Welke organisaties vallen onder de NIS2-wet in België?

In België vallen entiteiten onder de NIS2-wet als zij diensten leveren in sectoren uit bijlage I of II, minstens een middelgrote onderneming zijn en in België gevestigd zijn. Daarnaast zijn onder meer exploitanten van kritieke infrastructuur en bepaalde aanbieders van elektronische communicatienetwerken altijd onderworpen, ongeacht omvang.

Wat is het verschil tussen essentiële en belangrijke entiteiten?

Het onderscheid hangt af van sector en bedrijfsgrootte. Bijlage I-diensten door grote ondernemingen vallen onder essentiële entiteiten; middelgrote ondernemingen in bijlage I en alle bijlage II-diensten vallen onder belangrijke entiteiten. Essentiële entiteiten staan onder strenger toezicht.

Welke beveiligingsmaatregelen zijn verplicht onder NIS2?

NIS2 vereist minimaal maatregelen zoals risicoanalyse, incidentmanagement, bedrijfscontinuïteit, ketenbeveiliging, veilige ontwikkeling van systemen, evaluatie van beveiligingsmaatregelen, cyberhygiëne, encryptiebeleid, personeels- en toegangsbeveiliging, MFA en procedures voor kwetsbaarheden.

Wat zijn de sancties bij niet-naleving van NIS2?

Het CCB kan administratieve maatregelen opleggen zoals waarschuwingen, schorsing van vergunningen of een verbod op leidinggevende functies. Geldboetes variëren van 500 tot 10.000.000 euro en kunnen bij herhaling binnen drie jaar worden verdubbeld.

NIS2 België: verplichtingen, wetgeving en compliance voor uw organisatie

De oorspronkelijke NIS1-richtlijn (EU) 2016/1148 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen is deze vervangen door de NIS2-richtlijn (EU) 2022/2555 . Deze nieuwe Europese wetgeving legt strengere eisen op, verruimt het toepassingsgebied en verhoogt de weerbaarheid van kritieke infrastructuren. Daarmee vormt NIS2 een essentieel kader voor cyberbeveiliging in België.

De Belgische NIS2-wet van 26 april 2024 , aangevuld met het Koninklijk Besluit van 9 juni 2024 , bepaalt de nationale verplichtingen voor organisaties. Deze wetgeving bevat onder meer de NIS2-maatregelen, registratieplichten, rapportageverplichtingen en de voorwaarden voor toezicht en sancties.

Op deze pagina vindt u een volledig overzicht van de NIS2 verplichtingen in België, de NIS2 eisen, de impact op uw organisatie, en hoe u aantoonbaar kunt voldoen aan de Belgische NIS2-wet via NIS2 compliance en eventuele NIS2 certificering. Wilt u zekerheid over de status van uw organisatie of weten welke stappen u moet zetten? Neem dan tijdig maatregelen om klaar te zijn voor de Belgische NIS2-inwerkingtreding.

Toepassingsgebied van de NIS2-wet in België

Om te bepalen of uw organisatie binnen het toepassingsgebied van de Belgische NIS2-wet valt, wordt gekeken naar: (1) de geleverde diensten, (2) de omvang van de entiteit en (3) de vestiging in België. Voldoet uw organisatie aan alle drie de criteria, dan valt zij in principe onder de NIS2-verplichtingen.

Uw organisatie levert diensten binnen een sector die is opgenomen in Bijlage I of Bijlage II van de NIS2-wet;
Uw organisatie overschrijdt de drempelwaarden voor middelgrote ondernemingen; en
Uw organisatie is in België gevestigd.

Los van deze criteria vallen de volgende organisaties automatisch onder de NIS2-wet:

Exploitanten van kritieke infrastructuur volgens de wet van 1 juli 2011 inzake de beveiliging en bescherming van kritieke infrastructuur, ongeacht hun omvang;
Aanbieders van essentiële diensten (AED) of digitale dienstverleners (DSP) zoals beschreven in de NIS1-wet, indien zij de omvangdrempels overschrijden.

Criteria 1: geleverde diensten

In Bijlage I, Bijlage II en Hoofdstuk 2 ‘Definities’ van de NIS2-wet worden de sectoren beschreven die onder de wetgeving vallen. Het is daarom van groot belang om uw geleverde diensten per (sub)sector grondig te analyseren.

