NIS2 België: Wat betekent het voor uw organisatie en hoe voldoet u?

NIS2 Belgium

De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.

De NIS2-richtlijn werd omgezet in Belgisch recht via de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid en het koninklijk besluit van 9 juni 2024.

Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.

Betrokken sectoren en entiteiten

Om te bepalen of uw organisatie onder de Belgische NIS2-wet valt, zijn er enkele criteria op vlak van aangeboden diensten, de omvang van de entiteit en de vestiging van de entiteit. In principe valt de entiteit onder de NIS2-wet wanneer:

  1. Uw organisatie diensten levert binnen een sector die is opgenomen in bijlage I en bijlage II van de NIS2-wet;
  2. Uw organisatie de drempelwaarden voor middelgrote ondernemingen overschrijdt; en
  3. Uw organisatie in België gevestigd is.

Losstaand van deze criteria vallen volgende organisaties automatisch onder de NIS2-wet:

  • exploitanten van kritieke infrastructuur volgens de wet van 1 juli 2011 inzake de beveiliging en bescherming van kritieke infrastructuur, ongeacht hun omvang.
  • aanbieders van essentiële diensten (AED) of digitale-dienstverlener (DSP), zoals beschreven in de NIS1-wet die de omvangdrempels overschrijven

Criteria 1: geleverde diensten

In de wet worden in bijlage I en II en in Hoofdstuk 2 ‘Definities’ de sectoren beschreven die vallen onder de NIS2-wet. Het is dan ook van groot belang om uw geleverde diensten aan derden grondig te analyseren per (sub)sector.

Bijlage I: Zeer kritieke sectoren Bijlage II: Andere kritieke sectoren
Energie • Electriciteit • Stadsverwarming en -koeling • Aardolie • Aardgas • Waterstof Post- en koeriersdiensten
Vervoer • Lucht • Spoor • Water • Weg Afvalbeheer
Bankwezen Vervaardiging, productie en distributie van chemische stoffen
Infrastructuur van de financiële markt Productie, verwerking en distributie van levensmiddelen
Gezondheidszorg Vervaardiging •Medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek • Informaticaproducten en van elektronische en optische producten • Elektrische apparatuur • Machines, apparaten en werktuigen, n.e.g. • Motorvoertuigen, aanhangers en opleggers • Andere transportmiddelen
Drinkwater Digitale aanbieders
Afvalwater Onderzoek
Digitale infrastructuur
Beheer van ICT-diensten (business-to-business)
Overheid
Ruimtevaart

Indien uw organisatie een dienst uit bovenstaand overzicht levert en eveneens voldoet aan de overige 2 criteria met betrekking tot de bedrijfsgrootte en de link met België, valt de organisatie binnen het toepassingsgebied van de NIS2-wet.

Criteria 2: bedrijfsgrootte

Naast de geleverde diensten, speelt ook de omvang van de entiteit een rol in het bepalen van het al dan niet vallen in het toepassingsgebied van de NIS2-wet. In principe dient de entiteit minstens een middelgrote onderneming te zijn.

Volgens de Europese definitie, vastgelegd in Aanbeveling 2003/631/EG, worden ondernemingen ingedeeld in drie categorieën op basis van het aantal werknemers (gemeten in voltijdequivalenten (VTE) en op basis van hun financiële gegevens (jaaromzet en/of jaarlijks balanstotaal):

  Micro- of kleine onderneming Middelgrote onderneming Grote onderneming
Aantal VTE

< 50 VTE

≥ 50 VTE en < 250 VTE

> 250 VTE
Jaaromzet (in €) ≤ 10 mln. > 10 mln. en ≤ 50 mln. > 50 mln.
Balanstotaal (in €) ≤ 10 mln. > 10 mln. en ≤ 43 mln. > 43 mln.

Om de grootte van een organisatie te bepalen, wordt eerst het aantal werkzame personen binnen de entiteit bepaald. Vervolgens wordt de jaaromzet en de jaarlijkse balanstotaal nagegaan. Hierbij kan de onderneming kiezen om ofwel aan de grenswaarde van de jaaromzet te voldoen, ofwel aan die van het jaarlijkse balanstotaal. Eén van beiden kan aldus de grenswaarde overschrijven, zonder de KMO-status te impacteren.

Bijvoorbeeld: Een bedrijf die 55 VTE (middelgroot) telt, een jaaromzet heeft van 20 mln. euro (middelgroot) en een balanstotaal van 50 mln. euro (groot) wordt geclassificeerd als middelgrote onderneming.

