top of page
logo.png
rood vlak

NIS2 in België: wat verandert er en wat moet uw onderneming nú doen?

  • Foto van schrijver: Olivier Sustronck
    Olivier Sustronck
  • 11 apr
  • 7 minuten om te lezen

Bijgewerkt op: 14 apr

NIS2 in België: digitale beveiliging voor Belgische ondernemingen

Cybersecurity is geen optie meer — het is een wettelijke verplichting. Sinds 18 oktober 2024 is de NIS2-wet van kracht in België. Ons land was zelfs het eerste EU-lidstaat dat de Europese richtlijn volledig omzette in nationale wetgeving. Voor duizenden Belgische ondernemingen betekent dit concrete verplichtingen, deadlines en — bij niet-naleving — stevige boetes.


In dit artikel leggen we uit wat NIS2 inhoudt, voor wie het geldt en hoe u als onderneming stap voor stap in orde kunt komen.


Wat is NIS2?


NIS2 staat voor "Network and Information Security Directive 2" — de vernieuwde Europese richtlijn voor cybersecurity. De wet vervangt de oude NIS1-regelgeving uit 2019 en breidt het toepassingsgebied drastisch uit: van ongeveer 1.000 entiteiten naar maar liefst 10.000 tot 12.000 Belgische organisaties in 18 sectoren.


Het doel is duidelijk: de digitale weerbaarheid van kritieke en essentiële diensten in Europa versterken. Cybercriminaliteit neemt toe, en de overheid wil dat bedrijven hun verantwoordelijkheid nemen.


Valt uw onderneming onder NIS2?


Dit is de vraag die elke ondernemer zich als eerste moet stellen. De wet hanteert twee criteria:

 

1. Bent u actief in een van de 18 sectoren?

 

NIS2 onderscheidt twee categorieën:

 

Bijlage I – Essentiële sectoren: energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten (B2B), overheid en ruimtevaart.

 

Bijlage II – Belangrijke sectoren: post- en koeriersdiensten, afvalstoffenbeheer, chemische stoffen, levensmiddelen, vervaardiging (o.a. medische hulpmiddelen, elektronica, machines, voertuigen), digitale aanbieders en onderzoek.

 

Belangrijk: het volstaat dat u één van de genoemde activiteiten uitoefent — ook als die slechts een bijkomstig onderdeel is van uw totale bedrijfsvoering.

 

2. Heeft uw organisatie een zekere omvang?

 

De wet hanteert de Europese KMO-definitie:

 

- Middelgrote onderneming: minimum 50 werknemers (VTE) of meer dan €10 miljoen jaaromzet én/of balanstotaal (twee van de drie drempels overschreden)

- Grote onderneming: minimum 250 werknemers of meer dan €50 miljoen jaaromzet (twee van de drie drempels overschreden)

 

Let op: bij groepen van bedrijven worden de cijfers van moeder-, dochter- en partnerondernemingen geconsolideerd. Een holdingstructuur verandert daar in principe niets aan.

Tip: Ook als u zelf niet onder NIS2 valt, kunnen uw klanten die wél NIS2-plichtig zijn u via contractuele weg verplichten om gelijkwaardige beveiligingsnormen te hanteren. Cybersecurity wordt zo de standaard in de hele keten.

De belangrijkste deadlines op een rij


  1. Registreren


Elke NIS2-entiteit moest zich uiterlijk 18 maart 2025 registreren via het Safeonweb@Work-platform. Heeft u dat nog niet gedaan? Doe het dan vandaag nog — het duurt amper 15 minuten en is een absolute voorwaarde voor alles wat volgt.