Bijlage I: Zeer kritieke sectoren	Bijlage II: Andere kritieke sectoren
Energie • Elektriciteit • Stadsverwarming en -koeling • Aardolie • Aardgas • Waterstof	Post- en koeriersdiensten
Vervoer • Lucht • Spoor • Water • Weg	Afvalbeheer
Bankwezen	Vervaardiging, productie en distributie van chemische stoffen
Infrastructuur van de financiële markt	Productie, verwerking en distributie van levensmiddelen
Gezondheidszorg	Vervaardiging: • Medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek • Informatica-, elektronische en optische producten • Elektrische apparatuur • Machines, apparaten en werktuigen • Motorvoertuigen, aanhangers en opleggers • Andere transportmiddelen
Drinkwater	Digitale aanbieders
Afvalwater	Onderzoek
Digitale infrastructuur
Beheer van ICT-diensten (business-to-business)
Overheid
Ruimtevaart

Wanneer uw organisatie een dienst aanbiedt die voorkomt in deze tabel én voldoet aan de criteria voor bedrijfsgrootte en vestiging, valt zij in principe binnen het toepassingsgebied van de NIS2-wet in België.

Criteria 2: bedrijfsgrootte

Naast de geleverde diensten speelt de omvang van de entiteit een belangrijke rol bij het bepalen of zij onder de NIS2-wet valt. Volgens de Europese definitie in Aanbeveling 2003/631/EG worden ondernemingen ingedeeld op basis van het aantal werknemers, de jaaromzet en/of het jaarlijkse balanstotaal.

	Micro- of kleine onderneming	Middelgrote onderneming	Grote onderneming
Aantal VTE	< 50 VTE	≥ 50 VTE en < 250 VTE	> 250 VTE
Jaaromzet (in €)	≤ 10 mln.	> 10 mln. en ≤ 50 mln.	> 50 mln.
Balanstotaal (in €)	≤ 10 mln.	> 10 mln. en ≤ 43 mln.	> 43 mln.

Voorbeeld: een bedrijf met 55 VTE (middelgroot), een jaaromzet van € 20 mln. (middelgroot) en een balanstotaal van € 50 mln. (groot) wordt geclassificeerd als middelgrote onderneming.

De combinatie van sector (Bijlage I of Bijlage II) en bedrijfsgrootte leidt tot de volgende indeling van NIS2-entiteiten:

	Middelgrote onderneming	Grote onderneming
Diensten van Bijlage I	Belangrijke entiteit	Essentiële entiteit
Diensten van Bijlage II	Belangrijke entiteit	Belangrijke entiteit

Bij het bepalen van de bedrijfsgrootte en classificatie gelden enkele belangrijke aandachtspunten:

Wanneer de entiteit deel uitmaakt van een groep, moeten bij het berekenen van de bedrijfsgrootte de geconsolideerde gegevens worden gebruikt.
Bepaalde entiteiten vallen ongeacht hun omvang onder het toepassingsgebied van de NIS2-wet:
- Gekwalificeerde aanbieders van vertrouwensdiensten (essentieel);
- Niet-gekwalificeerde aanbieders van vertrouwensdiensten (belangrijk voor micro-, kleine of middelgrote ondernemingen; essentieel voor grote ondernemingen);
- DNS-serviceproviders (essentieel);
- TLD-naamregisters (essentieel);
- Domeinnaamregistratiediensten (voor de registratieverplichting);
- Aanbieders van openbare elektronische communicatienetwerken (essentieel);
- Aanbieders van openbare elektronische communicatiediensten (essentieel);
- Entiteiten die zijn aangemerkt als exploitanten van kritieke infrastructuur volgens de wet van 1 juli 2011 (essentieel);
- Overheden die afhankelijk zijn van de Federale Staat (essentieel).
De nationale autoriteit voor cyberbeveiliging (CCB) kan in specifieke gevallen bijkomend entiteiten aanduiden als essentieel of belangrijk.

Criteria 3: gevestigde entiteit in België

In principe is de Belgische NIS2-wet van toepassing op entiteiten met een vestiging in België. Bij wijze van uitzondering zijn echter ook andere entiteiten onderworpen aan de NIS2-verplichtingen wanneer zij diensten in België aanbieden of een wettelijke vertegenwoordiger in België hebben.

Aanbieders van openbare elektronische communicatienetwerken of -diensten die hun diensten in België aanbieden;
DNS-dienstverleners, TLD-registers, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputing, datacentrumdiensten, netwerken voor de levering van inhoud, beheerde diensten en beheerde beveiligingsdiensten, alsook aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten, indien zij hun hoofdvestiging of EU-vertegenwoordiger in België hebben;
Overheidsinstanties die door België zijn opgericht.