Criteria 1 gecombineerd met criteria 2 leidt tot een onderverdeling tussen essentiële en belangrijke NIS2-entiteiten:

  Middelgrote onderneming Grote onderneming
Diensten van bijlage I Belangrijke entiteit Essentiële entiteit
Diensten van bijlage 2 Belangrijke entiteit Belangrijke entiteit

Bij het bepalen van de grootte van de entiteit dienen volgende aandachtspunten in rekening gebracht worden:

  • Wanneer de entiteit deel uitmaakt van een groep, dient men bij het berekenen van de bedrijfsgrootte de geconsolideerde gegevens te gebruiken.
  • Bepaalde entiteiten vallen ongeacht hun omvang onder het toepassingsgebied van de NIS2-wet:
    • Gekwalificeerde aanbieders van vertrouwensdiensten (essentieel)
    • Niet-gekwalificeerde verleners van vertrouwensdiensten (belangrijk voor micro-, kleine of middelgrote ondernemingen en essentieel voor grote ondernemingen)
    • DNS-serviceproviders (essentieel)
    • TLD-naamregisters (essentieel)
    • Domeinnaamregistratiediensten (alleen voor de registratieverplichting)
    • Aanbieders van openbare elektronische communicatienetwerken (essentieel)
    • Aanbieders van openbare elektronische communicatiediensten (essentieel)
    • Entiteiten die zijn aangemerkt als exploitanten van kritieke infrastructuur overeenkomstig de wet van 1 juli 2011 inzake de beveiliging en bescherming van kritieke infrastructuur (essentieel)
    • Overheden die van de Federale Staat afhangen (essentieel)
  • Verder kan de nationale autoriteit voor cyberbeveiliging (CCB) een entiteit in bepaalde omstandigheden aanduiden als essentieel of belangrijk in het kader van de NIS2-wet.

Criteria 3: gevestigde entiteit in België

In principe kan de Belgische NIS2-wet enkel van toepassing zijn op entiteiten met een vestiging in België. Echter zijn bij wijze van uitzondering volgende entiteiten onderworpen aan de NIS2-wet:

  • Aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten die hun diensten in België aanbieden;
  • DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten, als zij hun hoofdvestiging in België hebben of hun wettelijke vertegenwoordiger voor de EU in België in het geval zij geen vestiging hebben binnen de EU;
  • Overheidsinstanties die door België opgericht zijn.

Naast de 3 bovenstaande criteria dient bij het analyseren van het toepassingsgebied van de NIS2-wet rekening gehouden te worden met het feit dat men als niet-NIS2-organisatie alsnog geaffecteerd kan worden door de NIS2-wet doordat het CCB de entiteit aanmerkt als essentiële of belangrijke entiteit of doordat de niet-NIS2-organisatie behoort tot de toeleveringsketen van een NIS2-organisatie.

Om te bepalen of een entiteit valt binnen het toepassingsgebied van de Belgische NIS2-wet, kan gebruik gemaakt worden van de NIS2 Scope Test Tool van het CCB.

Wat betekent NIS2 in België voor mijn bedrijf?

De Belgische NIS2-wet houdt enkele verplichtingen in voor entiteiten die aangemerkt zijn als essentieel of belangrijk. Deze verplichtingen betreffen:

1. De essentiele of belangrijke entiteit registreren op Safeonweb@Work

Indien uw entiteit valt binnen het toepassingsgebied van de NIS2-wet, dient u deze te registeren bij het CCB. Dit kan u doen via het online registratieplatform. Daarnaast worden ook niet-NIS2 entiteiten door het CCB geadviseerd zich te registeren om te kunnen genieten van aanvullende diensten in het kader van het identificeren en beperken van cyberdreigingen.

Enkel organisaties die geregistreerd zijn bij de Kruispuntbank van Ondernemingen (KBO) en beschikken over een ondernemingsnummer of vestigingsnummer kunnen zich via het online platform registreren. Indien de entiteit niet beschikt over een KBO-nummer en zich als NIS2-entiteit in België dient te registeren, dient contact opgenomen te worden met het CCB via nis@ccb.belgium.be.

Verder kan de registratie uitgevoerd worden door een wettelijke vertegenwoordiger van de organisatie of door een medewerker waaraan de benodigde speciale rol wordt toegewezen op het platform Mijn eGov Rolbeheer.

De termijn waarbinnen de registratie ingediend moet worden is afhankelijk van het soort entiteit.

