meldingen worden via Safeonweb@work verwerkt.
Een best-practice stap: Maak in uw ISMS duidelijk welke toezichthouder uw primaire toezichthouder is voor elke bedrijfstak, op wie u terugvalt en wat het officiële rapportagevenster is. Auditfouten in België zijn steeds vaker het gevolg van onduidelijke escalatiedocumentatie of verkeerde aannames. Breng daarom uw regelgevingsdoolhof in kaart voordat u daadwerkelijk met een incident te maken krijgt.
Gekoppelde governance is de enige compliance. Sectorale compliance alleen is nu een gedocumenteerd auditrisico.
Wat verandert er voor het Belgische NIS 2-toezicht in 2024?
Vanaf 2024 heeft België een einde gemaakt aan het tijdperk van sectorale 'forum shopping' en onduidelijkheid over regelgeving. Elke entiteit die onder NIS 2 valt – publiek, privaat, essentieel of belangrijk – is verplicht om incidenten- en compliancerapportage te centraliseren via Safeonweb@work, waarmee de vroegere verwarring over waar te escaleren, verdwijnt. Hoewel sectorale instanties het technische en operationele compliancetoezicht behouden, liggen de uiteindelijke autoriteit, de strafbevoegdheid en het nationale meldpunt nu exclusief bij het CCB.
Ga er niet vanuit dat technische naleving van een sectorautoriteit NIS 2-naleving bij de CCB garandeert. Documenteer uw dubbele verplichtingen en test uw meldketen vóór een incident.
Voor overheidsinstanties fungeert FOD BOSA als uw belangrijkste aanspreekpunt, maar dit vervangt of vervangt de CCB-rapportage niet. Incidenten, bijna-ongelukken, audits en - cruciaal - elke gebeurtenis met een nationaal of sectoroverschrijdend potentieel moeten via de CCB verlopen. Als u meerdere sectoren bedient of met de overheid samenwerkt, moet uw ISMS worden beheerd. documenteer zowel uw sectorale als uw CCB-interactielijnen.
Sectorautoriteiten zijn waardevol voor pre-voorbereiding van de audit en technische verduidelijkingen, maar kunnen de regelgevingscirkel niet alleen sluiten. Het Belgische model voor 2024 geeft de CCB de regie in handen bij elke melding, elk groot incident en elke escalatie van compliance. Dit betekent dat uw bewijs, beleidsbeslissingen en incidentenregistraties altijd afgestemd moeten zijn op de CCB, niet alleen op de sector.
Beheers NIS 2 zonder spreadsheetchaos
Centraliseer risico's, incidenten, leveranciers en bewijsmateriaal op één overzichtelijk platform.
Hoe het Belgische Incident Response Network synchroniseert - CSIRT.be, Sectoren, ENISA
Wanneer zich een ernstig cyberincident voordoet, schakelt het Belgische responssysteem over op concentrische escalatielagen. De meeste gereguleerde sectoren (energie, financiën, telecom) hebben hun eigen CSIRT, maar wanneer een incident boven de routinematige grenzen ligt, schadelijk is of EU-brede gevolgen heeft, wordt het direct doorgegeven aan de centrale. CSIRT.be, de nationale van België incident reactie team onder CCB-controle.
De commandostructuur van CSIRT moet expliciet in uw draaiboeken worden vermeld. Alle kritieke gebeurtenissen worden doorgegeven aan CSIRT.be en CCB, zelfs als ze door een sectorspecifiek CSIRT worden ontdekt of beoordeeld.
Stel je jouw escalatieworkflow voor:
Interne detectie → Sector CSIRT (indien aanwezig) → CSIRT.be (nationaal) → ENISA/CyFun (EU)
Elk incident – of zelfs een vermoedelijk bijna-ongeval – moet binnen 24 uur worden gemeld; gedetailleerd bewijs van afsluiting wordt binnen 30 dagen verwacht. België verplicht dat alle "materiële" grensoverschrijdende of sectoroverschrijdende incidenten worden gedeeld met EU-netwerken (ENISA, CyFun) volgens de nationale keten. Als de scope of contracten van uw entiteit verder reiken dan België, zorg er dan voor dat uw ISMS draaiboeken bevat die deze escalatielogica weerspiegelen, evenals bewijs van deelname aan nationale en EU-oefeningen.