 

2. Cyberbeveiligingsmaatregelen implementeren

 

Vanaf 18 oktober 2024 bent u verplicht concrete maatregelen te nemen. De wet schrijft een minimumlijst voor die onder meer omvat:

 

- Risicoanalyse en informatieveiligheidsbeleid

- Beheer van incidenten (detectie, respons, herstel)

- Business continuïteit en crisisbeheer

- Beveiliging van de toeleveringsketen

- Versleuteling en toegangsbeheer (inclusief MFA)

- Kwetsbaarheidsbeheer en patches

- Training van medewerkers én management

 

Het management draagt hierbij een persoonlijke aansprakelijkheid: bestuurders moeten de cyberbeveiligingsmaatregelen goedkeuren, opvolgen en er een opleiding over volgen.

 

3. Significante incidenten melden

 

Wanneer u een ernstig cyberincident meemaakt, gelden strikte meldingstermijnen:

 

- Binnen 24 uur: vroegtijdige waarschuwing aan het CCB

- Binnen 72 uur: formele incidentmelding

- Binnen 1 maand: eindrapport

 

Melden gebeurt via het nieuwe online formulier op notif.safeonweb.be — geen login vereist.


 

4. Deadline 18 april 2026: wat moet u bewijzen?

 

Dit is de mijlpaal die nu actueel is. Het gaat niet om het worden van compliant, maar om het aantonen dat u het al bent.

 

Er zijn twee erkende routes:

 

Route 1 – CyberFundamentals Framework (CyFun®)

Dit is het referentiekader ontwikkeld door het CCB, afgestemd op de Belgische context. Ongeveer 75% van de geregistreerde entiteiten kiest voor deze aanpak. Het framework kent vier niveaus: Basic, Important, Essential en Expert. Welk niveau voor u van toepassing is, hangt af van uw entiteitscategorie.

 

Route 2 – ISO/IEC 27001

Heeft u al een ISO 27001-certificering of bent u er dicht bij? Dan kunt u uw informatieveiligheidspolicy, scope en Statement of Applicability (SoA) aan het CCB bezorgen als bewijs van conformiteit.

 

Wat moet u doen voor 18 april 2026?


Entiteiten die kiezen voor het CyberFundamentals (CyFun®) Framework:


  • Entiteiten die op basis van hun risicobeoordeling bepalen dat ze moeten voldoen

aan het zekerheidsniveau Basic, hebben een deadline van 18 maanden (uiterlijk

op 18 april 2026) om een verificatie te verkrijgen door een geaccrediteerde en

erkende conformiteitsbeoordelingsinstantie (hierna “CAB”);

  • Entiteiten die op basis van hun risicobeoordeling bepalen dat ze moeten voldoen

aan het zekerheidsniveau Important, hebben een deadline van 18 maanden

(uiterlijk op 18 april 2026) om ofwel een Basic of een Important verificatie te

verkrijgen door een geaccrediteerde en erkende CAB.


Indien nodig kunnen zij een eerste verificatie op niveau Basic verkrijgen en na nog

eens 12 maanden een verificatie op niveau Important (uiterlijk op 18 april 2027);


  • Entiteiten die op basis van hun risicobeoordeling bepalen dat ze moeten voldoen

aan het zekerheidsniveau Essential, hebben een deadline van 18 maanden

(uiterlijk op 18 april 2026) om ofwel een Basic of een Important verificatie te

verkrijgen door een geaccrediteerde en erkende CAB.


Ze hebben een extra deadline van 12 maanden (uiterlijk op 18 april 2027)

waarbinnen ze een zekerheidsniveau Essential certificering moeten verkrijgen

door een geaccrediteerde en erkende CAB.


Entiteiten die kiezen voor ISO/IEC 27001-certificatie, moeten:


  • uiterlijk op 18 april 2026 het volgende indienen bij het CCB:

    • het toepassingsgebied van hun toekomstige certificatie

    • het statement of applicability (SoA) van hun toekomstige certificatie:

• met inbegrip van alle maatregelen voor cyberbeveiliging die

momenteel worden of zijn geïmplementeerd

• de maatregelen voor cyberbeveiliging moeten gelijkwaardig zijn

aan die welke worden genoemd in de CyFun®-zekerheidsniveaus

Basic, Important of Essential

  • de meest recente interne audit waarin de uitvoering van deze maatregelen

voor cyberbeveiliging wordt beoordeeld

  • uiterlijk op 18 april 2027 door een geaccrediteerde en erkende CAB

gecertificeerd zijn.