Daarnaast kan een organisatie die niet standaard als NIS2-entiteit wordt aangemerkt, toch geaffecteerd worden door de NIS2-wet wanneer:

het CCB de entiteit aanduidt als essentiële of belangrijke entiteit; of
de organisatie deel uitmaakt van de (digitale) toeleveringsketen van een NIS2-entiteit.

Wilt u toetsen of uw organisatie binnen het NIS2-toepassingsgebied in België valt? Gebruik dan de NIS2 Scope Test Tool van het CCB.

Wat zijn de NIS2-verplichtingen voor organisaties in België?

Organisaties die onder de NIS2-wetgeving in België vallen, moeten voldoen aan een reeks wettelijke verplichtingen op het gebied van registratie, cyberbeveiligingsmaatregelen, incidentrapportage, managementverantwoordelijkheden en samenwerking met de autoriteiten. Deze verplichtingen vormen de basis van een aantoonbaar NIS2-compliant beveiligingsniveau.

Onderstaand overzicht biedt u een helder, gestructureerd beeld van wat u tijdig moet regelen om juridische risico’s en mogelijke boetes te vermijden.

1. Registratie op Safeonweb@Work

Waarom is registratie verplicht?
Zonder registratie wordt uw organisatie niet erkend als NIS2-entiteit en voldoet u niet aan de Belgische wet. Registratie is daarom de eerste stap richting formele NIS2-compliance.

Registratie verloopt via het officiële Safeonweb@Work-platform. Dit geldt voor alle essentiële en belangrijke entiteiten. Ook organisaties die niet onder de wet vallen worden aanbevolen zich te registreren, zodat zij gebruik kunnen maken van ondersteunende diensten van het CCB.

Wie mag registreren?
Een wettelijke vertegenwoordiger of een medewerker met een geautoriseerde rol in Mijn eGov Rolbeheer. Organisaties moeten daarnaast zijn opgenomen in de KBO. Is er geen KBO-nummer aanwezig, dan moet contact worden opgenomen met het CCB via nis@ccb.belgium.be.

Registratiedeadlines

Uiterlijk 18 december 2024 voor:

DNS-dienstverleners
TLD-registers
Domeinnaamregistratiediensten
Cloudcomputingdiensten
Datacentrumdiensten
Content Delivery Networks (CDN)
Managed service providers (MSP)
Managed security service providers (MSSP)
Onlinemarktplaatsen
Onlinezoekmachines
Platforms voor sociale netwerkdiensten

Uiterlijk 18 maart 2025 voor:

Essentiële en belangrijke entiteiten
Domeinnaamregistratiediensten (algemene verplichting)

Meer informatie is beschikbaar via de supportpagina van Safeonweb@Work.

Wilt u advies over het correct doorlopen van het registratieproces? Neem contact op via de contactpagina.

2. Verplichte cyberbeveiligingsmaatregelen

De NIS2-wet vereist dat essentiële en belangrijke entiteiten kunnen aantonen dat zij een passend niveau van cyberbeveiliging hebben. Dit gaat zowel over technische als organisatorische maatregelen en moet proportioneel zijn aan de risico’s, bedrijfsomvang en mogelijke maatschappelijke impact.

De 11 verplichte cyberbeveiligingsmaatregelen zijn:

Beleid voor risicoanalyse en beveiliging van informatiesystemen
Incidentenbeheer
Bedrijfscontinuïteit en crisisbeheer
Beveiliging van de toeleveringsketen
Veilig ontwerpen, onderhouden en ontwikkelen van IT-systemen (inclusief kwetsbaarhedenbeheer)
Beoordeling van de effectiviteit van beveiligingsmaatregelen
Cyberhygiëne en opleiding van personeel
Beleid rond cryptografie en encryptie
Personeels- en toegangsbeveiliging, inclusief assetmanagement
Multifactorauthenticatie en veilige communicatie (indien passend)
Gecoördineerde bekendmaking van kwetsbaarheden

Details zijn uitgewerkt in de Uitvoeringsverordening 2024/2690.

Wilt u inzicht in uw huidige beveiligingsniveau? Vraag advies aan via de contactpagina.

3. Rapportageverplichtingen bij significante incidenten

Wanneer zich een significant incident voordoet, moeten essentiële en belangrijke entiteiten dit verplicht melden aan het CCB. Indien relevant moeten ook afnemers van diensten op de hoogte worden gebracht.

Een significant incident omvat onder andere:

een ernstige operationele verstoring of financiële schade; of
aanzienlijke materiële of immateriële schade bij derden.

