18 april 2026 is geen datum. Het is een moment van waarheid.
Er hangt iets ongemakkelijks in de lucht bij duizenden Belgische organisaties. Niet omdat men niets gedaan heeft, maar omdat men voelt dat wat men deed, misschien niet volstaat. Met nog een kleine vier maanden te gaan tot 18 april 2026 beseffen naar schatting 4.000 NIS2 Important en Essentiële bedrijven dat deze datum geen administratieve formaliteit is. Het is een spiegel.
Tot voor kort leek NIS2 nog ver weg. Een Europese richtlijn, een Belgische omzetting, wat terminologie die vooral juristen en securityspecialisten bezighield. Maar deadlines hebben een merkwaardige eigenschap: ze maken het onzichtbare zichtbaar. Plots wordt duidelijk dat dit niet over IT gaat, maar over bestuurbaarheid. Over wie beslist, wie verantwoordelijk is, en wie uitleg moet geven wanneer het fout gaat.
Tijd om te stoppen met praten en ‘AKTIE’
Dat organisaties laat starten, is geen toeval en geen onwil. Onderzoek naar uitstelgedrag toont al jaren hetzelfde mechanisme: zolang een risico zich in de toekomst bevindt, wordt het mentaal afgewaardeerd. Men gelooft dat men “al veel doet”, tot men het werkelijk moet aantonen. En hoe complexer de opdracht, hoe makkelijker ze vooruitgeschoven wordt. NIS2 is immers geen checklist, maar een samenkomst van governance, risicobeheer, leveranciersverantwoordelijkheid en incidentrespons. Dat is geen project. Dat is een transformatie.
Daarom ontstaat nu het bekende fenomeen: bedrijven die proberen vierentwintig maanden volwassenheid samen te persen in enkele maanden. Niet omdat ze roekeloos zijn, maar omdat de realiteit pas laat doordringt. De schok komt wanneer men begrijpt dat 18 april 2026 niet vraagt om perfectie, maar om geloofwaardigheid.
Wie tegen die datum nog moet uitleggen waar zijn scope ligt, wie verantwoordelijk is, of hoe risico’s worden beheerd, heeft een probleem. Wie daarentegen kan aantonen dat men zijn huis kent, zijn keuzes kan verantwoorden en zijn pad duidelijk heeft uitgetekend, staat stevig. In die zin is 18 april geen eindpunt, maar een toegangspoort.
Waarom we altijd te laat beginnen
Dit is geen moreel falen. Het is menselijk – en organisatorisch voorspelbaar.
Onderzoek naar uitstelgedrag en regelgeving toont keer op keer hetzelfde patroon:
Verre deadlines voelen niet urgent (temporal discounting).
Besturen overschatten structureel hun maturiteit (optimism bias).
Hoe complexer en minder tastbaar de opdracht, hoe groter de verlamming (procrastination by complexity).
NIS2 is geen checklist. Het is governance, risicobeheer, leveranciersbeheer, incidentrespons en bestuursverantwoordelijkheid in één beweging. Dat maakt het oncomfortabel. En dus wordt het uitgesteld. Tot men beseft dat men in drie maanden probeert te doen wat realistisch twee jaar vraagt.
Binnen het CyFun-denken is “goed genoeg” tegen april 2026 geen volmaakte weerbaarheid. Het betekent dat de organisatie bestuurbaar is. Dat de fundamenten van CyFun Basic aanwezig zijn: risico’s zijn benoemd, verantwoordelijkheden vastgelegd, beleid bestaat niet alleen op papier maar ook in bewustzijn. Voor wie verder staat, toont CyFun Important dat de organisatie niet alleen bestuurt, maar ook kan reageren onder druk. Incidenten zijn geen theoretische oefening meer, leveranciers zijn geen blinde vlek, en beveiliging leeft in de operatie.
CyFun Essential blijft het doel, niet de verwachting voor april 2026. Het is het niveau waar continue verbetering en echte weerbaarheid samenkomen. Slimme organisaties doen vandaag dan ook iets anders: zij plannen niet “voor april”, maar richting Essential 2025. Ze bouwen een realistisch traject met duidelijke ankerpunten, verankerd in de verplichte sleutelmaatregelen van Basic en Important. Niet om audits te doorstaan, maar om rust te creëren in hun besluitvorming.
Kort toegelicht:
Laat ons helder zijn: 18 april 2026 is geen eindpunt van weerbaarheid.
Het is een geloofwaardigheidstoets.
De CCB verwacht tegen die datum geen perfectie, maar aantoonbare controle:
- een duidelijke scope,
- een gekozen pad,
- een eerste volwassenheidslaag,
- en bewijs dat men begrijpt wat men doet — en waarom.
Wat is “goed genoeg” tegen 18/04/2026?
(CyFun-maturiteitsbril)
CyFun AL Basic – verplicht minimum
- Governance vastgelegd (rollen, verantwoordelijkheden)
- Risicoanalyse uitgevoerd
- Kernbeleid gedocumenteerd
- Incidentmelding georganiseerd
➡️ Je organisatie is bestuurbaar en aanspreekbaar
CyFun AL Important – geloofwaardige basis
- Sleutelmaatregelen geïmplementeerd
- Operationele beveiliging aantoonbaar
- Leveranciersrisico’s geïdentificeerd
- Monitoring & incidentrespons getest
➡️ Je organisatie is beheersbaar onder stress
CyFun AL Essential – het einddoel, niet het startpunt
- Volledige weerbaarheid
- Continue verbetering
- Structurele assurance
👉 Tegen 18 april 2026 moet je niet Essential zijn —
maar wel aantoonbaar op weg ernaartoe.
In dat traject speelt interne audit een onderschatte rol. Een objectieve, eerlijke interne audit is geen last, maar een beschermingsmechanisme. Ze voorkomt dat paniek leidt tot dure tools zonder governance, of tot maatregelen die vooral goed ogen op papier. Audit brengt ratio in een emotioneel beladen context. Ze helpt het bestuur onderscheiden wat nodig is van wat vooral geruststelt.
Waarom een objectief intern auditbeleid cruciaal is
Een onafhankelijk, nuchter intern auditbeleid is geen bureaucratie.
Het is kostenbeheersing.
Interne audits:
- maken zichtbaar waar risico’s écht zitten,
- ontmaskeren schijnveiligheid,
- voorkomen “domme, dure” last-minute investeringen,
- en geven het bestuur onderbouwde keuzes.
Zonder audit stuur je op gevoel. Met audit stuur je op feiten.
Cruciaal is ook wie dit verhaal draagt. Niet IT. Niet compliance in een zijspoor. NIS2 hoort thuis bij een digitale transitiemanager met mandaat, iemand die de brug slaat tussen technologie, risico en strategie. Iemand die rapporteert aan CEO, CFO én CISO, en zo de discussie daar brengt waar ze thuishoort: op bestuursniveau.
Wie moet dit leiden? Niet IT. Niet compliance.
Dit traject hoort thuis bij een Digitale Transitie Manager:
- met mandaat,
- met overzicht,
- en met directe rapportering aan CEO, CFO én CISO.
Want NIS2 gaat niet over firewalls.
Het gaat over bedrijfscontinuïteit, aansprakelijkheid en vertrouwen.
Want uiteindelijk gaat dit niet over 18 april 2026. Het gaat over wat er gebeurt na die datum. Over hoe een organisatie overeind blijft wanneer het misgaat. Over vertrouwen — van klanten, van toezichthouders, van de samenleving.
De klok tikt niet richting een audit.
Ze tikt richting volwassen bestuur.