| Trigger-gebeurtenis | Escalatielijn | Bewijs vereist |
|---|---|---|
| Routine technisch probleem | Sector CSIRT | IncidentenlogboekIT-communicatie |
| Sectorbreed of grensoverschrijdend | CSIRT.be (CCB) | Tijdlijn, impact, communicatie, oorzaak |
| Vermoedelijke EU-impact | CSIRT.be → ENISA/CyFun | Meldingstracering, EU-overdrachtsdocumenten |
Tijdige, gedocumenteerde escalatie is een belangrijke auditmaatstaf. Het niet kunnen aantonen van deelname aan ENISA/Belgische oefeningen kan op zichzelf al leiden tot nalevingsbevindingen.
Welke Belgische sectoren vallen onder NIS 2 en wat is er veranderd?
De implementatie van NIS 2 in België breidt de mogelijkheden voor wie 'in' is en wie niet kan afhaken aanzienlijk uit. De kern bestaat uit energie, water, gezondheid, financiën, telecom, digitale infrastructuur, transport en alle niveaus van de overheid. Maar het bereik omvat nu ook sectoren die voorheen buiten het bereik vielen: voeding, wetenschappelijk onderzoek, digitale dienstverlening, productie, grote post- en koeriersbedrijven en – misschien wel de meest disruptieve – grote leveranciers, waarvan de kwetsbaarheden zich zouden kunnen uitstrekken tot essentiële diensten (ccb.belgium.be; nortonrosefulbright.com).
MKB's in de toeleveringsketen kunnen op elk moment binnen het toepassingsgebied worden gebracht als ze een systeemrisico vormen. Zelfs bedrijven die onder de drempelwaarde voor 'belangrijke entiteiten' vallen, moeten routinematig controleren op updates van hun aanwijzing of op directe verzoeken van de CCB.
Belangrijk: Elke overheidsinstantie, op elk overheidsniveau, valt nu standaard onder NIS 2. Kwartaal- (of strengere) leveranciersbeoordelingen zijn nu standaardprocedure om naleving te handhaven.
| Entiteit/sector | Standaardstatus | Loodregulator/invoerpunt | Escalatiepad | Notes |
|---|---|---|---|---|
| Energie, water, gezondheid, financiën | Essentiële | CCB + Sectorregulator | CCB, Safeonweb@work | Documenteer beide contacten in ISMS |
| Digitale infrastructuur, Vervoer | Essentiële | CCB | CCB direct | |
| Alle openbare administratie | Essentiële | FOD BOSA + CCB | FOD BOSA → CCB | Nieuwe verplichting onder NIS 2 |
| Wetenschappelijk, Voedsel, Digitale Diensten, Post, Productie | belangrijk | CCB | CCB direct | De regels voor ‘belangrijke entiteiten’ zijn van toepassing |
| Leveranciers/MKB (Supply Chain Risk) | Veranderlijk | CCB | CCB (discretie) | Volg contract, risico, aanwijzing |
Als één leverancier of dochteronderneming een systeemrisico creëert, kan CCB deze in de scope betrekken. Dit is met name relevant voor SaaS-bedrijven en partners in de toeleveringsketen die kritieke infrastructuurgegevens of -diensten verwerken.
Wees vanaf dag één NIS 2-ready
Ga aan de slag met een bewezen werkruimte en sjablonen: pas ze aan, wijs ze toe en ga aan de slag.
De Belgische incidentenrapportageketen ontmystificeren: veelvoorkomende auditvalkuilen
Het Belgische model voor incidentenrapportage is meedogenloos in zijn tijdschema's en onbuigzaam ten aanzien van fouten. Elk gedetecteerd incident (of bijna-incident met systemisch potentieel) moet binnen 24 uur worden geëscaleerd naar uw sector-CSIRT of rechtstreeks naar CCB/CSIRT.be. Binnen 72 uur moet een uitgebreide update volgen en documentatie over de afsluiting van het incident wordt binnen 30 dagen verwacht (ccb.belgium.be; simontbraun.eu).