Verplichte meldingsprocedure:

Binnen 24 uur: vroegtijdige waarschuwing via het notificatieplatform
Binnen 72 uur: incidentmelding met initiële beoordeling
Tussentijds verslag op verzoek van CCB of sectorale autoriteit
Binnen 1 maand: eindverslag met oorzaak, impact en maatregelen
Indien het incident langer loopt: voortgangsverslag + eindverslag na afsluiting

De criteria zijn verder uitgewerkt in de Uitvoeringsverordening 2024/2690.

Wilt u zeker weten dat uw incidentresponsproces voldoet aan de NIS2-wet? Vraag ondersteuning aan via de contactpagina.

4. Verplichtingen en aansprakelijkheid van het management

Binnen NIS2 dragen bestuursorganen een expliciete verantwoordelijkheid voor cyberbeveiliging. Zij moeten aantonen dat zij voldoende kennis hebben, geïnformeerde beslissingen nemen en actief toezicht houden.

Verplichte NIS2-training
Formele goedkeuring van cyberbeveiligingsmaatregelen
Structureel toezicht op de implementatie en effectiviteit

Niet-naleving kan leiden tot persoonlijke aansprakelijkheid.

Wilt u managementtraining rondom NIS2? Bekijk de executive training.

5. Samenwerken met de autoriteiten

Alle NIS2-entiteiten zijn verplicht samen te werken met het CCB en sectorale autoriteiten, onder andere bij inspecties, incidentrapportages en informatie-uitwisseling.

Uitwisseling van informatie over dreigingen en beveiliging
Verstrekken van documentatie tijdens inspecties
Rapportage van (significante) incidenten
Meewerken aan audits en controles

Wilt u verifiëren of uw organisatie aan alle verplichtingen voldoet? Neem contact op via de contactpagina.

Hoe toon ik aan te voldoen aan de NIS2-vereisten in België?

Organisaties die onder de NIS2-wetgeving in België vallen, moeten aantonen dat zij beschikken over een passend niveau van cyberbeveiliging. Dit gebeurt via een formele conformiteitsbeoordeling. Welke procedure u moet volgen, hangt af van uw classificatie als essentiële of belangrijke entiteit.

Hieronder vindt u een volledig overzicht van de drie conformiteitsmogelijkheden in België: CyberFundamentals (CyFun), ISO/IEC 27001-certificering en inspectie door de autoriteiten. Deze pagina helpt u bepalen welke aanpak het beste past bij uw organisatie.

1. CyberFundamentals-label

Het CyberFundamentals-kader van het Centrum voor Cybersecurity België (CCB) is ontwikkeld om organisaties te ondersteunen in het versterken van hun cyberweerbaarheid en het reduceren van de meest voorkomende cyberdreigingen. Het framework onderscheidt vier niveaus: Small, Basic, Important en Essential. Elk niveau bevat een vastgelegde set maatregelen waaraan u moet voldoen.

Stappenplan voor het behalen van het CyFun-label

Bepaal uw CyFun-zekerheidsniveau via een risicobeoordeling. Gebruik hiervoor de CyFun Selection Tool.
Voer een Self Assessment uit en implementeer de noodzakelijke corrigerende maatregelen.
Laat de Self Assessment verifiëren of certificeren door een erkende Conformity Assessment Body (CAB).
Dien uw aanvraag voor het CyFun-label in via het Safeonweb@Work-portaal.

Het behalen van een CyFun-label biedt een vermoeden van conformiteit. Dat betekent dat uw organisatie geacht wordt aan de NIS2-verplichtingen te voldoen, tenzij het tegendeel wordt aangetoond.

2. ISO/IEC 27001-certificering

ISO/IEC 27001 is de internationale norm voor informatiebeveiliging en vormt een robuust, toekomstgericht kader voor het inrichten van een Information Security Management System (ISMS). Deze certificering wordt vaak gekozen door organisaties die internationale erkenning of een breed toepasbaar compliance-niveau nodig hebben.

Stappenplan voor ISO 27001-certificering

Verwerf de nodige inhoudelijke kennis over ISO/IEC 27001, bijvoorbeeld via een training.
Implementeer het ISMS volgens de normvereisten.
Voer interne audits uit binnen de organisatie.
Laat het management de auditresultaten beoordelen en neem corrigerende maatregelen. Leg dit vast in de directiebeoordeling.
Neem contact op met een geaccrediteerde CAB voor het uitvoeren van de externe audit.

ISO/IEC 27001-certificering biedt, net als CyFun, een officieel vermoeden van conformiteit met de NIS2-wet.

3. Inspectie door CCB of sectorale inspectiediensten

Organisaties kunnen er ook voor kiezen zich direct te laten inspecteren door het CCB of een sectorale inspectiedienst. Deze inspecties kunnen bestaan uit plaatsbezoeken, toezicht, ad-hoc audits, beveiligingsscans en het opvragen van documentatie.