De registratie dient uiterlijk 18 december 2024 ingediend te worden door:

  • DNS-dienstverleners
  • Registers voor topleveldomeinnamen
  • entiteiten die domeinnaamregistratiediensten verlenen;
  • aanbieders van cloudcomputingdiensten;
  • aanbieders van datacentra;
  • aanbieders van netwerken voor de levering van inhoud;
  • aanbieders van beheerde diensten;
  • aanbieders van beheerde beveiligingsdiensten;
  • aanbieders van onlinemarktplaatsen;
  • aanbieders van onlinezoekmachines; en
  • aanbieders van platforms voor sociale netwerkdiensten.

De deadline voor de registratie is uiterlijk 18 maart 2025 voor:

  • Essentiële en belangrijke entiteiten
  • Aanbieders van domeinnaamregistratiediensten

Via de website van Safeonweb@Work kan u meer informatie terugvinden omtrent al uw vragen met betrekking tot de registratie van uw entiteit.

2. Beheersmaatregelen implementeren voor cyberbeveiligingsrisico’s

Essentiële en belangrijke entiteiten moeten passende maatregelen nemen om hun netwerk- en informatiesystemen te beschermen tegen cyberdreigingen. Dit omvat zowel technische als organisatorische maatregelen met als doel risico’s te beperken, incidenten te voorkomen en de impact van cyberincidenten op klanten en andere diensten te minimaliseren. Hierbij is het van belang dat de maatregelen proportioneel zijn ten aanzien van de risico’s waarmee een entiteit geconfronteerd wordt, evenals de omvang van het bedrijf en de potentiële impact van incidenten op de maatschappij en economie.

De NIS2-wetgeving schrijft een benadering voor die alle vormen van dreigingen meeneemt en zowel netwerk- en informatiesystemen als de fysieke infrastructuur beschermt. In de NIS2-wet is een set opgenomen van 11 cyberbeveiligingsmaatregelen waaronder minstens voldaan moet worden:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Incidentenbeheer
  • Bedrijfscontinuïteit en crisisbeheer
  • Beveiliging van toeleveringsketen
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
  • Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
  • Cyberhygiëne en opleiding op het gebied van cyberbeveiliging
  • Beleid en procedures over het cryptografie en in voorkomend geval encryptie
  • Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
  • Wanneer gepast, meerstapsverificatie, beveiligde communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit
  • Beleid voor de gecoördineerde bekendmaking van kwetsbaarheden

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

3. Rapportageverplichtingen

Belangrijke en essentiële entiteiten zijn verplicht het nationale CSIRT, in België betreft dit het CCB, in kennis te stellen indien zich een significant incident voordoet. Naast het CCB, dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I en II affecteert.

Een significant incident wordt volgens de NIS2-wet gedefinieerd als ‘elk incident dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet en dat:

  • een ernstige operationele verstoring van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of
  • andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken’

Het significante incident wordt door de essentiële en belangrijke entiteit gemeld aan het CCB volgens volgende procedure:

  1. onverwijld en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident, dient de entiteit via het notificatieplatform van het CCB een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen;
  2. onverwijld en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentenmelding dat een informatie update bevat en een initiële beoordeling van het incident;
  3. op verzoek van het CCB of van de betrokken sectorale overheid dient de entiteit een tussentijds verslag in;
  4. Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van:
    1. Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan;
    2. Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
    3. Toegepaste en lopende risicobeperkende maatregelen;
    4. De grensoverschrijdende gevolgen van het incident, indien van toepassing.
  5. Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen de maand na de afhandeling van incident wordt een eindverslag ingediend.

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

Tot slot kunnen alle entiteiten, ongeacht  of zij vallen binnen het toepassingsgebied van de NIS2-wet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden bij het CCB via het notificatieplatform.

4. Verplichtingen en verantwoordelijkheden van het management

De bestuursorganen van entiteiten die vallen binnen het toepassingsgebied van de NIS2-wet dienen aan enkele verplichtingen te voldoen:

  • Training volgen om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen;
  • Goedkeuren van de beheersmaatregelen voor cyberbeveiliging;
  • Toezien op de uitvoering van de beheersmaatregelen.

De bestuursorganen zijn aansprakelijk bij niet-naleving van de NIS2-wet.

5. Samenwerken met de autoriteiten

NIS2-entiteiten dienen samen te werken met het CCB en de sectorale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.

Hoe toon ik aan te voldoen aan de NIS2 vereisten in België?