De meeste organisaties slagen niet voor een audit vanwege technische tekortkomingen, maar vanwege trage rapportage, onvolledige bewijspakketten of bijna-onderrapportage (fouten die niet escaleerden, maar toch openbaarmaking vereisten).
Een duidelijke proceskaart-detectie van incidenten, eerste rapport binnen 24 uur, update binnen 72 uur, afsluiting binnen 30 dagen-is de ruggengraat van audit gereedheid.
| Trigger-gebeurtenis | Rapportagestap | ISMS Bijlage A Controle | Bewijs nodig |
|---|---|---|---|
| “Bijna-ongeluk” ontdekt | 24-uursrapport (CSIRT/CCB) | A.5.25, 5.26 | Logboeken, IT-communicatie, leveranciersmeldingen |
| Bevestigd incident | 72-uurs update (CCB) | A.5.25 | Tijdlijn, bestuurscommunicatie, forensisch onderzoek/grondoorzaak |
| Escalatie van de toeleveringsketen | Up-chain, CCB op de hoogte stellen | A.5.19, leverancier | Leverancierscommunicatie, controlespoor, SLA-bewijs |
| incident sluiting | 30d sluiting check-in | A.5.27 | Lessen uit het verleden, update van het beleid na het incident |
Tip: Deel deze rapportageketen met uw security-, IT- en risicomanagers. Regelgevende auditteams zullen hier vaak naar verwijzen als bewijs van procesafstemming. Het onderrapporteren van bijna-ongelukken of het missen van incidenten in de toeleveringsketen blijft het meest hardnekkige punt van falen bij audits.
Hoe België NIS 2 handhaaft: boetes, audits en het bestuurskamerrisico
België behoort tot de strengste NIS 2-handhavingsinstanties van de EU, met hoge financiële boetes (tot € 10 miljoen of 2% van de wereldwijde omzet) en verantwoording op bestuursniveauGeplande en gebeurtenisgestuurde audits zijn toegenomen en het komt vaak voor dat bewijspakketten, beleidsondertekeningen en trainingslogboeken met minimale waarschuwing worden opgevraagd. Van cruciaal belang is dat bestuursleden nu persoonlijk aansprakelijk zijn voor het niet proactief beheren, documenteren en escaleren van cyberincidenten.
Zelfgenoegzaamheid is kostbaar. Goedkeuring van beleid en managementbeoordelingslogboeken zijn niet voldoende: toezichthouders willen continu, live bewijs dat de leiding van de organisatie actief stuurt en de naleving bewaakt.
Goedkeuring door het bestuur is zinloos zonder levend, van een tijdstempel voorzien bewijs. Beleid is geen bewijs tenzij het wordt gecombineerd met actieve logboeken, opleidingsgegevens van personeel en bestanden met afgesloten incidenten.
Een werkende bewijsketen, inclusief beleid, notulen van de raad van bestuur, incidentlogboeken, bevestigingen van personeelstrainingen en gebeurtenissen voor het sluiten van incidenten moeten up-to-date, gecentraliseerd en traceerbaar zijn. Het niet nakomen van één melding, auditverzoek of logboek kan leiden tot aanvullende procesaudits en, in ernstige gevallen, tot persoonlijke sancties. Er is geen ruimte voor passieve medewerking; bewijs moet levend en zichtbaar zijn.
Al uw NIS 2, allemaal op één plek
Van artikelen 20-23 tot auditplannen: voer ze uit en bewijs dat ze van begin tot eind voldoen aan de regelgeving.
Belgische naleving koppelen aan EU Mesh-CyFun, ENISA en leveranciersrisico
NIS 2 is geen puur Belgisch regime, maar een EU-breed nalevingsnetwerk. Multinationale verplichtingen houden in dat door België gereguleerde organisaties bewijs moeten leveren van deelname aan ENISA CSIRT-netwerkoefeningen en CyFun EU-oefeningen; alle grote incidenten en risicovolle leveranciersgebeurtenissen worden geëscaleerd naar ENISA, naast de CCB. SBOM's, risicologboeken voor de toeleveringsketen en bewijs van CyFun-oefeningen zijn niet langer optionele documentatie in uw ISMS en risicoregisters.
