FAQ over NIS2 in België

FAQ over NIS2 in België: Alles wat u moet weten
Ontdek de essentiële informatie over de nieuwe NIS2-wetgeving en wat deze betekent voor uw organisatie. Van verplichtingen tot boetes, alle antwoorden op uw vragen op één plek.
Start met de FAQ
Bezoek CCB
Basiskennis
Wat is NIS2 in België?
NIS2 is de nieuwe Europese richtlijn voor cybersecurity die sinds 2024 in België is omgezet in nationale wetgeving. Deze richtlijn versterkt de beveiliging van netwerken en informatiesystemen in essentiële en belangrijke sectoren om cyberdreigingen beter te beheersen.
De wetgeving verplicht organisaties om robuuste beveiligingsmaatregelen te implementeren en maakt cybersecurity een prioriteit op directieniveau. Dit zorgt voor een hoger beschermingsniveau tegen moderne cyberdreigingen in heel België.
Belangrijk: NIS2 is bindende wetgeving, geen vrijblijvende richtlijn. Naleving is verplicht voor alle aangewezen organisaties.
Toepassingsgebied
Welke organisaties vallen onder de NIS2-wetgeving?
NIS2 geldt voor organisaties in 18 sectoren, zoals energie, transport, gezondheidszorg, digitale infrastructuur, waterbeheer, en publieke administratie. Zowel essentiële als belangrijke entiteiten met een bepaalde grootte vallen onder deze wet.
Groottecriteria
Meer dan 50 werknemers én/of jaaromzet boven 10 miljoen euro
18 Sectoren
Van energie tot gezondheidszorg, digitale diensten tot openbaar bestuur
Europese scope
Diensten die actief zijn in België of kritieke impact hebben op Belgische activiteiten
Wijzigingen
Wat zijn de belangrijkste veranderingen ten opzichte van NIS1?
NIS2 breidt het toepassingsgebied sterk uit, voegt strengere beveiligingsmaatregelen toe, legt meer nadruk op supply chain security en maakt topmanagement persoonlijk verantwoordelijk. Ook zijn de sancties en toezicht aangescherpt.
Uitgebreider bereik
Van 2 naar 18 sectoren, met veel meer organisaties onder toezicht
Supply chain focus
Beveiliging van toeleveranciers en partners nu expliciet vereist
Persoonlijke aansprakelijkheid
Management draagt directe verantwoordelijkheid voor naleving
Strenger toezicht
Hogere boetes en actievere controle door autoriteiten
De verschuiving naar supply chain security is een gamechanger voor moderne cybersecurity in België.
Verplichtingen
Is NIS2 verplicht voor mijn bedrijf?
Als uw organisatie actief is in een sector die in de NIS2-bijlagen staat en voldoet aan de groottecriteria, bent u verplicht te voldoen aan NIS2. Dit geldt ook als cybersecurity niet uw hoofdactiviteit is, mits de dienst essentieel is voor de samenleving of economie.
Zelfs organisaties onder de drempelwaarden kunnen aangewezen worden als hun diensten kritiek zijn. Het is raadzaam om een grondige analyse uit te voeren of uw organisatie onder het toepassingsgebied valt.
01
Controleer uw sector
Is uw organisatie actief in één van de 18 aangewezen sectoren?
02
Meet uw grootte
Heeft u meer dan 50 werknemers of omzet boven 10 miljoen euro?
03
Beoordeel kriticaliteit
Zijn uw diensten essentieel voor maatschappelijke of economische functies?
04
Raadpleeg experts
Neem contact op met CCB of juridische adviseurs bij twijfel
Beveiligingsmaatregelen
Welke cybersecuritymaatregelen moet ik nemen volgens NIS2?
Organisaties moeten passende technische en organisatorische maatregelen implementeren, zoals risicobeheer, incidentresponsplannen, toegangscontrole, encryptie en beveiliging van de toeleveringsketen. Deze maatregelen moeten proportioneel zijn aan de risico's die uw organisatie loopt.
Risicobeheer
Regelmatige risicoanalyses
Identificatie van kwetsbaarheden
Prioritering van bedreigingen
Incidentrespons
Responsplannen opstellen
Testscenario's uitvoeren
24/7 capaciteit waarborgen
Toegangscontrole
Multi-factor authenticatie
Least privilege principe
Regelmatige toegangsaudits
Encryptie
Data in transit beschermen
Data at rest versleutelen
Sleutelbeheer implementeren
Tijdslijn
Wanneer moet mijn organisatie NIS2-compliant zijn?
De Belgische NIS2-wet trad in werking in 2024, met een implementatietermijn tot uiterlijk 17 oktober 2024. Organisaties moeten uiterlijk dan voldoen aan alle verplichtingen en zich registreren bij het Centrum voor Cybersecurity België (CCB).
Hoewel de deadline al verstreken is, moeten organisaties die nog niet compliant zijn dit zo snel mogelijk alsnog regelen. Het CCB voert actief toezicht en controles uit, en niet-naleving kan leiden tot sancties.
1
Januari 2023
Publicatie EU NIS2 richtlijn
2
Begin 2024
Omzetting in Belgische wetgeving
3
17 Oktober 2024
Deadline voor volledige compliance
4
Nu
Actief toezicht en handhaving
Sancties
Wat zijn de boetes bij niet-naleving van NIS2?
