Het Centre for Cybersecurity Belgium (CCB) start een landelijke enquête naar de cyberklaarheid van organisaties in België. De online vragenlijst staat op het moment van schrijven open voor bedrijven, overheden en non-profits in alle sectoren. Het doel is te meten welke basismaatregelen werken, waar knelpunten zitten en welke hulp nodig is. Dit raakt ook NIS2 en de Europese AI-verordening gevolgen overheid en bedrijven.
België meet cyberweerbaarheid
Met de enquête wil het CCB een actueel beeld krijgen van de digitale weerbaarheid in België. De oproep richt zich op kleine en grote organisaties, van kmo’s tot ziekenhuizen en gemeentelijke diensten. Zo ontstaat een breed overzicht van risico’s en goede praktijken in verschillende ketens.
De resultaten moeten het nationale beleid en de ondersteuning aanscherpen. Denk aan praktische richtlijnen, trainingen en waarschuwingen over actuele dreigingen. Ook kan het CCB hiermee sectoren gericht benaderen waar de basis nog niet op orde is.
De timing is niet toevallig. Ransomware, supply‑chainaanvallen en misbruik van cloudaccounts nemen toe. Tegelijk groeit het gebruik van kunstmatige intelligentie op de werkvloer, wat nieuwe aanvalskansen en fouten kan opleveren.
NIS2 stuurt aanpak
De Europese NIS2‑richtlijn verplicht “essentiële” en “belangrijke” entiteiten tot strengere beveiliging en incidentmelding. Bestuurders krijgen meer verantwoordelijkheid, en leveranciersrisico’s moeten aantoonbaar worden beheerst. De Belgische implementatie is in voorbereiding, met gevolgen voor sectoren als energie, zorg, transport, digitale diensten en (semi)overheid.
De vragenlijst helpt organisaties een nulmeting te doen voor NIS2‑eisen. Wie de basisprocessen kent, ziet sneller waar beleid, techniek of training tekortschiet. Dat maakt investeringen makkelijker te plannen en te verantwoorden richting bestuur en toezichthouders.
Er is ook samenhang met de AI‑verordening (AI Act), die risicomanagement en documentatie rond algoritmen en datamodellen aanscherpt. Betrouwbare beveiliging, logging en incidentprocessen zijn randvoorwaardelijk om AI veilig in te zetten. Voor overheidsorganisaties spelen bovendien extra transparantie‑ en zorgvuldigheidseisen.
Wat organisaties invullen
De enquête behandelt herkenbare bouwstenen van cyberbeveiliging. Denk aan inventarisatie van systemen, tijdig patchen, back‑ups, multi‑factor authenticatie (MFA) en toegangsbeheer. Ook komen incidentrespons, continuïteit en leveranciersbeoordeling aan bod.
Technische termen blijven praktisch: MFA is een extra controle naast wachtwoorden; patchen is het bijwerken van software om gaten te dichten. Supply‑chainrisico’s gaan over kwetsbaarheden bij leveranciers, bijvoorbeeld in cloud of IT‑dienstverlening. Verder kan de vragenlijst ingaan op bewustwordingstraining en phishingoefeningen.
Voor organisaties die willen verdiepen verwijst het CCB naar eigen raamwerken en richtlijnen, zoals het Cyberfundamentals‑kader. Dat biedt houvast voor een stapsgewijze aanpak, passend bij omvang en risico. Zo kan een kmo starten met basismaatregelen en later uitbreiden naar geavanceerde controle.
Een cyberincident is elke gebeurtenis die de beschikbaarheid, integriteit of vertrouwelijkheid van informatie of systemen verstoort.
Privacy en AVG-bescherming
De gegevens uit de enquête worden naar verwachting geaggregeerd gebruikt om trends te duiden. Onder de AVG geldt dataverwerking met doelbinding en dataminimalisatie: alleen vragen die nodig zijn, en zo weinig mogelijk herleidbare informatie. Anonimisering of pseudonimisering verkleint het privacyrisico.
Deelnemers doen er goed aan geen persoonsgegevens of bedrijfsgeheimen in vrije velden te plakken. Wie toch contactgegevens achterlaat voor opvolging, kan vragen naar bewaartermijnen en beveiliging. Versleuteling en beperkte toegang horen bij goede praktijk.
Let op dat deelname aan een enquête geen vrijstelling geeft van meldplichten bij datalekken of incidenten. Organisaties moeten hun eigen processen voor detectie, melding en herstel paraat hebben. Dat geldt straks nog sterker onder NIS2‑toezicht.
AI-risico’s nemen toe
Kunstmatige intelligentie brengt kansen en risico’s samen. Aanvallers gebruiken generatieve systemen om overtuigende phishing te maken of kwetsbaarheden sneller te verkennen. Ook deepfakes kunnen worden ingezet voor fraude of misleiding van medewerkers.
Tegelijk helpen algoritmen verdedigers met patroonherkenning en snellere detectie van afwijkingen. Denk aan systemen die ongewoon inloggedrag of dataverkeer signaleren. Organisaties moeten daarbij letten op vals positieven en uitlegbaarheid, zeker bij beslissingen met impact op klanten of personeel.
De AI‑verordening verplicht tot risicobeoordeling en documentatie, wat aansluit op klassieke cybersecurity‑processen. Heldere afspraken over data, toegang en monitoring zijn nodig om AI veilig te draaien. De enquête kan zichtbaar maken waar beleid, techniek en training elkaar nog niet vinden.
Lessen voor Nederland
Veel Nederlandse organisaties werken over de grens en delen leveranciers met Belgische partijen. In ketens telt de zwakste schakel, dus een Belgisch beeld van weerbaarheid is ook voor Nederlandse bestuurders relevant. Dezelfde NIS2‑eisen gaan hier gelden, met vergelijkbare verwachtingen rond governance en melding.
Nederlandse organisaties kunnen eigen nulmetingen spiegelen aan Belgische uitkomsten zodra die publiek zijn. Handreikingen van NCSC‑NL, het Digital Trust Center (DTC) en de BIO‑normen voor de overheid sluiten inhoudelijk aan. Een gezamenlijke leveranciersaanpak en duidelijke contracteisen verminderen ketenrisico’s.
Praktisch begint het met een actuele systeeminventaris en basismaatregelen als MFA, patchen en back‑ups. Oefen het meldproces, inclusief bereikbaarheid buiten kantooruren. Stel tot slot een helder AI‑gebruiksbeleid op, met richtlijnen voor data, toegang en logging.
