Mijn KMO heeft maar 15 medewerkers. Kan NIS2 toch op mij van toepassing zijn?

Ja, in twee gevallen. Als je digitale diensten levert (DNS, cloud, datacenter, online marktplaats) val je altijd in scope, ongeacht grootte. En als je toeleverancier bent van een essentiële of belangrijke entiteit, kunnen je klanten NIS2-eisen aan je doorleggen via de leveranciersketen.

Wat is het verschil tussen NIS2 en de AVG?

De AVG beschermt persoonsgegevens. NIS2 beschermt netwerk- en informatiesystemen. Ze overlappen bij datalekken: een cyberincident met persoonsgegevens valt onder beide. Je meldt het incident bij het CCB (NIS2) en het datalek bij de GBA (AVG).

We hebben geen eigen IT-afdeling. Hoe beginnen we met NIS2?

Start met de NIS2 Check op deze site om te bepalen of je in scope valt. Gebruik daarna het CyFun self-assessment van het CCB om je huidige niveau te meten. Je IT-partner kan je helpen met de technische maatregelen. VLAIO subsidieert 50% van externe cybersecurity-begeleiding voor KMO's.

Ik heb al een ISO 27001-certificering. Moet ik ook CyFun doen?

Nee. ISO 27001 en CyFun zijn gelijkwaardige routes naar NIS2-compliance. Je kunt kiezen. Ongeveer 75% van de Belgische organisaties kiest CyFun omdat het specifiek is ontworpen voor de Belgische markt. Met een bestaande ISO 27001 ben je al goed op weg.

Wat gebeurt er als ik me niet registreer bij het CCB?

Het CCB kan administratieve boetes opleggen van 500 tot 125.000 euro voor het niet naleven van de registratieplicht. In de praktijk neemt het CCB voorlopig een begeleidende aanpak. Maar de registratie is eenvoudig en gratis via atwork.safeonweb.be.

NIS2 voor KMO's: de complete gids

De Belgische NIS2-wet is sinds 18 oktober 2024 van kracht. België was het eerste EU-land dat de Europese NIS2-richtlijn volledig omzette in nationale wetgeving. Maar wat betekent dat concreet voor jouw KMO?

Ongeveer 4.500 Belgische organisaties vallen direct onder de wet. En via de leveranciersketen raakt het naar schatting 60.000 bedrijven indirect. De kans is reëel dat jij er een van bent.

Beknopt

De Belgische NIS2-wet is van kracht sinds 18 oktober 2024 en geldt voor organisaties in kritieke sectoren met 50+ medewerkers of 10M+ omzet
Het CCB (Centre for Cybersecurity Belgium) is de toezichthouder. Registratie verloopt via atwork.safeonweb.be
Het CyberFundamentals (CyFun) framework is het Belgische compliancekader, met 4 niveaus van Small tot Essential
Zaakvoerders zijn persoonlijk aansprakelijk voor naleving. Dat is nieuw ten opzichte van de AVG

Wat is de Belgische NIS2-wet?

NIS2 staat voor Network and Information Security Directive 2. Het is een Europese richtlijn (EU 2022/2555) die lidstaten verplicht om nationale cybersecurity-wetgeving aan te scherpen. België deed dat met de Wet van 26 april 2024, gepubliceerd in het Belgisch Staatsblad op 17 mei 2024.

De wet vervangt de eerdere NIS1-wet van 2019 en breidt de scope aanzienlijk uit. Waar NIS1 slechts 150 Belgische bedrijven raakte, gaat NIS2 over ongeveer 4.500 organisaties. Het bijbehorende Koninklijk Besluit van 9 juni 2024 werkt de details uit.

De kern: organisaties in bepaalde sectoren moeten hun cybersecurity structureel op orde brengen, incidenten melden, en aantonen dat ze aan minimumnormen voldoen.

Valt jouw KMO onder NIS2?

Drie factoren bepalen of je in scope valt: je sector, je grootte, en je relatie tot andere organisaties in scope.

Sectoren

De wet onderscheidt twee categorieën.

Essentiële sectoren (Annex I): energie, transport, gezondheid (ziekenhuizen, farmaceutische productie), drinkwater, afvalwater, digitale infrastructuur (DNS, cloud, datacenters), ICT-dienstverlening (MSP's, MSSP's), overheid en ruimtevaart.

Belangrijke sectoren (Annex II): post- en koeriersdiensten, afvalbeheer, chemische industrie, voedingsproductie, maakindustrie (medische apparatuur, elektronica, machines, voertuigen), digitale dienstverleners (marktplaatsen, zoekmachines, sociale netwerken) en onderzoeksorganisaties.