De boetes voor niet-naleving van NIS2 zijn aanzienlijk en kunnen organisaties zwaar treffen. Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Belangrijke entiteiten kunnen boetes krijgen tot 7 miljoen euro of 1,4% van de omzet.
Essentiële entiteiten
Tot €10.000.000
of 2% van de wereldwijde jaaromzet (hoogste bedrag is van toepassing)
Belangrijke entiteiten
Tot €7.000.000
of 1,4% van de wereldwijde jaaromzet (hoogste bedrag is van toepassing)
Let op: Boetes zijn niet het enige risico. Reputatieschade, operationele verstoringen en verlies van klantvertrouwen kunnen nog zwaarder wegen dan financiële sancties.
Naast administratieve boetes kan het management persoonlijk aansprakelijk worden gesteld voor grove nalatigheid in het waarborgen van cybersecurity.
Incidentmeldingen
Hoe verloopt de incidentmelding onder NIS2?
Significante cyberincidenten moeten binnen 24 uur gemeld worden aan de bevoegde autoriteiten. Binnen 72 uur volgt een gedetailleerde rapportage over de impact en genomen maatregelen. Een finaal rapport wordt verwacht binnen één maand na het incident.
De snelheid en kwaliteit van incidentrapportage zijn cruciaal. Autoriteiten beoordelen niet alleen of u het incident heeft gemeld, maar ook hoe adequaat uw respons was.
Vroege waarschuwing
Binnen 24 uur: Eerste melding van het incident aan het CCB met beschikbare basisinformatie
Gedetailleerde rapportage
Binnen 72 uur: Uitgebreide analyse van impact, getroffen systemen en genomen maatregelen
Finaal rapport
Binnen 1 maand: Volledige evaluatie, root cause analyse en preventieve acties
Categorieën
Wat is het verschil tussen essentiële en belangrijke entiteiten?
Beide categorieën moeten aan dezelfde beveiligingseisen voldoen, maar het verschil zit in de intensiteit van het toezicht. Essentiële entiteiten worden proactief gecontroleerd door de autoriteiten, terwijl belangrijke entiteiten alleen gecontroleerd worden bij concrete aanwijzingen van niet-naleving of na een significant incident.
Essentiële entiteiten
Organisaties met kritieke maatschappelijke functie. Proactief toezicht, striktere rapportage, hogere boetes. Bijvoorbeeld: energieleveranciers, ziekenhuizen, waterbedrijven.
Belangrijke entiteiten
Organisaties met significante, maar niet-kritieke impact. Reactief toezicht, standaard rapportage, lagere boetes. Bijvoorbeeld: postdiensten, afvalverwerkers, voedselproducenten.
Beveiligingseisen
Identieke technische maatregelen
Zelfde risicobeheer-verplichtingen
Gelijke incidentmeldingsplicht
Supply chain security voor beide
Toezichtverschillen
Essentieel: regelmatige inspecties
Belangrijk: controle op vermoeden
Essentieel: striktere audits
Belangrijk: gebaseerd op risico
Voorbereiding
Hoe kan ik mijn organisatie voorbereiden op NIS2?
Gebruik het CyFun 2025-framework van het CCB voor een gestructureerde aanpak. Dit biedt een zelfevaluatie, beleidsmodellen en een stappenplan om de cybersecurity volwassenheid te verhogen en aan NIS2 te voldoen. Het framework helpt organisaties om systematisch hun beveiligingsniveau op te bouwen.
1
Gap analyse uitvoeren
Evalueer uw huidige beveiligingsniveau ten opzichte van NIS2-vereisten met het CyFun framework
2
Actieplan opstellen
Prioriteer verbeteringen op basis van risico's en implementeer gefaseerd noodzakelijke maatregelen
3
Beleid documenteren
Formaliseer procedures, verantwoordelijkheden en responsplannen in gedocumenteerd beleid
4
Team trainen
Zorg voor awareness en skills bij alle medewerkers, van IT tot management niveau
5
Testen en valideren
Voer regelmatige tests uit van incidentrespons en beveiligingsmaatregelen
6
Registreren bij CCB
Voltooi de officiële registratie via Safeonweb@Work en onderhoud contact met autoriteiten
CyFun 2025: Het Cyber Fundamentals framework is gratis beschikbaar via het CCB en biedt praktische tools, templates en checklists specifiek voor de Belgische context.
Registratie
Waar kan ik mijn organisatie registreren voor NIS2?
Registratie gebeurt via het portaal Safeonweb@Work, beheerd door het Centrum voor Cybersecurity België (CCB). Dit is verplicht voor alle NIS2-entiteiten om toezicht en communicatie te faciliteren. Via dit portaal ontvangt u ook officiële richtlijnen, alerts en updates.
De registratie is een eenmalig proces, maar uw gegevens moeten actueel blijven. Bij wijzigingen in uw organisatie of contactpersonen moet u deze tijdig updaten in het portaal.
Safeonweb@Work portaal
Officieel registratieplatform voor alle NIS2-entiteiten in België
Centrum voor Cybersecurity België
De bevoegde autoriteit voor NIS2-toezicht en ondersteuning
Hulp en ondersteuning
Toegang tot resources, guidelines en directe communicatie met het CCB
Registreer nu via Safeonweb@Work
Meer info op CCB website
Heeft u nog vragen? Neem contact op met het CCB via hun website of contacteer een gespecialiseerde cybersecurity consultant voor begeleiding bij uw NIS2-traject.