Wanneer een entiteit niet reageert op verzoeken van de inspectiediensten, kunnen administratieve boetes worden opgelegd. Voor elke inspectie wordt een retributie in rekening gebracht.

Welke optie past het beste bij uw organisatie?

De juiste route hangt sterk af van uw organisatietype, internationale activiteiten en gewenste mate van certificeringsniveau.

ISO/IEC 27001 – geschikt voor organisaties die een internationaal erkend en toekomstgericht systeem willen opzetten.
CyberFundamentals – ideaal voor organisaties met een nationale focus of een kleiner risicoprofiel.
CCB-inspectie – relevant voor organisaties die direct door de autoriteit beoordeeld willen worden.

Heeft u vragen over de juiste conformiteitsroute? Neem contact op via de contactpagina.

How-to: Zo doorloopt u stap voor stap een NIS2-conformiteitstraject

Onderstaande praktische stappen helpen u om het NIS2-conformiteitstraject gestructureerd en aantoonbaar te doorlopen.

Stap 1 – Bepaal uw entiteitscategorie
Controleer of uw organisatie onder de NIS2-wet valt en of u als essentiële of belangrijke entiteit wordt gecategoriseerd.
Stap 2 – Kies uw conformiteitsroute
Selecteer één van de drie opties: CyFun, ISO/IEC 27001 of inspectie door CCB.
Stap 3 – Verzamel en analyseer bewijsstukken
Documenteer uw risicobeoordeling, beleidsmaatregelen, technische maatregelen en procesdocumentatie.
Stap 4 – Voer interne evaluaties uit
Denk aan interne audits, Self Assessments of gap-analyses.
Stap 5 – Schakel een CAB of CCB-inspectiedienst in
Doorloop verificatie, certificatie of inspectie.
Stap 6 – Bewaak en verbeter continu
NIS2 vereist een doorlopende evaluatie en documentatie van cyberbeveiliging.

Wilt u begeleiding bij het doorlopen van deze stappen? Vraag ondersteuning via de contactpagina.

Sancties bij niet-naleving van de NIS2-wet in België

De NIS2-wetgeving in België voorziet in specifieke sancties voor entiteiten die de wettelijke verplichtingen niet naleven. Deze NIS2-sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve geldboetes.

Administratieve maatregelen door het CCB

Het Centrum voor Cybersecurity België (CCB) kan verschillende administratieve maatregelen opleggen wanneer een NIS2-entiteit haar verplichtingen niet naleeft. Deze maatregelen zijn erop gericht om de naleving te herstellen en verdere risico’s te beperken.

Het geven van officiële waarschuwingen;
Het aanstellen van een controle- of toezichtsfunctionaris;
Het tijdelijk opschorten van een certificering of vergunning;
Het tijdelijk verbieden van het uitoefenen van bepaalde leidinggevende functies;
Andere corrigerende maatregelen die noodzakelijk worden geacht om NIS2-compliance te herstellen.

Administratieve geldboetes bij NIS2-overtredingen

Naast administratieve maatregelen kunnen ook administratieve geldboetes worden opgelegd. Deze zijn wettelijk vastgelegd en kunnen variëren van 500 tot 10.000.000 euro. Bij herhaaldelijke inbreuken binnen een periode van drie jaar kunnen de boetes worden verdubbeld.

Een gedetailleerd en actueel overzicht van de mogelijke NIS2-boetes in België en de bijbehorende administratieve maatregelen vindt u op de website van het CCB: administratieve maatregelen en boetes.

Wilt u het risico op NIS2-sancties voor uw organisatie beperken? Neem contact op via de contactpagina.

NIS2 België: Belangrijke deadlines en tijdslijn voor uw organisatie

De NIS2-wetgeving in België treedt in werking op 18 oktober 2024. Vanaf deze datum moeten alle NIS2-entiteiten voldoen aan de minimale set van cyberbeveiligingsmaatregelen, moeten significante incidenten volgens de wettelijke procedure worden gemeld en moeten bestuursorganen hun verantwoordelijkheden opnemen zoals voorgeschreven in de wet.

Daarnaast vallen organisaties vanaf de inwerkingtreding onder het toezicht van de bevoegde autoriteiten, waaronder het Centrum voor Cybersecurity België (CCB).

Registratieverplichtingen via Safeonweb@Work

Alle entiteiten die onder de Belgische NIS2-wet vallen, moeten zich registreren via het platform Safeonweb@Work. De algemene deadline hiervoor is 18 maart 2025.