Handhaving is nu een pan-Europese aangelegenheid. Vertragingen, niet-overeenstemmend bewijs of trage rapportage over incidenten waarbij sprake is van samenwerking vergroten het risico op bredere bemoeienis van de EU-regelgeving.
Voor entiteiten met uitgebreide EU- of wereldwijde toeleveringsketens creëert dit een enorme reikwijdte. Logboeken van leveranciersbetrokkenheid, contractuele risicokaarten en deelname aan CyFun-evenementen moeten regelmatig worden bijgewerkt in uw ISMS en op aanvraag toegankelijk worden gemaakt.
Uw onmiddellijke acties voor Belgische NIS 2-naleving - Hoe ISMS.online u positioneert
Om de Belgische boetes en gebrek aan bewijsmateriaal te vermijden, is nu onmiddellijke, platformgestuurde actie nodig. Het CCB, sectortoezichthouders en auditors verwachten steeds vaker een werkend registratiesysteem, geen handmatige checklists of spreadsheets.
Duidelijkheid en controle vanaf dag één: wacht niet op een regelgevende gebeurtenis of een auditbrief om met uw NIS 2-traject te beginnen.
Belgische NIS 2 Onmiddellijke Nalevingschecklist
- Registreer u bij Safeonweb@work (CCB) en voltooi het onboardingproces als entiteit in een gedekte sector of belangrijke entiteit.
- Breng voor elke afdeling de sectorregulerende instantie en de CCB-fallback in kaart en documenteer deze binnen uw ISMS. Zorg dat dit register voortdurend wordt bijgewerkt.
- Controleer en actualiseer uw incident escalatie draaiboeken: zorg dat de bewijsvereisten voor 24-uurs/72-uurs/30-dagen rapportage duidelijk zijn en dat rollen zijn toegewezen.
- Aan boord ISMS.online modules: maak gebruik van vooraf gebouwde SoA-sjablonen, workflowautomatiseringen voor incidenten- en leveranciersrisico's, CyFun-oefentrackers en bewijspakketten voor specifieke Belgische regelgevingslogica.
- Plan kwartaalbeoordelingen voor alle leveranciers- en hybride entiteitscontracten; werk uw risicoregister bij elke materiële verandering.
- Houd bewijslogboeken bij voor alle beleidsregels, incidenten, meldingen van leveranciers en beoordelingen door het management. Zo is de volledige nalevingscyclus traceerbaar.
Waarom ISMS.online?
ISMS.online combineert Belgische en pan-Europese compliancestromen - met ondersteuning voor Safeonweb@work, CyFun/EU-oefeningen, integratie van sectorale toezichthouders, vooraf samengestelde bewijsmatrices en leveranciersbetrokkenheidslogboeken - in één platform. Dit maakt snelle en betrouwbare auditrespons mogelijk; u hoeft geen regelgevingsspecialist te zijn om NIS 2-compliance voor België te behalen en aan te tonen.
De kracht van uw naleving wordt weerspiegeld in uw bewijs, uw rapportagebereidheid en hoe goed elk pad in kaart is gebracht voordat het volgende incident zich voordoet.
Veelgestelde Vragen / FAQ
Wie ziet erop toe dat de NIS 2-vereisten in België worden nageleefd en wat is de verhouding tussen de sectorale en nationale autoriteiten?
België handhaaft NIS 2 via een dubbel systeem: sectorregulatoren zorgen voor technisch toezicht en dagelijkse naleving, terwijl de Centrum voor Cybersecurity België (CCB) behoudt de uiteindelijke juridische en handhavingsbevoegdheid als nationale toezichthouder. Elke sector – in de financiële sector (FSMA), telecom (BIPT), kernenergie (FANC), gezondheid, energie en openbaar bestuur (FOD BOSA) – heeft een aangewezen autoriteit die verantwoordelijk is voor sectorspecifieke audits, controles en eerstelijnsbegeleiding. Wanneer zich echter een significant incident voordoet, cruciale non-compliance wordt vastgesteld of systemische risico's worden gedetecteerd, is escalatie naar het CCB verplicht en onmiddellijk. Het CCB beheert ook CSIRT.be, het nationale platform van België. incident reactie centrum, dat niet alleen op nationaal maar ook op EU-niveau coördineert (ENISA, CyFun).
