De NIS2-richtlijn brengt nieuwe cyberbeveiligingsverplichtingen voor duizenden Belgische bedrijven. Vanaf oktober 2024 moeten organisaties in kritieke sectoren voldoen aan strenge eisen. Maar geldt dit ook voor uw onderneming?
Deze gids helpt u snel bepalen of NIS2 van toepassing is op uw bedrijf. We leggen duidelijk uit welke sectoren en bedrijfsgroottes onder de regelgeving vallen, zonder ingewikkeld juridisch jargon.
Essentieel om te weten
Twee categorieën: essentiële en belangrijke entiteiten
Essentiële entiteiten
Organisaties waarvan de diensten cruciaal zijn voor de maatschappij en economie. Een verstoring zou een ernstige impact hebben op de samenleving.
Strengere toezichteisen
Zwaardere sancties bij niet-naleving
Prioriteit bij controleprocedures
Directe rapportageplicht aan autoriteiten
Belangrijke entiteiten
Bedrijven die een significante rol spelen in hun sector, maar waarvan een verstoring minder ernstige gevolgen heeft voor de samenleving.
Iets lichtere toezichtseisen
Matige sancties bij overtreding
Zelfbeoordelingsmogelijkheden
Melding via standaardprocedures
De classificatie bepaalt welke verplichtingen op uw organisatie rusten. Beide categorieën moeten wel aan de kerneisen voldoen: risicobeheersmaatregelen, incidentmeldingen, en beveiligingsbeleid.
Valt mijn bedrijf onder NIS2? De drie criteria
01
Sector
Actief in een van de 18 aangewezen sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur, productie, voedsel, of afvalwater?
02
Bedrijfsgrootte
Middelgrote of grote onderneming? Dat betekent minstens 50 werknemers én een jaaromzet van €10 miljoen. Kleinere bedrijven kunnen ook verplicht zijn als ze kritieke diensten leveren.
03
Maatschappelijke impact
Levert uw bedrijf essentiële diensten waarvan een verstoring aanzienlijke gevolgen zou hebben voor de samenleving, economie of volksgezondheid?
Als uw onderneming aan alle drie de criteria voldoet, valt ze zeer waarschijnlijk onder NIS2. Ook als u niet aan de groottecriteria voldoet maar wel een kritieke dienst levert, kunt u verplicht zijn.
Is NIS2 verplicht voor KMO's?
Ja, voor middelgrote bedrijven
KMO's met minstens 50 werknemers én €10 miljoen omzet in een aangewezen sector vallen onder NIS2. Dit treft duizenden Belgische bedrijven.
Ook voor kleinere kritieke spelers
Zelfs kleinere KMO's kunnen verplicht zijn als ze een unieke kritieke dienst leveren, zoals de enige zorgverlener in een regio of een cruciale leverancier.
Indirecte impact via ketens
Kleine toeleveranciers van NIS2-bedrijven worden niet direct verplicht, maar kunnen wel contractueel gevraagd worden om vergelijkbare maatregelen te nemen.
Het antwoord is dus genuanceerd: veel KMO's vallen onder NIS2, maar niet allemaal. De sector waarin u actief bent en uw rol in de dienstverlening zijn bepalend.
Belgische voorbeelden
Typische sectoren in België onder NIS2
Productie & farmaceutica
Belgische farmabedrijven, chemische productie, en fabrikanten van medische apparatuur vallen vaak onder essentiële entiteiten vanwege hun kritieke rol in de gezondheidszorg.
Digitale dienstverleners
Cloud providers, datacenters, managed service providers en cybersecurity-bedrijven zijn belangrijke entiteiten. Ook trustdienstverleners vallen hieronder.
Transport & logistiek
Havenbedrijven, luchtvaartmaatschappijen, spoorwegondernemingen en grote logistieke dienstverleners zijn essentiële entiteiten vanwege hun maatschappelijke rol.
Voedselproductie
Grote voedingsproducenten en distributeurs kunnen onder NIS2 vallen, vooral wanneer ze een significante rol spelen in de voedselzekerheid.
Veelgemaakte misverstanden over NIS2
❌ "Wij zijn een KMO, dus NIS2 geldt niet voor ons"
Fout. Middelgrote bedrijven (50+ werknemers, €10M+ omzet) in aangewezen sectoren vallen wel degelijk onder NIS2. Ook kleinere kritieke dienstverleners kunnen verplicht zijn.
❌ "We zijn geen IT-bedrijf, dus NIS2 is niet relevant"
Onjuist. NIS2 gaat over cybersecurity in 18 verschillende sectoren: van gezondheidszorg tot productie, van energie tot afvalwater. IT is slechts één sector van vele.