Voor bepaalde categorieën geldt een vervroegde verplichting, met als uiterste datum 18 december 2024. Dit betreft onder meer:

DNS-dienstverleners
Registers voor topleveldomeinnamen
Aanbieders van domeinnaamregistratiediensten
Aanbieders van cloudcomputingdiensten
Aanbieders van datacentrumdiensten
Aanbieders van netwerken voor de levering van inhoud
Aanbieders van beheerde diensten en beheerde beveiligingsdiensten
Aanbieders van onlinemarktplaatsen
Aanbieders van onlinezoekmachines
Platforms voor sociale netwerkdiensten

Deadlines voor conformiteitsbeoordeling

Voor essentiële NIS2-entiteiten gelden bijkomende verplichtingen rond periodieke conformiteitsbeoordeling. Organisaties kunnen hiervoor kiezen uit het CyberFundamentals Framework, een ISO/IEC 27001-certificatie of een inspectie door het CCB of een sectorale inspectiedienst.

1. CyberFundamentals Framework

1.1 Zekerheidsniveau Basic

Organisaties die conform hun risicobeoordeling moeten voldoen aan het niveau Basic, moeten uiterlijk 18 april 2026 beschikken over een Basic-verificatie toegekend door een erkende CAB.

1.2 Zekerheidsniveau Important

Voor het niveau Important gelden twee stappen:

Uiterlijk 18 april 2026: een Basic-verificatie of een Important-verificatie.
Uiterlijk 18 april 2027: indien eerst een Basic-verificatie is behaald, moet tegen deze datum een Important-verificatie worden verkregen.

1.3 Zekerheidsniveau Essential

Voor organisaties die aan het niveau Essential moeten voldoen, gelden de volgende deadlines:

Uiterlijk 18 april 2026: beschikken over een Basic- of Important-verificatie.
Uiterlijk 18 april 2027: behalen van een Essential-certificering.

2. ISO/IEC 27001-certificatie

Organisaties die kiezen voor een ISO/IEC 27001-certificatie moeten:

Uiterlijk 18 april 2026 hun toepassingsgebied en Statement of Applicability (SoA) indienen bij het CCB.
Uiterlijk 18 april 2027 gecertificeerd zijn door een geaccrediteerde CAB.

3. Inspectie door het CCB of sectorale inspectiedienst

Organisaties die kiezen voor een inspectie moeten uiterlijk 18 april 2026 hun CyFun-zelfbeoordeling (Basic of Important), of hun ISO/IEC 27001-informatiebeveiligingsbeleid, toepassingsgebied en SoA aanleveren bij het CCB.

Uiterlijk 18 april 2027 moet een voortgangsverslag worden ingediend over de conformiteit en uitgevoerde verbetermaatregelen.

Bron: Safeonweb.be, geraadpleegd op 27/03/2025

Heeft u vragen over de NIS2-deadlines of wilt u zich tijdig voorbereiden? Neem contact op via de contactpagina.

Bevoegde autoriteiten voor NIS2 in België

Voor de NIS2-wetgeving in België zijn verschillende bevoegde autoriteiten betrokken bij registratie, toezicht, incidentmelding en conformiteitsbeoordeling. De belangrijkste rol is weggelegd voor het Centrum voor Cybersecurity België (CCB), aangevuld met sectorale inspectiediensten en andere bevoegde overheden.

Onderstaande tabel geeft een overzicht van de kernspelers binnen het NIS2-toezicht in België en hun rol in de NIS2-compliance van uw organisatie.

Autoriteit	Rol binnen de NIS2-wetgeving
Centrum voor Cybersecurity België (CCB)	Nationale autoriteit voor cyberbeveiliging en centraal aanspreekpunt voor de Belgische NIS2-wet. Verantwoordelijk voor registratie van NIS2-entiteiten via Safeonweb@Work, beheer van het notificatieplatform voor significante incidenten, uitwerking van richtlijnen, opvolging van conformiteitsbeoordelingen en opleggen van administratieve maatregelen en administratieve boetes.
Nationaal CSIRT (rol vervuld door het CCB)	Treedt op als nationaal Computer Security Incident Response Team. Ontvangt meldingen van significante incidenten van essentiële en belangrijke entiteiten, verwerkt vroege waarschuwingen, incidentmeldingen, tussentijdse verslagen en eindverslagen en ondersteunt bij opvolging en rapportage.
Sectorale inspectiediensten en bevoegde overheden	Voeren toezicht uit binnen hun eigen sector op basis van de NIS2-wet. Kunnen inspecties ter plaatse organiseren, informatie en bewijsmateriaal opvragen, ad-hocaudits en beveiligingsscans uitvoeren en bijdragen aan de beoordeling van de NIS2-conformiteit van entiteiten in hun sector.