In België komt elke verstoring van de toeleveringsketen of elk beveiligingsincident uiteindelijk bij het CCB terecht; sectorale controles zijn slechts het begin.
Praktische rollen:
- Sectorale toezichthouder: Behandelt dagelijks technische vragen, sectorbeleid en interne beoordelingen; beveelt verbeteringen aan.
- CCB: Geeft leiding aan de rechtshandhaving, deelt boetes uit, verzorgt nationale/EU-rapportages (inclusief ENISA/CyFun-verbinding) en zorgt voor harmonisatie tussen sectoren.
- CSIRT.be: Verankert de nationale incidentrespons van België; centraal voor escalaties en EU-oefeningen.
Belangrijk nalevingspunt:
Ongeacht de toezichthouder van de primaire sector moeten uw ISMS en bewijsmateriaal altijd een weerspiegeling zijn van dubbele toewijzing: sectorautoriteit en de CCB. Auditlacunes en regelgevingsrisico's ontstaan vaak wanneer slechts één toezichtslijn in kaart wordt gebracht of bijgewerkt.
Hoe functioneert het Belgische incidentenrespons- en escalatiesysteem onder NIS 2?
De incidentenrespons in België is ontworpen als een meerlagig gaas: elke sector heeft zijn eigen CSIRT (bijvoorbeeld voor banken, de gezondheidszorg en telecom) dat triage en eerste hulp biedt bij sectorspecifieke incidenten. Alle incidenten met een grote impact of die zich over meerdere sectoren uitstrekken, worden behandeld. binnen 24 uur geëscaleerd naar CSIRT.be (onder het CCB). CSIRT.be wordt het operationele knooppunt voor kritieke gebeurtenissen en organiseert de coördinatie op nationaal niveau, de EU-rapportage (ENISA) en de CyFun-simulatieoefeningen.
Elke gereguleerde entiteit (essentieel of belangrijk) moet:
- Breng beide op de hoogte: sector CSIRT *en* CSIRT.be/CCB binnen 24 uur na een groot incident, zelfs als de inbreuk beperkt lijkt tot de sector.
- Gebruik Safeonweb@work voor officiële meldingen en het vastleggen van audittrails.
- Neem deel aan ENISA/CyFun (EU-brede crisissimulaties) en documenteer deze oefeningen in het ISMS.
Veelvoorkomende auditfouten zijn onder meer het ten onrechte alleen melden van incidenten aan CSIRT's in de sector, het weglaten van nationale escalatie of het ontbreken van bewijs van deelname aan oefeningen. Proactieve betrokkenheid - waarbij escalatielijnen worden geoefend, en niet alleen schriftelijk - onderscheidt volwassen organisaties van achterblijvers in de audit.
Typische escalatiestappen:
- Incident doet zich voor: Sector CSIRT + CSIRT.be/CCB op de hoogte brengen binnen <24u.
- Sectoroverschrijdende of systemische impact: Direct escaleren naar nationaal/EU-niveau.
- Oefeningen/testevenementen: Leg vast in ISMS, inclusief geleerde lessen en registerupdates.
Welke organisaties vallen in België onder NIS 2 en hoe wordt de registratie beheerd?
Het NIS 2-regime van België is nu van toepassing op essentiële en belangrijke entiteiten over een breed spectrum: energie, financiën, transport, gezondheidszorg, watervoorziening, digitale infrastructuur, post/koeriersdiensten, voedsel, openbaar bestuur, wetenschappelijk onderzoek en mkb-leveranciers met systemische rollen. Met name de CCB kan elke onderneming aanwijzen als binnen het toepassingsgebied als het een risico voor de toeleveringsketen, een systemisch risico of een nationaal risico oplevert, zelfs als het om een MKB of een niet-traditionele speler gaat.
