Skip to main content
§ Blog12 mrt 2026

Waarom NIS2-naleving geen auditmoment meer is — en wat dat betekent voor uw organisatie

De Belgische NIS2-wet is van kracht sinds oktober 2024. In april 2026 bereiken essentiële entiteiten hun eerste verificatiemijlpaal — en afhankelijk van de gekozen route ziet die er heel verschillend uit. Sommige organisaties moeten tegen dan een CyFun-verificatie hebben verkregen. Andere leggen hun ISO 27001-scope en verklaring van toepasselijkheid voor aan de CCB. Nog andere ondergaan een inspectie door de CCB of door een sectorale inspectiedienst.

Drie routes, één deadline, en voor de meeste organisaties dezelfde vraag: zijn we er klaar voor?

Maar “klaar” is hier een misleidend woord. Want de werkelijke verandering die NIS2 brengt, zit niet in die eerste mijlpaal. Ze zit in wat erna komt. Naleving wordt een continu proces — en dat verandert hoe organisaties bewijs verzamelen, governance inrichten en omgaan met toezichthoudende autoriteiten.


Wat verandert er precies?

De Belgische NIS2-wet vervangt het eerdere NIS1-kader en breidt het toepassingsgebied aanzienlijk uit. Het Centrum voor Cybersecurity België (CCB) schatte aanvankelijk dat ongeveer 2.500 organisaties onder NIS2 zouden vallen. Tegen februari 2026 meldde de CCB dat er al meer dan 2.600 entiteiten geregistreerd waren.

Wat deze organisaties nu moeten doen, valt uiteen in drie verplichtingen.

Risicobeheersmaatregelen invoeren. Cybersecuritymaatregelen die in verhouding staan tot het risicoprofiel van de organisatie. De CCB stelt het CyberFundamentals Framework (CyFun) ter beschikking met drie zekerheidsniveaus — Basic, Important, Essential — al kunnen organisaties ook ISO/IEC 27001 als referentiekader kiezen.

Incidenten melden. Significante incidenten moeten worden gemeld aan het nationale CSIRT. In de loop van 2025 behandelde de CCB 635 incidenten op nationaal niveau. Ter vergelijking: vóór NIS2 lag het maandgemiddelde rond de 25 meldingen. De stijging is niet te wijten aan meer aanvallen, maar aan organisaties die nu weten dat ze moeten melden — en dat ook doen.

Aantonen dat de maatregelen werken. Hier wordt het lastig. Maatregelen nemen volstaat niet. Organisaties moeten ook aantonen dat die maatregelen functioneren. Voor essentiële entiteiten betekent dit een regelmatige conformiteitsbeoordeling via een van drie routes: CyFun-certificering of -verificatie door een door de CCB gemachtigde conformiteitsbeoordelingsinstantie (CAB), ISO/IEC 27001-certificering door een geaccrediteerde en gemachtigde CAB, of inspectie door de inspectiedienst van de CCB of door een sectorale inspectiedienst.


Wanneer de jaarlijkse audit niet langer volstaat

Naleving heeft altijd een ritme van stilte en haast gekend. Maanden waarin niemand naar de documentatie keek, gevolgd door weken waarin het hele team in mappen dook om bewijs bij elkaar te schrapen voor de auditor.

NIS2 doorbreekt dat ritme.

De wet verplicht organisaties om op elk moment te kunnen aantonen dat hun beheersmaatregelen functioneren — niet alleen wanneer de auditor langskomt. Voor essentiële entiteiten kan de CCB proactief toezicht uitoefenen: inspecties ter plaatse, ad-hocaudits, securityscans, verzoeken om bewijs. Ongepland, onaangekondigd. Voor belangrijke entiteiten is het toezicht in principe reactief, maar ook zij moeten altijd kunnen aantonen dat ze aan de eisen voldoen.

Dat betekent iets heel concreets. Het betekent dat het bewijs moet bestaan vóór iemand erom vraagt. Niet verzameld in een sprint van twee weken, maar continu bijgehouden als onderdeel van de dagelijkse werking.

En daar zit de spanning. Want de meeste organisaties hebben naleving tot nu toe als een project behandeld — met een begin, een einde, en een groot aantal spreadsheets daartussen. Die aanpak werkt niet langer wanneer het toezicht continu is.


Hoe ziet continue naleving er in de praktijk uit?

Drie zaken moeten veranderen.

Bewijsverzameling wordt automatisch. Handmatig bewijs ophalen uit tien of twintig systemen — ticketingtools, HR-platformen, firewalls, identityproviders — dat schaalt niet. Organisaties hebben tooling nodig die automatisch artefacten ophaalt en koppelt aan de relevante wettelijke eisen. Niet één keer per kwartaal, maar continu.

Afwijkingen worden zichtbaar op het moment dat ze zich voordoen. Een beheersmaatregel die faalt of een bewijsbron die verouderd is: dat moet vandaag zichtbaar zijn, niet over drie maanden in een auditrapport. Continue monitoring met duidelijke alarmering vervangt de periodieke steekproef.