Rol van het CCB binnen NIS2 België

Het Centrum voor Cybersecurity België (CCB) vervult een centrale rol binnen NIS2 België. Het CCB beheert onder meer de registratie van NIS2-entiteiten via Safeonweb@Work, het notificatieplatform voor significante incidenten en de opvolging van conformiteitsbeoordelingen (zoals CyFun, ISO/IEC 27001 of inspecties). Daarnaast kan het CCB in bepaalde omstandigheden zelf bepalen dat een entiteit als essentieel of belangrijk wordt aangemerkt in het kader van de NIS2-wet.

Sectorale inspectiediensten en toezicht

Naast het CCB spelen sectorale inspectiediensten en bevoegde overheden een belangrijke rol in het NIS2-toezicht. Zij kunnen onder meer:

inspecties ter plaatse en toezicht ter plaatse uitvoeren;
informatie, documentatie en bewijsmateriaal opvragen;
beveiligingsscans en ad-hocaudits laten uitvoeren;
bijdragen aan de beoordeling van de conformiteit met de NIS2-verplichtingen.

Bij het niet beantwoorden van verzoeken van deze inspectiediensten kunnen administratieve boetes worden opgelegd in het kader van de Belgische NIS2-wet.

Heeft u vragen over NIS2-autoriteiten en toezicht in België of wilt u uw positie als NIS2-entiteit verduidelijken? Neem contact op via de contactpagina.

Veelgestelde vragen over NIS2 in België

Onderstaande FAQ bundelt de meest gestelde vragen over NIS2 België, het toepassingsgebied, de NIS2-verplichtingen, de rapportage van significante incidenten en de mogelijkheden om NIS2-compliance aan te tonen.

1. Valt mijn organisatie onder de NIS2-wet in België?

Uw organisatie valt in principe onder de Belgische NIS2-wet wanneer:

u diensten levert binnen een sector die is opgenomen in bijlage I of bijlage II van de NIS2-wet;
u de drempelwaarden voor een middelgrote onderneming overschrijdt; en
u in België gevestigd bent.

Daarnaast vallen onder meer exploitanten van kritieke infrastructuur, bepaalde aanbieders van essentiële diensten en digitale-dienstverleners automatisch onder de NIS2-wet, ongeacht hun omvang. Het CCB kan een entiteit ook expliciet als essentiële of belangrijke NIS2-entiteit aanduiden.

Twijfelt u of uw organisatie binnen het toepassingsgebied van NIS2 valt? Dan kunt u gebruikmaken van de NIS2 Scope Test Tool van het CCB.

2. Wat is het verschil tussen een essentiële en een belangrijke NIS2-entiteit?

Het onderscheid tussen essentiële en belangrijke entiteiten is gebaseerd op:

de sector waarin u actief bent (bijlage I of bijlage II), en
de bedrijfsgrootte (middelgroot of groot).

Essentiële entiteiten zijn onderworpen aan zowel proactief als reactief toezicht en moeten regelmatige conformiteitsbeoordelingen ondergaan (bijvoorbeeld via CyFun, ISO/IEC 27001 of inspectie). Belangrijke entiteiten vallen in principe onder reactief toezicht na incidenten of bij signalen van niet-naleving, maar kunnen vrijwillig kiezen voor regelmatige conformiteitsbeoordeling om een vermoeden van conformiteit te verkrijgen.

3. Tegen wanneer moet ik mijn NIS2-entiteit registreren in België?

Alle NIS2-entiteiten in België moeten zich registreren via Safeonweb@Work. De belangrijkste deadlines zijn:

Uiterlijk 18 december 2024 voor onder meer DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van domeinnaamregistratiediensten, cloudcomputingdiensten, datacentrumdiensten, netwerken voor de levering van inhoud, beheerde (beveiligings)diensten, onlinemarktplaatsen, onlinezoekmachines en platforms voor sociale netwerkdiensten.
Uiterlijk 18 maart 2025 voor essentiële en belangrijke entiteiten en aanbieders van domeinnaamregistratiediensten (algemene registratieverplichting).

Registratie verloopt via het online registratieplatform. Meer informatie vindt u op de Safeonweb@Work-supportpagina.

