NIS2 in België: waarom niets doen de duurste optie is

Voor veel Belgische middelgrote ondernemingen voelt NIS2 nog altijd als iets dat kan wachten. De registratiedeadline is voor de meeste entiteiten die onder de scope vallen intussen verstreken, de verplichtingen rond incidentmelding zijn van kracht sinds 18 oktober 2024, en het Belgische kader is vandaag volledig operationeel. Essentiële entiteiten krijgen bovendien een eerste belangrijke bewijs- en rapporteringsmijlpaal op 18 april 2026. Met andere woorden: dit is geen toekomstig complianceproject meer. Het is een actueel managementvraagstuk.

Niets doen is niet neutraal

De grootste misvatting rond NIS2 is dat uitstel een neutrale keuze is. Dat is het niet. In België wordt van entiteiten binnen scope verwacht dat ze begrijpen of ze onder de wet vallen, zich registreren via Safeonweb@Work, incidentmelding organiseren, en kunnen aantonen dat cybersecuritymaatregelen niet alleen op papier staan, maar ook effectief geïmplementeerd zijn. België geeft hier bovendien een uitgesproken pragmatische invulling aan: significante incidenten moeten snel gemeld worden, met een eerste waarschuwing binnen 24 uur en een uitgebreidere melding binnen 72 uur.

Voor middelgrote ondernemingen weegt dat zwaarder door dan velen verwachten. Ze zijn vaak groot genoeg om binnen scope te vallen, maar blijven tegelijk “lean” in de manier waarop ze risico, compliance en IT organiseren. Dat leidt tot een herkenbaar patroon: cybersecurity zit verspreid over meerdere personen, beslissingen verlopen deels informeel, en cruciaal bewijsmateriaal is versnipperd over teams en tools. Op een gewone dag kan dat werkbaar lijken. Het wordt een probleem zodra er een incident is, of zodra een toezichthouder vragen stelt.

De kost is meestal eerst operationeel en pas daarna regulatorisch

Wanneer bedrijven aan NIS2 denken, denken ze vaak eerst aan boetes. In de praktijk is de eerste kost meestal intern. Tijd gaat verloren aan het reconstrueren van documentatie, het verduidelijken van eigenaarschap, het op één lijn brengen van finance en IT, en het reageren op issues in allerijl. De organisatie betaalt voor uitstel via dubbel werk, reactieve besluitvorming en managementafleiding, lang voordat er sprake is van een formele sanctie.

Een typisch voorbeeld is een middelgroot Belgisch bedrijf dat denkt “grotendeels gedekt” te zijn omdat het een cyberverzekering heeft, enkele policies en een externe IT-partner. Op papier klinkt dat geruststellend. In realiteit weet het management vaak nog niet wie beslist of een incident meldingsplichtig is, wie contact opneemt met het CCB, welk bewijs geleverd moet worden, of hoe betrokken klanten geïnformeerd moeten worden. De Belgische richtlijnen zijn duidelijk: melding moet gebeuren zonder onnodige vertraging, niet op het allerlaatste moment. Voorbereiding is dus een bedrijfsnoodzaak, geen administratieve bijzaak.

Wat bedrijven nu best doen

Voor de meeste mid-market bedrijven is de juiste reactie geen groots transformatieprogramma. Het is een gerichte, praktische review. Start met vier vragen: vallen we binnen scope? Hebben we ons correct geregistreerd? Wie is eigenaar van incidentmelding? Welk bewijs kunnen we binnen 24 tot 72 uur voorleggen als er iets misloopt?

Die oefening alleen al legt vaak de echte kloof bloot. Het gaat zelden om een totale afwezigheid van controls. Vaker gaat het om onduidelijke verantwoordelijkheid, onvolledige documentatie en een te grote afhankelijkheid van enkele individuen. Net daar stapelt de kost van niets doen zich op.

Bij Grant Thornton Belgium zien we dezelfde les terugkomen in risk, compliance en transacties: bedrijven die vroeg handelen beperken niet alleen hun regulatorische blootstelling. Ze laten audits vlotter verlopen, reageren sneller onder druk en tonen een geloofwaardiger profiel naar klanten, investeerders en kredietverstrekkers.

Maak gebruik van beschikbare ondersteuningsmechanismen

Het is ook belangrijk te benadrukken dat organisaties dit niet alleen moeten aanpakken. In het cybersecurityverbetertraject van VLAIO kunnen bedrijven rekenen op gestructureerde ondersteuning, afgestemd op hun maturiteitsniveau.

Grant Thornton Belgium is één van de geselecteerde dienstverleners die gemachtigd zijn om deze cyberverbetertrajecten uit te voeren.

Via dit initiatief:

• Kleine en middelgrote ondernemingen kunnen tot 50% subsidie verkrijgen
• Grotere organisaties binnen scope van NIS2 kunnen ongeveer 35% subsidie verkrijgen

Dat verlaagt de drempel aanzienlijk om een gestructureerd NIS2 readiness- of verbeterprogramma op te starten, waardoor vroeg handelen niet alleen operationeel verstandig is, maar ook financieel haalbaar.

Als uw organisatie NIS2 nog altijd beschouwt als iets voor later, dan is dit het moment om die aanname te “pressure-testen”. Een korte, pragmatische scope- en readinessreview kan nu al een materieel verschil maken.