Om te voldoen aan de NIS2-wetgeving in België moeten entiteiten die vallen binnen het toepassingsgebied van de NIS2 kunnen aantonen dat ze over een passend niveau van cybersecurity beschikken. Afhankelijk van de classificatie van de entiteit zijn er verschillende procedures voor dergelijke conformiteitsbeoordeling:

  • Essentiële entiteiten: Deze entiteiten worden zowel proactief als reactief gecontroleerd en zijn verplicht om regelmatige conformiteitsbeoordelingen te onderaan. Zij hebben keuze uit:
    • Een CyberFundamentals (CyFun)-certificering (niveau Essential) of een CyFyn-verificatie (niveau Important of Basic) verkrijgen via een door het CCB geautoriseerde Conformity Assessment Body (CAB)\
    • Een ISO/IEC 27001-certificering behalen via een geaccrediteerde CAB
    • Een inspectie laten uitvoeren door de inspectiedienst van het CCB of door een sectorale inspectiedienst.

De conformiteitsattesten die hieruit behaald worden bieden een vermoeden van conformiteit, wat betekent dat de entiteit geacht wordt aan de verplichtingen uit de NIS2-wet te voldoen, totdat het tegendeel bewezen is.

  • Belangrijke entiteiten: Voor deze entiteiten geldt in principe alleen reactief toezicht na een incident of bij aanwijzingen van niet-naleving. Echter kunnen zij vrijwillig kiezen voor regelmatige conformiteitbeoordeling, vergelijkbaar met essentiële entiteiten, om een vermoeden van conformiteit te verkrijgen. Belangrijke entiteiten kunnen in dergelijk geval enkel kiezen tussen CyFun en ISO/IEC 27001.

Hieronder worden de drie mogelijkheden in België met betrekking tot conformiteitsbeoordeling toegelicht, zodat u kunt bepalen welke aanpak past bij uw organisatie:

CyberFundamentals label

Het CCB heeft een kader ontwikkeld, bestaande uit concrete maatregelen met als doel gegevens beter te beschermen, het risico op de meest voorkomende cyberaanvallen te verkleinen en de cyberweerbaarheid van een organisatie te vergroten.

Op basis van de ernst van de dreiging waaraan een organisatie is blootgesteld, wordt een onderscheid gemaakt tussen het startersniveau Small en 3 zekerheidsniveaus Basic, Important en Essential. Het CyFun Framework bevat voor ieder niveau een set aan beheersmaatregelen.

Om het CyFun label te kunnen bekomen dienen volgende stappen door u ondernomen te worden:

  1. Bepaal het CyFun zekerheidsniveau door een risicobeoordeling uit te voeren. Hiervoor kan u gebruik maken van de CyFun Selection Tool.
  2. Vervolledig een Self Assessement en implementeer corrigerende maatregelen
  3. Laat de Self Assessment en de geïmplementeerde maatregelen verifiëren of certificeren door een CAB
  4. Vraag het CyFun label aan via het Safeonweb@work portaal

ISO/IEC 27001-certificering

Een andere mogelijkheid om aan te tonen in regel te zijn met de NIS2 is het ISO/IEC 27001-certificaat. ISO/IEC 27001 is de wereldwijd erkende standaard voor informatiebeveiliging en beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).

Om een ISO 27001-certicering te kunnen behalen dienen volgende stappen ondernomen te worden:

  1. Verwerf de nodige kennis over ISO/IEC 27001, door middel van bijvoorbeeld training.
  2. Implementeer het ISO 27001-management systeem conform de normeisen in uw organisatie.
  3. Voer interne audits uit.
  4. Laat het management de resultaten van de interne audit beoordelen en neem indien nodig corrigerende maatregelen. Leg de conclusie over het voldoen aan de eisen vast in de directiebeoordeling.
  5. Contacteer een geaccrediteerde CAB voor het uitvoeren van een externe audit.

Inspectie door CCB of sectorale inspectiedienst

Tot slot kan een NIS2-entiteit zich onmiddellijk onderwerpen aan een controle door de autoriteiten, zijnde het CCB en/of de sectorale inspectiedienst. Deze controle kan bestaan uit inspecties ter plaatse, toezicht ter plaatse, ad-hocaudits, beveiligingsscans en informatie en bewijsmateriaal opvragen. Bij het niet beantwoorden van de verzoeken van de inspectiediensten, worden administratieve boetes opgelegd aan de NIS2-entiteit. Voor een inspectie door de CCB of de sectorale inspectiedienst wordt een retributie gevraagd.

Bij de keuze tussen één van de drie bovenstaande opties is het van belang om rekening te houden met verschillende factoren. Als uw organisatie een internationaal erkende, gestructureerde en toekomstgerichte oplossing zoekt, dan kiest men beter voor een ISO/IEC 27001-certificatie. Dit certificaat biedt niet alleen NIS2-compliance, maar verstrekt ook het algehele informatiebeveiligingsbeheer en het vertrouwen van klanten en partners.