Belgische uitzondering

België heeft de bank- en financiële sector uitgesloten van NIS2 en doorverwezen naar de DORA-verordening (Digital Operational Resilience Act). De Nationale Bank van België houdt daar toezicht.

Grootte

In de meeste gevallen val je in scope als je organisatie:

250+ medewerkers heeft (groot), of
50+ medewerkers heeft met een omzet boven 10 miljoen euro (middelgroot)

Grote organisaties in essentiële sectoren worden als "essentiële entiteit" geclassificeerd. Middelgrote organisaties in essentiële sectoren en alle organisaties in belangrijke sectoren die de drempel halen, worden als "belangrijke entiteit" geclassificeerd.

Altijd in scope, ongeacht grootte

Sommige organisaties vallen er altijd onder: gekwalificeerde vertrouwensdienstverleners, DNS-aanbieders, TLD-registers, aanbieders van domeinnaamregistratie, operatoren van kritieke infrastructuur en federale overheidsdiensten.

De leveranciersketen

Dit is waar het voor veel KMO's concreet wordt. De NIS2-wet verplicht organisaties in scope om de cybersecurity van hun directe leveranciers te beoordelen. Dat betekent: als jij levert aan een essentiële of belangrijke entiteit, kun je vragen verwachten over jouw beveiligingsniveau.

GUBERNA, het Belgische governance-instituut, stelt het scherp: "Bijna elk bedrijf zit wel ergens in de toeleveringsketen van een gereguleerde entiteit." De schatting is dat circa 60.000 Belgische bedrijven indirect geraakt worden.

Wat moet je concreet doen?

Het CCB heeft een 7-stappenplan opgesteld voor NIS2-entiteiten. De kern:

Bepaal of je in scope valt. Gebruik de scope-tool op atwork.safeonweb.be of doe onze NIS2 Check
Registreer je organisatie op atwork.safeonweb.be. De deadline voor de meeste entiteiten was 18 maart 2025
Meld significante incidenten aan het CCB (zie sectie meldplicht hieronder)
Voer een risicobeoordeling uit met het CyFun Selection Tool om je vereiste assurance-niveau te bepalen
Plan cybersecurity-training voor bestuur en management (dit is een wettelijke verplichting)
Implementeer beveiligingsmaatregelen aan de hand van het CyFun framework
Laat je beoordelen door een geaccrediteerde conformiteitsbeoordelaar

Registratiedeadline verstreken

De registratiedeadline voor de meeste NIS2-entiteiten was 18 maart 2025. Als je je nog niet hebt geregistreerd en je valt in scope, doe dit zo snel mogelijk via atwork.safeonweb.be. De registratie is gratis.

CyberFundamentals: het Belgische framework

CyberFundamentals (CyFun) is het Belgische cybersecurity-framework, ontwikkeld door het CCB. Het is specifiek ontworpen voor de Belgische economie met haar vele KMO's. Ongeveer 75% van de geregistreerde NIS2-entiteiten kiest CyFun boven ISO 27001.

Het framework heeft vier niveaus:

Niveau	Voor wie	Bescherming
Small	Micro-organisaties zonder eigen IT	Basishygiëne
Basic	Alle ondernemingen (instapniveau)	82% van aanvallen
Important	Middelgrote bedrijven, belangrijke entiteiten	94% van aanvallen
Essential	Grote bedrijven, essentiële entiteiten	100% van bekende aanvalstypen

Essentiële entiteiten moeten CyFun Essential certificering (of gelijkwaardige ISO 27001) behalen. Voor belangrijke entiteiten is CyFun Important verificatie aanbevolen.

Het CCB biedt gratis tools aan: een Selection Tool om je vereiste niveau te bepalen, en een Self-Assessment Tool met spiderdiagrammen voor managementrapportage. De CyFun 2025-versie is recent uitgebracht, afgestemd op NIST CSF 2.0.

Deadlines

Datum	Verplichting
18 oktober 2024	NIS2-wet van kracht. Alle verplichtingen gelden
18 maart 2025	Registratiedeadline voor alle NIS2-entiteiten
18 april 2026	Essentiële entiteiten moeten CyFun Basic/Important self-assessment of ISO 27001 scope indienen
18 april 2027	Essentiële entiteiten moeten volledige CyFun Essential certificering of ISO 27001 certificering hebben

Meldplicht bij incidenten

NIS2-entiteiten moeten significante cyberincidenten melden aan het CCB. Een incident is "significant" als het de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van netwerken of data aantast, en tegelijk leidt tot ernstige operationele verstoring, financieel verlies, of schade aan derden.