Registratie is voltooid via Safeonweb@work, ongeacht de naleving door de sector. Zowel bestaande als nieuwe organisaties die binnen het toepassingsgebied vallen, moeten een actuele registratie bijhouden, waarmee ze verbonden zijn met zowel hun sectortoezicht als de CCB. Als u uw toeleveringsketen uitbreidt, kritieke diensten toevoegt of uw wettelijke status verandert, bent u verantwoordelijk voor het onmiddellijk bijwerken van uw profiel.
| Organisatietype | Registratie (Safeonweb@work) | Toezicht | Voorbeeld entiteiten |
|---|---|---|---|
| Banken, energie, gezondheid | Ja | Sector + CCB | Bank, ziekenhuis, netwerk |
| Digitaal, onderzoek | Ja | Sector + CCB | Cloudprovider, universiteit |
| Publiek of leveranciers | Ja | FOD BOSA of sector + CCB | Ministerie, logistiek leverancier |
| Kritische leverancier | Ja | CCB (direct, op elk moment) | SaaS, logistieke keten |
Let op: De CCB kan bedrijven ‘herclassificeren’ als essentieel/belangrijk op basis van nieuwe nationale of sectorale risico’s. Daarom moeten de documentatie en ISMS-mapping dynamisch zijn.
Wat zijn de deadlines voor het melden van incidenten in België en wat zijn de meest voorkomende auditfouten voor NIS 2?
Belgische mandaten enkele van de kortste rapportagetermijnen in de EU:
- Binnen 24 uur: Incidentmelding zowel aan de sector CSIRT als aan CSIRT.be/CCB, bij wet.
- Binnen 72 uur: Gedetailleerd technisch en grondoorzaakrapport, inclusief bewijsmateriaal en communicatieverslagen.
- In 30 dagen: Afsluitingsdossier, autopsie en bewijs van herstel, geleerde lessen en bewijs van betrokkenheid van het bestuur.
| Fase | Deadline | Wie moet geïnformeerd worden? | Bewijs/verwachte acties |
|---|---|---|---|
| Vroeg incident | <24 uur | CSIRT.be + sector CSIRT | Meldingen, tijdlijnlogboeken, impact op activa |
| Gedetailleerd verslag | <72 uur | Beide hierboven | Grondoorzaak, beslissingen, leverancierslogboeken |
| Closure | <30 dagen | Beide hierboven | Lessenlogboek, goedkeuring door het bestuur, testresultaten |
Auditvalkuilen:
- Rapportage uitsluitend aan sector-CSIRT, niet landelijk.
- Tijdstempels en logboekbewijzen ontbreken of zijn achteraf aangemaakt.
- Statisch of dood bewijs, geen “levende” ISMS-registraties.
- Goedkeuringsnotities van leveranciers/bestuurders zijn onvolledig, te laat of ontbreken.
- Gebrek aan formele CyFun/ENISA-oefenlogboeken en documentatie over de betrokkenheid van de toeleveringsketen.
Het verschil tussen slagen en zakken: bij Belgische NIS 2-audits moet u in realtime aantonen dat u aan de regelgeving voldoet, en niet alleen via beleidsmaatregelen achteraf.
Wat zijn de sancties, audittypen en aansprakelijkheden op bestuursniveau voor NIS 2 in België?
De CCB kan, met steun van de sectorautoriteiten, boetes opleggen tot € 10 miljoen of 2% van de wereldwijde omzet per incident - een niveau dat voldoet aan de strengste EU-normen (Belgisch recht, 2024). Bestuurders en leden van de raad van bestuur kunnen worden aangeklaagd persoonlijk aansprakelijk- met name bij mislukte escalaties, onvolledige rapportages of onvoldoende bewijs van controle.