Entiteiten die ervoor kiezen om rechtstreeks door het CCB te worden geïnspecteerd:


  • Uiterlijk op 18 april 2026: hun zelfbeoordeling van CyFun® zekerheidsniveau

Basic of Important, of hun ISO/IEC 27001-informatiebeveiligingsbeleid, de meest recente interne audit, toepassingsgebied en statement of applicability (SoA) aan het CCB overmaken (zie details hierboven).

  • Uiterlijk op 18 april 2027: verslag over de voortgang m.b.t. de conformiteit.

 


Welke concrete maatregelen legt NIS2 op?


De NIS2-wet legt 11 minimummaatregelen op voor elke entiteit die in scope valt:

  1. Risicoanalyse en beveiligingsbeleid — breng uw risico’s in kaart en documenteer uw aanpak

  2. Incidentenbehandeling — zorg voor een duidelijk proces als er iets misgaat

  3. Bedrijfscontinuïteit — back-ups, noodplannen en crisisbeheer

  4. Beveiliging van de toeleveringsketen — controleer ook uw leveranciers en dienstverleners

  5. Beveiliging bij aankoop en onderhoud van systemen — kwetsbaarheden tijdig detecteren en aanpakken

  6. Beoordeling van de effectiviteit van maatregelen — periodiek evalueren of uw beveiliging nog up-to-date is

  7. Cyberhygiëne en opleiding — uw medewerkers zijn uw eerste verdedigingslinie

  8. Cryptografie en encryptie — beveilig gevoelige gegevens correct

  9. Toegangsbeheer en activabeheer — wie heeft toegang tot wat?

  10. Multifactorauthenticatie (MFA) — extra beschermingslaag voor aanmeldingen

  11. Gecoördineerde kwetsbaarheidsbekendmaking — meld kwetsbaarheden op een verantwoorde manier


Het management is niet vrijgesteld: bestuurders moeten de maatregelen goedkeuren, toezicht houden én een opleiding volgen. Bij niet-naleving kunnen zij persoonlijk aansprakelijk gesteld worden.


7 concrete actiepunten voor uw onderneming


Stap 1 – Bepaal uw toepassingsgebied

Analyseer welke diensten u levert en of deze beschreven staan als essentiële of belangrijke sector. Vergeet niet de groepsstructuur mee te nemen bij de berekening van uw omvang.

 

Stap 2 – Registreer u onmiddellijk

Als u onder de NIS2 valt en u zich nog niet hebt geregistreerd, doe dit dan zo snel mogelijk. Het platform is bereikbaar op atwork.safeonweb.be. Registratie is een juridische verplichting en de basis voor alle verdere stappen.

 

Stap 3 – Maak een gap-analyse

Beoordeel uw huidige cyberbeveiligingsniveau ten opzichte van het CyFun framework of ISO27001. Waar zitten de lacunes? Welke maatregelen ontbreken nog? Een professionele cybersecurity-audit helpt u dit snel in kaart te brengen.

 

Stap 4 – Stel een risicoanalyse op

NIS2 vereist een "all-hazards"-aanpak. Breng alle relevante cyberdreigingen in kaart en vertaal die naar concrete maatregelen, proportioneel aan uw risico en sector.

 

Stap 5 – Betrek het management

NIS2 legt de verantwoordelijkheid expliciet bij het bestuursorgaan. Zorg dat uw directie geïnformeerd en getraind is. Bestuursleden die hun verantwoordelijkheid niet nemen, riskeren persoonlijke sancties.