Voor kleine organisaties met een nationale focus kan CyberFundamentals de geschikte optie zijn. Dit label is namelijk specifiek voor de Belgische markt en niet internationaal bruikbaar voor klanten of leveranciers.

De CCB-inspectie is vooral nuttig voor organisaties die direct door de autoriteiten beoordeeld willen worden, zonder een tussenkomst van een CAB.

Wenst u meer informatie over de conformiteitsbeoordeling door een CAB?
Neem dan contact op met een expert.

CONTACT AN EXPERT

Sancties

De Belgische NIS2-wet voorziet in specifieke sancties voor entiteiten die de wettelijke bepalingen niet naleven. Deze sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve boetes.

Mogelijke administratieve maatregelen die het CCB kan opleggen zijn onder andere waarschuwingen, een controlefunctionaris benoemen, een certificering of vergunning tijdelijk opschorten, de uitvoering van leidinggevende functies tijdelijk verbieden enzovoort.

Administratieve boetes die kunnen worden opgelegd zijn eveneens wettelijk vastgelegd en kan gaan van 500 tot 10.000.000 euro, welke verdubbeld worden bij herhaaldelijk gedrag binnen een periode van 3 jaar. Een gedetailleerd overzicht van de administratieve maatregelen en boetes kan geraadpleegd worden via de website van het CCB.

Wanneer moet ik actie ondernemen in België?

De Belgische NIS2-wet treedt in werking op 18/10/2024. Vanaf dan zijn de NIS2-entiteiten verplicht om de minimale set van beheersmaatregelen tegen cyberdreigingen te nemen. Ook significante incidenten dienen vanaf dan volgens de voorgeschreven procedure gerapporteerd te worden. Verder dienen bestuursorganen te voldoen aan hun verplichtingen zoals hierboven beschreven en dienen de entiteiten samen te werken met de bevoegde autoriteiten en vallen ze eveneens onder hun toezicht.

Entiteiten dienen zich te registeren via Safeonweb@Work, uiterlijk tegen 18/03/2025. Voor DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsmede aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor sociale netwerkdiensten geldt een strengere deadline voor de verplichte registratie bij het CCB, nl. op 18/12/2024.

Essentiële entiteiten zijn eveneens aan deadlines gebonden wat betreft de regelmatige conformiteitsbeoordelingen. Zoals hierboven beschreven kan een essentiële entiteit hiervoor kiezen tussen het CyberFundamentals Framework, een ISO/IEC 27001-certificering of een inspectie door de inspectiedienst van het CCB of een sectorale inspectiedienst.

1. CyberFundamentals Framework

1.1 Zekerheidsniveau Basic

Entiteiten die op basis van hun risicobeoordeling bepalen dat zij dienen te voldoen aan het zekerheidsniveau Basic, dienen uiterlijk op 18/04/2026 een Basic-verificatie toegekend te krijgen door een geaccrediteerde en erkende CAB.

1.2 Zekerheidsniveau Important

Voor entiteiten die dienen te voldoen aan het zekerheidsniveau Important geldt dat zij uiterlijk op 18/04/2026 een Basic-verificatie of een Important-verificatie toegekend krijgen. Indien nodig kunnen desbetreffende entiteiten eerst een Basic-verificatie behalen en uiterlijk op 18/04/2027 een Important-verificatie.

1.3 Zekerheidsniveau Essential

Entiteiten die dienen te voldoen aan het zekerheidsniveau Essential dienen uiterlijk op 18/04/2026 te beschikken over een Basic- of Important-verificatie. Uiterlijk op 18/04/2027 dienen zij een Essential-certificering te behalen.

2. ISO/IEC 27001-certificatie

Entiteiten die opteren voor een ISO/IEC 27001-certificatie dienen uiterlijk op 18/04/2026 hun toepassingsgebied en statement of applicability (SoA) in te dienen bij het CCB en uiterlijk op 18/04/2027 gecertificeerd te zijn door een CAB.

3. Inspectie door het CCB/sectorale inspectiedienst

Entiteiten die opteren voor een controle door het CCB of een sectorale inspectiedienst dienen uiterlijk op 18/04/2026 hun zelfbeoordeling van CyFun zekerheisdniveau Basic of Important of hun ISO/IEC 27001-informatiebeveiligingsbeleid, toepassingsgebied en SoA aan het CCB over te maken Uiterlijk op 18/04/2027 dient de entiteit een verslag over de voortgang m.b.t. de conformiteit in.

Source: Safeonweb.be, consulted on 27/03/2025