Audits kunnen zijn gepland of verrassend, en vereisen nu "live" walkthroughs: toezichthouders verwachten tijdstempellogboeken, actiepaden en formele documentatie van bestuurs- en managementbeoordelingen – geproduceerd vóór audittriggers, niet als reactie. Passieve naleving – alleen het hebben van pdf's of beleidsregels – is een reden voor regelgevend toezicht.
| Auditrisico | Regulerende trigger | Blootstelling aan het bord |
|---|---|---|
| Te laat/onvolledig rapport | Onverwachte audit | Persoonlijke aansprakelijkheid, afmelding mislukt |
| Dood bewijs | Geplande audit | Twijfels over due diligence |
| Geen CyFun/ENISA | Thematische/EU-audit | Onderzoek op EU-niveau |
In de praktijk: Routinematige, actieve naleving - logboeken met bewijsstukken, documentatie van leveranciers en de raad van bestuur en repetities van incidenten - vormen de minimumnormen en vormen geen onderscheidende factoren.
Hoe passen Belgische bedrijven in het cyberbeveiligingsnetwerk van de EU: ENISA, CSIRT-netwerk, CyFun?
Het Belgische CCB (via CSIRT.be) is een kernknooppunt in het cyber-"mesh" van de EU. Alle essentiële en belangrijke Belgische entiteiten moeten grensoverschrijdende meldingen actief in kaart brengen en testen, risicoregisters bijhouden van leveranciers en partners (inclusief CyFun/ENISA-afhankelijkheden) en zowel verticale als horizontale escalatiescenario's oefenen (bijv. de CyFun-oefeningen van ENISA). Deelname aan CyFun moet worden geregistreerd en aangetoond met behulp van audits.
Organisaties die zich niet aan de regels houden, lopen het risico op Belgische en EU-sancties en verliezen mogelijk hun recht op belangrijke grensoverschrijdende contracten.
Stappen voor naleving binnen de EU:
- Breng de escalatie naar punten op Belgisch en EU-niveau (ENISA) in kaart en oefen deze.
- Houd formele logboeken bij van deelname en resultaten bij CyFun/ENISA-oefeningen.
- Werk uw ISMS-bewijspakket na elke oefening bij of wijziging van regelgeving.
Wat zijn de directe stappen om Belgische NIS 2-conformiteit te bereiken en hoe kan ISMS.online hierbij helpen?
- Registreer u onmiddellijk op Safeonweb@work; contacten toewijzen en partnerketens documenteren.
- Breng elke asset, leverancier en incidentrol in kaart onder toezicht van zowel de sector als het CCB; oefen en registreer uw escalatiepaden.
- Houd 'levend' ISMS-bewijsmateriaal bij: incidentenlogboeken, leveranciersgegevens en CyFun/ENISA-activiteiten, waarbij de goedkeuringen van het bestuur/management voortdurend worden vastgelegd.
- Plan en simuleer elke 3 tot 6 maanden incidentrespons- en rapportageketens en registreer de resultaten als formeel onderdeel van uw bewijsmateriaal.
- Versnel de auditdoorvoer met ISMS.online: automatiseert het verzamelen van bewijsmateriaal, dubbele escalatieregistratie, CyFun/ENISA-oefendocumentatie en vermindert handmatige fouten in overeenstemming met de Belgische en EU-vereisten.
| Verwachting | Hoe te operationaliseren | ISO 27001/Bijlage A Referentie |
|---|---|---|
| Dubbele naleving in kaart brengen | ISMS asset/control mapping, rollen | Artikel 6.1, A.5.2 |
| Levend bewijs | Tijdstempellogboeken, CyFun-oefeningen, bordbeoordelingen | A.5.24, A.5.27, A.7.3 |
| Bewijs van de toeleveringsketen | Leverancierslogboek, DPA, audit-goedkeuring | A.5.19, A.5.21, A.7.10 |
| CyFun/ENISA-gereedheid | ISMS-boorgegevens, leveranciersmapping | A.5.27, A.5.28, A.7.3 |
Actief, levend bewijs is uw beste verdediging: de nieuwe NIS 2-regeling van België vereist dit van de directiekamer tot ISMS, van de toeleveringsketen tot het EU-netwerk. Met oplossingen zoals ISMS.online kunt u zich richten op echte veerkracht in plaats van op het haasten van auditdeadlines.
ISMS.online stemt het NIS 2-stelsel van België af op sectorale en nationale eisen. Hierdoor kunnen complianceteams sneller audits uitvoeren, dubbel werk beperken en bewijs leveren voordat de volgende crisis zich voordoet.