Het CCB heeft concrete drempels vastgelegd. Bijvoorbeeld: als minstens 20% van je gebruikers meer dan een uur geen toegang heeft, of als directe financiële schade boven 250.000 euro of 5% van je omzet uitkomt.

De meldtermijnen:

Wanneer	Wat
Binnen 24 uur	Vroegtijdige melding: vermoeden van kwaadaardig karakter, mogelijke grensoverschrijdende impact
Binnen 72 uur	Incidentmelding: bijgewerkte informatie, eerste beoordeling van ernst en impact
Binnen 1 maand	Eindverslag: gedetailleerde beschrijving, oorzaak, genomen maatregelen

Melden doe je via het online formulier op notif.safeonweb.be. Als het formulier niet beschikbaar is, bel +32 2 501 05 60.

Sinds de invoering van NIS2 is het aantal incidentmeldingen met 80% gestegen: van gemiddeld 25 per maand naar 45. In het eerste jaar werden 279 incidenten gemeld, waarvan 70 als significant geclassificeerd.

Boetes en bestuurlijke aansprakelijkheid

De boetes zijn fors, maar het CCB neemt voorlopig een begeleidende aanpak. Er zijn tot op heden geen sanctieprocedures gestart.

Administratieve boetes

Voor het niet naleven van risicobeheer- of meldplichtverplichtingen:

Essentiële entiteiten: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet
Belangrijke entiteiten: tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet

Bij herhaling binnen 3 jaar worden boetes verdubbeld. Voor niet-registratie gelden lagere boetes: 500 tot 125.000 euro.

Persoonlijke aansprakelijkheid

Dit is het belangrijkste verschil met de AVG. De NIS2-wet legt cybersecurity expliciet op bestuursniveau. Zaakvoerders moeten:

Cybersecurity-risicomaatregelen goedkeuren en de uitvoering ervan bewaken
Verplicht cybersecurity-training volgen
Regelmatig vergelijkbare training aan medewerkers aanbieden

Onwetendheid is geen verweer meer. Bij ernstige nalatigheid kunnen bestuurders persoonlijk beboet worden en tijdelijk uitgesloten worden van bestuursfuncties.

Kernpunt

De persoonlijke aansprakelijkheid van zaakvoerders is de sterkste motivator om in actie te komen. Het CCB benadrukt dat cybersecurity een bestuurskwestie is, geen IT-kwestie.

Wat kost NIS2-compliance?

Belgische KMO's investeren gemiddeld 30.000 tot 80.000 euro per jaar om hun IT-volwassenheid naar NIS2-niveau te brengen. ICT-budgetten moeten naar schatting 12 tot 22% stijgen.

Het goede nieuws: VLAIO (Vlaams Agentschap Innoveren en Ondernemen) subsidieert 50% van externe cybersecurity-begeleiding voor KMO's via de KMO-portefeuille. Sinds februari 2026 kwalificeert specifiek cybersecurity-advies voor deze subsidie.

Daarnaast biedt het CCB gratis diensten aan geregistreerde organisaties: prioritaire dreigingsalerts, vulnerability scans, en self-assessment tools.

De investering is niet alleen een compliancekost. 29% van de middelgrote Belgische KMO's heeft al te maken gehad met cybersecurity-incidenten. Goede beveiliging beschermt je bedrijfscontinuïteit, je reputatie en je klantrelaties.

Eerste stappen zonder groot budget

Begin met de gratis CyFun self-assessment van het CCB. Schakel MFA in op alle accounts. Stel automatische updates in. En documenteer een basisincidentprocedure. Dit kost weinig geld maar veel rendement.

Dit artikel is informatief bedoeld en geeft geen juridisch advies over NIS2-compliance. Raadpleeg voor je specifieke situatie het CCB of een cybersecurity-specialist.

NIS2 voor KMO's: de complete gids

Wat is de Belgische NIS2-wet?

Valt jouw KMO onder NIS2?

Sectoren

Grootte

Altijd in scope, ongeacht grootte

De leveranciersketen

Wat moet je concreet doen?

CyberFundamentals: het Belgische framework

Deadlines

Meldplicht bij incidenten

Boetes en bestuurlijke aansprakelijkheid

Administratieve boetes

Persoonlijke aansprakelijkheid

Wat kost NIS2-compliance?

Veelgestelde vragen

Bronnen

Gerelateerde artikels

NIS2: valt jouw bedrijf eronder? Checklist

CyberFundamentals (CyFun): het Belgische framework uitgelegd

CyFun SMALL: de gratis zelfbeoordeling stap voor stap

NIS2-boetes in België: wat riskeert je bedrijf?

NIS2 en toeleveranciers: wanneer ben je indirect verplicht?