 

Stap 6 – Beveilig uw toeleveringsketen

Zelfs als uw leveranciers zelf niet onder NIS2 vallen, kunt u als NIS2-entiteit contractueel verplicht zijn om hen te screenen op cybersecuritynormen. En omgekeerd: als u levert aan een NIS2-entiteit, zult u binnenkort vragen krijgen over uw beveiligingsniveau.

 

Stap 7 – Zorg voor een meldprocedure

Implementeer een intern incidentresponsproces zodat u bij een significante cyberaanval binnen 24 uur kunt reageren. Wijs een verantwoordelijke aan en test de procedure regelmatig.



Wat als uw organisatie niet aan de verplichtingen voldoet?


De sancties zijn niet min. De boetes kunnen hoog oplopen:


  • Essentiële entiteiten: maximale boete van €10 miljoen of 2% van de wereldwijde omzet

  • Belangrijke entiteiten: maximale boete van €7 miljoen of 1,4% van de wereldwijde omzet


Naast boetes kan het CCB ook certificeringen intrekken, uw naam openbaar maken, of een controlefunctionaris aanstellen. Bestuurders riskeren een tijdelijk verbod op het uitoefenen van hun functie.


Uw leveranciers en partners: ook zij worden geraakt

 

Valt u zelf net buiten het toepassingsgebied van NIS2? Dan bent u toch niet gevrijwaard. Het CCB adviseert alle organisaties in de toeleveringsketen van NIS2-entiteiten om minimaal te voldoen aan CyFun® Basic. Steeds meer grote ondernemingen zullen dit contractueel opleggen aan hun leveranciers.

 

Bovendien kan het CCB organisaties die cruciaal zijn voor de maatschappij — ongeacht hun omvang — achteraf aanduiden als essentiële of belangrijke entiteit via de aanvullende identificatieprocedure.



Hoe kan Mr Franklin uw onderneming helpen?


Compliance dashboard — Mister Franklin begeleidt uw NIS2 en ISO 27001 traject

Mr Franklin begeleidt Belgische ondernemingen door het volledige NIS2-traject — van de eerste vraag tot bewezen conformiteit. We combineren juridische expertise met een diepgaande kennis van ISO 27001 en CyFun®.


Valt u onder NIS2?


Niet elke onderneming is automatisch in scope, maar de regels zijn complexer dan ze lijken. Groepsstructuren, partnerverbanden en sectorale uitzonderingen spelen allemaal een rol. Wij analyseren uw situatie juridisch en helpen u met zekerheid bepalen of — en in welke categorie — u onder de wet valt.


  • Juridische scope-analyse op maat

  • Beoordeling van groepsstructuren en consolidatieregels

  • Advies bij twijfelgevallen en grensgevallen


Voldoen aan de verplichtingen


Een NIS2-traject omvat zowel juridische als technische en organisatorische stappen. Mr Franklin coördineert het volledige proces:


  • NIS2-audit: analyse van uw huidige beveiligingsniveau ten opzichte van de 11 wettelijke minimummaatregelen

  • ISO 27001-begeleiding van A tot Z

  • Opstellen van NIS2-documentatie: informatiebeveiligingsbeleid, risicoregister, Statement of Applicability (SoA), procedures en werkinstructies

  • Begeleiding bij CyFun®: het juiste niveau bepalen en de maatregelen implementeren

  • DPO-as-a-Service: combineer uw NIS2/ISO 27001-traject met uw GDPR-verplichtingen

  • Contracten met leveranciers: NIS2-clausules voor uw toeleveringsketen

  • Opleiding voor management: de wettelijk verplichte opleiding voor uw bestuurders


Waarom werken met Mr Franklin?

Bij Mr Franklin zijn we gespecialiseerd in de kruising van juridisch advies en digitale compliance — GDPR, ISO 27001, NIS2 en IT-recht zijn ons dagelijks werk. Neem contact op voor een vrijblijvend gesprek.


bottom of page