❌ "We hebben al ISO 27001, dus we zijn klaar"
Niet helemaal. ISO 27001 helpt wel, maar NIS2 heeft specifieke extra eisen zoals incident reporting binnen 24 uur en persoonlijke aansprakelijkheid van het management.
❌ "NIS2 geldt alleen voor grote multinationals"
Onwaar. Duizenden Belgische middelgrote bedrijven vallen eronder. De definitie van 'middelgroot' (50+ werknemers) treft veel meer organisaties dan verwacht.
Zelftest
Checklist: Valt mijn bedrijf onder NIS2?
Doorloop deze checklist om snel te bepalen of NIS2 van toepassing is op uw organisatie. Bij drie of meer 'ja'-antwoorden is de kans groot dat u verplichtingen heeft.
Tel alle werknemers in België, inclusief parttime en tijdelijke krachten (omgerekend naar voltijdse equivalenten).
Behaalt u een jaaromzet van minstens €10 miljoen?
Kijk naar de meest recente jaarrekening. Bij twijfel: bereken het gemiddelde van de afgelopen twee jaar.
Zou een verstoring van uw diensten aanzienlijke gevolgen hebben?
Denk aan impact op volksgezondheid, openbare veiligheid, economische activiteiten of de maatschappij. Bent u moeilijk vervangbaar?
Beheert u kritieke infrastructuur of essentiële digitale diensten?
Denk aan netwerken, datacenters, clouddiensten, of systemen waarvan anderen afhankelijk zijn voor hun bedrijfsvoering.
Werkt u samen met overheden of andere NIS2-plichtige organisaties?
Levert u diensten aan ziekenhuizen, overheidsinstellingen, nutsbedrijven of andere kritieke sectoren? Dan kunt u indirect verplicht worden.
Wat als uw bedrijf onder NIS2 valt?
Heeft u vastgesteld dat uw onderneming onder NIS2 valt? Dan moet u snel actie ondernemen. De richtlijn is sinds oktober 2024 van kracht en de handhaving is gestart.
Belangrijkste verplichtingen:
Implementeer passende technische en organisatorische maatregelen
Stel een incidentresponsplan op en test dit regelmatig
Meld significante cyberincidenten binnen 24 uur
Train uw personeel in cybersecurity awareness
Zorg voor supply chain security bij toeleveranciers
Maak het management verantwoordelijk en aansprakelijk
De sancties bij niet-naleving kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en €7 miljoen of 1,4% voor belangrijke entiteiten.
24u
Meldingstermijn
Maximale tijd voor eerste incident melding
€10M
Maximale boete
Voor essentiële entiteiten
18
Sectoren
Vallen onder de richtlijn
Praktische stappen om te starten
Beoordeel uw huidige situatie
Voer een gap-analyse uit tussen uw huidige cybersecurity-maatregelen en de NIS2-eisen. Identificeer waar u tekortschiet en prioriteer verbeteringen.
Documenteer beleid en procedures
Stel formeel beleid op voor risicobeheer, incidentrespons, business continuity, supply chain security, en security awareness training.
Implementeer technische maatregelen
Versterk uw beveiliging met multi-factor authenticatie, encryptie, netwerkbeveiliging, toegangscontroles en regelmatige security updates.
Betrek het management
Zorg dat de directie en raad van bestuur hun verantwoordelijkheid begrijpen. Organiseer governance-structuren en rapportage over cybersecurity-risico's.
Hulp nodig bij NIS2-compliance?
De NIS2-richtlijn brengt aanzienlijke verplichtingen met zich mee, maar u hoeft dit niet alleen te doen. Specialisten kunnen u helpen met een grondige gap-analyse, het opstellen van compliant beleid, en de implementatie van de juiste technische maatregelen.
Onzeker over uw status?
Laat een expert uw situatie beoordelen en krijg duidelijkheid of NIS2 op uw organisatie van toepassing is.
Wilt u compliant worden?
Volg een gestructureerd implementatietraject met gap-analyse, roadmap en praktische ondersteuning bij alle stappen.
Blijf op de hoogte
De wetgeving evolueert. Abonneer u op updates en richtlijnen specifiek voor de Belgische context en uw sector.
Let op: Deze pagina biedt algemene informatie en vormt geen juridisch advies. Voor een definitief antwoord op de vraag of uw bedrijf onder NIS2 valt, raadpleeg een gespecialiseerde juridisch-technisch adviseur of de bevoegde Belgische autoriteiten.