De Europese NIS2-richtlijn is niet zomaar een nieuwe verplichting uit Brussel. Ze markeert een kantelpunt in de manier waarop lokale besturen omgaan met digitale weerbaarheid, risico’s en verantwoordelijkheden. Waar informatieveiligheid jarenlang vooral een zaak was van IT-afdelingen, komt de verantwoordelijkheid nu expliciet op het bord van het management.
Algemene directeurs staan voortaan in de frontlinie: zij dragen, naast hun talloze andere verantwoordelijkheden, ook de eindverantwoordelijkheid over beleid, processen en naleving — inclusief cyberveiligheid. Het is dan ook essentieel dat zij zich hierbij goed laten bijstaan door hun veiligheidsconsulent, ICT-coördinator en gespecialiseerde partners.
- De kern van NIS2: verantwoordelijkheid als hefboom
De Belgische NIS2-wetgeving, in werking sinds 18 oktober 2024, breidt het toepassingsgebied sterk uit. Niet enkel nutsbedrijven of ziekenhuizen, maar ook gemeenten, OCMW’s, intercommunales en lokale samenwerkingsverbanden kunnen voortaan worden beschouwd als essentiële of belangrijke entiteiten.
Het Centrum voor Cybersecurity België (CCB) coördineert de nationale uitrol, terwijl het Agentschap Digitaal Vlaanderen de vertaalslag naar lokale besturen ondersteunt via richtlijnen, audits en tools.
Daarnaast is het Vlaams Centrum voor Digitale Veiligheid — een initiatief van de Vlaamse overheid — opgericht om Vlaamse entiteiten en lokale besturen te ondersteunen in hun maturiteitsgroei rond cyberveiligheid. Het centrum vormt een kennis- en coördinatiepunt voor informatie- en cyberveiligheid binnen de Vlaamse overheid en haar partners.
Wat NIS2 fundamenteel verandert, is niet zozeer de lijst van maatregelen, maar het governanceprincipe: cyberveiligheid wordt een bestuurskwestie. Besturen moeten kunnen aantonen dat ze hun risico’s kennen, maatregelen treffen en incidenten melden. De directie is persoonlijk verantwoordelijk voor naleving — ook wanneer taken worden uitbesteed aan leveranciers of intergemeentelijke samenwerkingen.
- Van verplichting naar kans
Die verantwoordelijkheid hoeft geen last te zijn. Voor lokale besturen die strategisch naar informatieveiligheid kijken, is NIS2 juist een kans om maturiteit te verhogen.
Waar IT-beleid vroeger vaak ad hoc groeide, biedt de NIS2-structuur nu een kader om veiligheid te integreren in bestuur en beleid. Drie kansen springen eruit:
- Integratie van veiligheid in managementprocessen
In plaats van losse technische acties, vraagt NIS2 om structurele inbedding: in risicobeheer, beleidscyclus, budgettering, en rapportering.
Tip: Beschouw informatieveiligheid als een beleidsdomein, niet enkel als een IT-thema. Maak het een vast agendapunt in managementteamvergaderingen. - Versterking van samenwerking en schaalvoordelen
De richtlijn stimuleert samenwerking — tussen gemeenten, met het Vlaams Centrum voor Digitale Veiligheid, en via sectorale initiatieven zoals het Vlaamse Cyber Response Team.
Tip: Sluit aan bij regionale samenwerkingsverbanden of consortia. Zo vermijd je dat elke gemeente apart het wiel moet uitvinden. - Professionalisering van de organisatiecultuur
NIS2 maakt cyberveiligheid onderdeel van organisatiecultuur. Bewustzijn, opleiding en intern beleid worden verplichtingen — maar ook motoren van verandering.
Tip: Start met laagdrempelige interne campagnes of simulaties (zoals phishingtests via Digitaal Vlaanderen) en koppel die aan concrete leeracties.
- Wat mag een algemeen directeur concreet verwachten?
De CCB en de Vlaamse overheid hebben intussen de registratiefase afgesloten. Lokale besturen die onder de regelgeving vallen, moesten zich registreren vóór 18 maart 2025 via het CCB-portaal.
Wie dit nog niet deed, wordt aangeraden dit alsnog na te gaan via het NIS2-registratieportaal van het CCB.
De volgende fase omvat zelfevaluaties en audits, waarin besturen moeten aantonen hoe zij voldoen aan de beheersmaatregelen. Voor Vlaamse lokale besturen vertaalt dit zich in drie praktische stappen:
Stap 1: Inventariseren en segmenteren
Breng in kaart welke onderdelen van je organisatie onder NIS2 vallen. Gemeenten met een woon-zorgcentrum, energieproject of afvalintercommunale kunnen in verschillende categorieën terechtkomen.