Elke beslissing is herleidbaar. Wie heeft een afwijking vastgesteld? Wie heeft de corrigerende maatregel goedgekeurd? Op basis van welk bewijs? Wanneer een toezichthoudende autoriteit die vragen stelt, mag het antwoord geen zoektocht door mailboxen en gedeelde schijven zijn. Het moet er gewoon zijn.


Wat AI wel en niet kan

Artificiële intelligentie kan helpen die complexiteit beheersbaar te houden. Regelgeving analyseren, bewijsbronnen identificeren, afwijkingen sneller detecteren dan een menselijk team — daar is software goed in.

Maar er is een grens, en het is belangrijk om die duidelijk te trekken.

Een nalevingsplatform kan vaststellen dat een beheersmaatregel onvoldoende bewijs heeft. Het kan een corrigerende maatregel voorstellen. Maar het uitvoeren van die maatregel, en de verantwoordelijkheid voor de uitkomst — dat ligt bij het managementteam. Niet bij de software.

Dat is geen beperking. Het is een ontwerpkeuze, en een bewuste. Ze sluit aan bij de Europese benadering van betrouwbare AI, waarin menselijk toezicht en transparantie centraal staan.

En ze sluit aan bij de NIS2-wet zelf. De wet legt de verantwoordelijkheid voor cybersecuritymaatregelen uitdrukkelijk bij het bestuursorgaan. Bestuursleden keuren de maatregelen goed, zien toe op de uitvoering ervan, en zijn aansprakelijk bij overtredingen.

Software die belooft die verantwoordelijkheid over te nemen? Die mist het punt. Of erger: ze misleidt.


Waarom het uitmaakt waar uw nalevingssoftware draait

Veel nalevingsplatformen zijn gebouwd vanuit het Amerikaanse regelgevingslandschap — SOC 2, HIPAA, FedRAMP — en pas later aangepast aan Europese frameworks. Aangepast, niet herontworpen. Het verschil is een mapping van beheersmaatregelen, geen verschil in architectuur.

Voor organisaties die NIS2 en AVG combineren, maakt dat uit. Zij moeten niet alleen cybersecuritymaatregelen aantonen, maar ook nagaan waar en hoe hun nalevingsgegevens worden verwerkt.

De AVG staat doorgiftes buiten de EER toe — via adequaatheidsbesluiten, standaardcontractbepalingen of andere mechanismen uit hoofdstuk V. Maar elke doorgifte vereist een beoordeling en brengt extra governancelast met zich mee. Voor organisaties in gereglementeerde sectoren is de afweging concreet: bijkomende doorgiftemechanismen beheren, of een platform kiezen dat die complexiteit vermijdt door op uw eigen infrastructuur te draaien, binnen de EU-grenzen.

Dat is een architecturale keuze, geen wettelijke verplichting. Maar het is een keuze die het verschil kan maken tussen een governanceproces dat beheersbaar is en een dat voortdurend aandacht opeist voor iets dat volledig losstaat van uw kernopdracht.


Drie dingen die u vandaag kunt doen

Ongeacht welke tools u kiest.

Breng uw bewijsstatus in kaart. Welke CyFun-beheersmaatregelen of ISO 27001-maatregelen hebt u ingevoerd — en waar is het bewijs? Hoe actueel is het? Een hiaat in uw bewijs is geen hiaat in uw beveiliging. Maar het is wel het eerste wat een toezichthoudende autoriteit zal opmerken.

Centraliseer. Bewijs dat verspreid is over tien systemen is in de praktijk bewijs dat niet teruggevonden kan worden. Eén centrale plek — een gespecialiseerd platform of een goed gestructureerd documentbeheersysteem — maakt het verschil tussen weken auditvoorbereiding en een audit die u op elk moment aankunt.

Maak naleving operationeel. Geen project dat eigendom is van de CISO. Geen jaarlijks initiatief vanuit de juridische dienst. Een doorlopend proces, gestructureerd zoals incidentbeheer of wijzigingsbeheer. Met toegewezen verantwoordelijkheden, vaste frequenties en een escalatiepad wanneer de status verandert.


Hoe het Euraika GRC-platform helpt

Euraika GRC is gebouwd voor precies deze verschuiving. Het platform koppelt aan de bestaande IT-systemen van een organisatie, verzamelt automatisch bewijs en bewaakt continu of de nalevingsstatus actueel is.

Wanneer afwijkingen worden gedetecteerd, stelt Euraika GRC corrigerende maatregelen voor — maar de organisatie beslist. Elke actie heeft een herleidbare verantwoordelijkheidstoewijzing. De AI-component ondersteunt; ze beslist niet.

En het platform kan op de eigen infrastructuur van de organisatie draaien. Geen gedeelde databases, geen data die de EU verlaat, geen afhankelijkheid van externe API's. NIS2, AVG, DORA, ISO 27001 — dat zijn geen mappings die achteraf op een Amerikaans framework worden geplakt. Het zijn de architecturale uitgangspunten van de software.


De eerste NIS2-verificatiemijlpaal voor essentiële entiteiten is 18 april 2026. Wilt u verkennen hoe Euraika GRC uw organisatie kan ondersteunen met continue naleving? Neem contact op via aegis@euraika.net of plan een gesprek via www.euraika.net.


Europese AI. Europese data. Europese regelgeving.