De NIS2-richtlijn (Richtlijn (EU) 2022/2555) is een van de meest ingrijpende regelgevende veranderingen van het decennium op het vlak van cyberbeveiliging — en in tegenstelling tot haar voorganger NIS1 reikt ze veel verder dan de kring van grote exploitanten van kritieke infrastructuur. Veel Belgische KMO's vallen vandaag onder de richtlijn zonder het te weten, hetzij rechtstreeks omdat ze actief zijn in een gedekte sector, hetzij onrechtstreeks omdat ze onderaannemer zijn van een gereguleerde entiteit.
Dit artikel biedt een lezing in klare taal: wat NIS2 is, wie binnen het toepassingsgebied valt, welke verplichtingen concreet gelden, waar de Belgische omzetting staat, en waar u begint. Het doel is niet u af te schrikken met juridisch jargon, maar u een realistische roadmap te geven.
NIS2 in klare taal
NIS2 is een Europese richtlijn die het algemene niveau van cyberbeveiliging in de Unie wil verhogen, door de gedekte organisaties maatregelen voor risicobeheer en meldingsverplichtingen voor incidenten op te leggen. Ze vervangt en verbreedt aanzienlijk de eerste NIS-richtlijn van 2016, die slechts een beperkt aantal « exploitanten van essentiële diensten » viseerde.
De grote verandering steunt op twee zaken: een veel breder toepassingsgebied (meer sectoren, meer middelgrote organisaties) en een uitdrukkelijk geviseerde toeleveringsketen. Concreet moet een grote gereguleerde entiteit voortaan verzekeren dat ook haar leveranciers en dienstverleners beveiligingsmaatregelen toepassen — wat heel wat KMO's via hun contracten « meetrekt » in het dispositief, zelfs wanneer ze niet rechtstreeks door de wet zijn aangeduid.
Essentiële en belangrijke entiteiten
NIS2 onderscheidt twee categorieën: de essentiële entiteiten (bijvoorbeeld energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur) en de belangrijke entiteiten (bijvoorbeeld productie, afvalbeheer, postdiensten, chemie, digitale aanbieders). Het onderscheid beïnvloedt vooral de intensiteit van het toezicht: essentiële entiteiten worden proactiever gecontroleerd, terwijl belangrijke entiteiten eerder achteraf worden gecontroleerd, naar aanleiding van een incident. De inhoudelijke verplichtingen zijn grotendeels gelijkaardig.
Wie valt onder het toepassingsgebied?
De algemene regel combineert een sectorcriterium en een omvangscriterium. Samengevat zijn de organisaties geviseerd die actief zijn in een gedekte sector en die de drempels van de middelgrote onderneming overschrijden — in de praktijk citeert men vaak 50 medewerkers of meer, of een jaaromzet van minstens 10 miljoen euro. Bepaalde entiteiten zijn bovendien gedekt ongeacht hun omvang, omwille van hun kritieke rol (bijvoorbeeld sommige aanbieders van digitale diensten of infrastructuur).
Deze drempels en sectorlijsten bevatten talrijke nuances. Bent u niet zeker van uw situatie, vertrouw dan niet op een snelle lezing: verifieer uw exacte toepassingsgebied bij het Centrum voor Cybersecurity België (CCB) of bij een specialist. En ook onder de drempels kunt u onrechtstreeks betrokken zijn: levert u aan een gereguleerde entiteit, verwacht dan dat zij u contractueel beveiligingseisen oplegt die uit NIS2 zijn afgeleid.
De kernverplichtingen
De maatregelen voor risicobeheer
NIS2 legt de gedekte entiteiten op « passende en evenredige » maatregelen voor risicobeheer te nemen. De richtlijn somt verschillende families van maatregelen op die elke organisatie zou moeten dekken:
- beleid voor risicoanalyse en beveiliging van informatiesystemen;
- incidentbeheer (detectie, respons, herstel);
- bedrijfscontinuïteit en beheer van back-ups;
- beveiliging van de toeleveringsketen;
- beveiliging bij verwerving, ontwikkeling en onderhoud van systemen;
- beleid om de doeltreffendheid van de maatregelen te evalueren;
- basispraktijken inzake cyberhygiëne en opleiding;
- beleid inzake cryptografie en versleuteling;
- personeelsbeveiliging, toegangscontrole en activabeheer;
- gebruik van multifactorauthenticatie en beveiligde communicatie.
U herkent hier het geraamte van beproefde standaarden. Het is de gelegenheid om voort te bouwen op wat u mogelijk al hebt ingevoerd bij een cybersecurity- en AVG-audit: MFA, segmentatie, geteste back-ups en een incidentprocedure zijn beide oefeningen gemeen.