Tip: Gebruik het KBO-nummer als vertrekpunt, maar bekijk of segmentatie op vestigingsnummer mogelijk is. Zo beperk je de scope tot de relevante entiteiten.
Stap 2: Uitvoeren van een risicoanalyse
Gebruik bestaande instrumenten zoals het Informatieveiligheid Controle Raamwerk (ICR) van Digitaal Vlaanderen.
Tip: Combineer dit met je interne processen of beleidskaarten om risico’s te koppelen aan concrete diensten: burgerzaken, vergunningen, woonzorg, enz. De Vlaamse overheid voorziet bovendien nog steeds financiële voorfinanciering voor lokale audits via ABB.
Stap 3: Implementeren en opvolgen
Zodra de risico’s in kaart zijn gebracht, kunnen beheersmaatregelen worden ingevoerd: van toegangsbeheer en multifactor-authenticatie tot bewustmakingsacties, monitoring en incidentprocedures.
Tip: Maak dit niet te technisch. De sleutel ligt in procesbeheer: wie beslist, wie rapporteert, wie reageert? Een veiligheidsplan dat aansluit bij je organisatiemodel is belangrijker dan een technisch rapport.
- De ondersteuningsstructuur in Vlaanderen
Vlaanderen heeft de voorbije jaren stevig geïnvesteerd in ondersteuning voor lokale besturen.
Het Vlaamse Cyber Response Team biedt preventieve begeleiding én reactieve hulp bij incidenten (met drie dagen gratis boots-on-the-ground-ondersteuning).
Het Vlaams Centrum voor Digitale Veiligheid coördineert kennisdeling, standaardisering en beleidsafstemming tussen lokale en Vlaamse niveaus.
Daarnaast blijft het Agentschap Digitaal Vlaanderen de centrale partner voor tools zoals:
- Toolbox Cyberveiligheid en ICR-maturiteitsmeting
- Phishingcampagnes en bewustmakingsmateriaal
- Richtlijnen voor segmentatie en registratie bij het CCB
- Implementatie van multifactor-authenticatie via ACM-IDM
Samen vormen deze initiatieven een ecosysteem waarin lokale besturen niet langer alleen staan, maar ondersteund worden in elke fase van hun traject.
- De rol van het management: regie, rapportering en risicobewustzijn
Algemene directeurs hoeven geen technische experts te worden, maar moeten de regierol opnemen. Dat betekent: de juiste vragen stellen, overzicht bewaren en keuzes kaderen in bestuurlijke prioriteiten.
Drie aandachtspunten:
- Governance en rapportering
Zet informatieveiligheid op de agenda van het managementteam en de gemeenteraad. Vraag kwartaalrapporten van de veiligheidsconsulent of ICT-coördinator, gekoppeld aan KPI’s. - Risicobewust bestuur
Gebruik NIS2 als aanleiding om risico’s breder te bekijken: niet enkel cyber, maar ook continuïteit, reputatie en dienstverlening.
Vraag: “Wat gebeurt er als ons e-loket 24 uur plat ligt?” Dat gesprek is de kern van NIS2. - Continu verbeteren
NIS2 is geen eenmalig project, maar een doorlopend proces. Behandel het zoals financieel beleid of personeelsbeleid: met jaarlijkse evaluatie en bijsturing.
- Van compliance naar vertrouwen
In de publieke sector is vertrouwen het hoogste goed. Burgers verwachten dat hun gegevens veilig zijn, dat digitale loketten betrouwbaar werken en dat overheden voorbereid zijn op incidenten.
Door NIS2 niet te zien als een last, maar als een katalysator voor professioneel bestuur, kunnen lokale besturen dat vertrouwen versterken.
NIS2 vraagt een gedeelde inspanning — tussen IT, management en bestuur. Maar het resultaat is meer dan louter naleving: het is een veerkrachtiger, transparanter en toekomstbestendiger lokaal bestuur.
-/-
EXTRA - enkele praktische handvatten voor algemene directeurs
- Controleer of je bestuur zich tijdig geregistreerd heeft bij het CCB.
- Gebruik het ICR-raamwerk voor je risicoanalyse.
- Koppel informatieveiligheid aan beleidsdoelstellingen en rapportering.
- Werk samen via regionale consortia of met het Vlaams Centrum voor Digitale Veiligheid.
- Evalueer jaarlijks, NIS2 is een proces, geen project.
-/-
2 handige links
https://ccb.belgium.be/nl/regelgeving/nis2
-/-
Een artikel geschreven door V-ICT-OR CEO Eddy Van der Stock ... voor [impuls magazine Exello.net vzw] Q4 2025.