4. Welke cyberbeveiligingsmaatregelen vereist NIS2 in België?

Essentiële en belangrijke NIS2-entiteiten moeten een passend niveau van cyberbeveiliging aantonen. De Belgische NIS2-wet schrijft minimaal elf categorieën van maatregelen voor, waaronder:

beleid voor risicoanalyse en beveiliging van informatiesystemen;
incidentenbeheer;
bedrijfscontinuïteit en crisisbeheer;
beveiliging van de toeleveringsketen;
beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen;
beleid en procedures om de effectiviteit van maatregelen te beoordelen;
cyberhygiëne en opleidingen op het gebied van cyberbeveiliging;
beleid en procedures rond cryptografie en encryptie;
beveiligingsaspecten rond personeel, toegangsbeheer en beheer van activa;
meerstapsverificatie, beveiligde communicatie en noodcommunicatie (waar passend);
beleid voor gecoördineerde bekendmaking van kwetsbaarheden.

De uitvoeringsverordening 2024/2690 werkt deze maatregelen verder uit voor onder andere DNS-dienstverleners, cloudproviders, datacenters, beheerde (beveiligings)diensten, onlinemarktplaatsen, onlinezoekmachines, platforms voor socialenetwerkdiensten en verleners van vertrouwensdiensten.

5. Hoe kan ik aantonen dat mijn organisatie voldoet aan NIS2 in België?

Er zijn drie hoofdopties om NIS2-conformiteit aan te tonen:

CyberFundamentals (CyFun): label met niveaus Small, Basic, Important en Essential, gebaseerd op concrete beheersmaatregelen en een risicogebaseerde aanpak.
ISO/IEC 27001-certificering: internationaal erkende norm voor informatiebeveiliging en het opzetten, implementeren, onderhouden en continu verbeteren van een ISMS.
Inspectie door CCB of sectorale inspectiedienst: rechtstreekse controle door de autoriteiten, op basis van onder meer zelfbeoordelingen, beleid, scope en SoA.

De conformiteitsattesten of certificaten die hieruit voortkomen, geven een vermoeden van conformiteit: de entiteit wordt geacht te voldoen aan de NIS2-verplichtingen totdat het tegendeel wordt aangetoond.

6. Wat zijn mijn meldingsverplichtingen bij een significant incident?

Bij een significant incident moeten essentiële en belangrijke NIS2-entiteiten het nationale CSIRT (in België het CCB) informeren en, indien van toepassing, ook de ontvangers van hun diensten.

De meldingsprocedure omvat onder meer:

Binnen 24 uur: een vroegtijdige waarschuwing via het notificatieplatform, met vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen.
Binnen 72 uur: een incidentenmelding met een informatie-update en een initiële beoordeling van het incident.
Op verzoek: een tussentijds verslag.
Uiterlijk 1 maand na de incidentenmelding: een eindverslag met beschrijving, ernst, oorzaak, genomen en lopende maatregelen en eventuele grensoverschrijdende gevolgen.
Indien het incident nog loopt na één maand: een voortgangsverslag en later een definitief eindverslag.

Alle entiteiten kunnen vrijwillig (bijna-)incidenten, cyberdreigingen en significante incidenten melden via het notificatieplatform, ook als zij formeel geen NIS2-entiteit zijn.

7. Welke sancties gelden bij niet-naleving van NIS2 in België?

Bij niet-naleving van de NIS2-wetgeving in België kunnen zowel administratieve maatregelen als administratieve boetes worden opgelegd. Mogelijke maatregelen zijn onder andere:

waarschuwingen;
het aanstellen van een controlefunctionaris;
tijdelijke opschorting van een certificering of vergunning;
tijdelijk verbod om bepaalde leidinggevende functies uit te oefenen.

Administratieve boetes zijn wettelijk vastgelegd en kunnen variëren van 500 euro tot 10.000.000 euro. Bij herhaaldelijke inbreuken binnen een periode van drie jaar kunnen deze boetes worden verdubbeld.

8. Heeft NIS2 impact als mijn organisatie geen NIS2-entiteit is?

Ja. Ook als uw organisatie niet rechtstreeks als NIS2-entiteit wordt geclassificeerd, kunt u toch door NIS2 in België worden geraakt. Dat kan onder meer het geval zijn wanneer:

het CCB uw organisatie alsnog aanduidt als essentiële of belangrijke entiteit; of
uw organisatie deel uitmaakt van de toeleveringsketen van een NIS2-organisatie.

In de praktijk betekent dit dat ook leveranciers, dienstverleners en andere ketenpartners hun cyberbeveiliging op orde moeten hebben om aan de verwachtingen van NIS2-entiteiten te voldoen.

Heeft u nog vragen over NIS2 in België of wilt u sparren over de impact op uw organisatie? Neem contact op via de contactpagina.