De melding van incidenten (24 u / 72 u)
NIS2 voert een gefaseerde melding in. In de regel moet een betrokken entiteit een vroegtijdige waarschuwing binnen 24 uur na kennisname van een significant incident bezorgen, vervolgens een vollediger melding binnen 72 uur, en ten slotte een eindverslag later. Deze termijnen worden het vaakst geciteerd, maar de precieze modaliteiten (wat een « significant » incident vormt, de exacte bestemmeling, de verwachte inhoud) vallen onder de nationale omzetting en de richtsnoeren van de bevoegde autoriteit — te verifiëren voor uw geval.
Merk op dat dit tijdschema losstaat van de meldplicht bij een inbreuk op persoonsgegevens onder de AVG (72 uur): één en hetzelfde incident kan beide regimes tegelijk doen ingaan.
De verantwoordelijkheid van de directie
Dit punt wordt vaak onderschat: NIS2 maakt de bestuursorganen uitdrukkelijk verantwoordelijk. Zij moeten de maatregelen voor risicobeheer goedkeuren, toezien op de uitvoering ervan, en opleidingen in cyberbeveiliging volgen. Met andere woorden, cyberbeveiliging is niet langer een louter technische zaak die aan de IT wordt gedelegeerd: ze behoort voortaan tot de governance. Tekortkomingen kunnen significante sancties met zich meebrengen, en de directie kan in bepaalde gevallen aansprakelijk worden gesteld — wij blijven voorzichtig met de exacte cijfers, die van het nationale recht afhangen.
De Belgische context
In België is NIS2 omgezet in nationaal recht en is de wet in 2024 in werking getreden. De bevoegde autoriteit is het Centrum voor Cybersecurity België (CCB), dat zowel een toezichthoudende als een begeleidende rol speelt. Het CCB publiceert gidsen en tools voor de betrokken organisaties — dat is de eerste bron om uw statuut en uw precieze verplichtingen te bevestigen.
Een praktisch pluspunt van het Belgische dispositief is de aansluiting op bestaande referentiekaders. Bent u al gecertificeerd volgens ISO 27001 of hebt u het door het CCB gepromote framework CyberFundamentals ingevoerd, dan beschikt u al over een groot deel van de structuur die NIS2 verwacht. Deze trajecten vormen geen automatische garantie op conformiteit, maar ze dekken het merendeel van de families van maatregelen en vergemakkelijken de inbedding aanzienlijk.
Een pragmatische roadmap voor een KMO
U hoeft niet alles ineens te doen. Hier is een realistische progressie, in de geest van onze aanpak « auditen en vervolgens uitvoeren ».
1. Gap assessment. Bepaal eerst of — en hoe — u betrokken bent: sector, omvang, en blootstelling via de toeleveringsketen. Breng vervolgens uw bestaande maatregelen in kaart tegenover de families van NIS2-maatregelen om de lacunes te identificeren.
2. Maatregelen voor risicobeheer. Prioriteer acties met grote impact en lage kost: veralgemeende MFA, geteste back-ups, patchbeheer, toegangscontrole. Een gezonde netwerkbasis vergemakkelijkt al de rest — die fundamenten lichten we toe in ons artikel over netwerkinfrastructuur voor KMO's.
3. Incidentresponsproces. Documenteer wie wat doet, de noodcontacten, en een meldingssjabloon dat verenigbaar is met de termijnen 24 u / 72 u. Voorzie een back-upcommunicatiekanaal dat onafhankelijk is van de systemen die mogelijk getroffen worden.
4. Governance. Laat de maatregelen door de directie goedkeuren, plan haar opleiding, en voer een regelmatige opvolging in. Dat is de eenvoudigste vereiste om te vergeten — en de meest zichtbare bij een controle.
Een eerlijke noot over de complexiteit
Het exacte toepassingsgebied van NIS2, de drempels en de meldingsmodaliteiten bevatten reële subtiliteiten, en de nationale omzetting verduidelijkt bepaalde punten. Dit artikel is een oriëntatiegids, geen juridisch advies. Vooraleer u structurele beslissingen neemt, verifieer uw specifieke verplichtingen bij het CCB of bij een specialist. Onze rol bij ITOPS.be is precies dit verhelderingswerk samen met u te doen, en het vervolgens concreet uit te voeren. Ontdek ons volledige aanbod aan cybersecuritydiensten voor KMO's en de Benelux.
Neem contact met ons op om uw blootstelling aan NIS2 te evalueren en een roadmap op maat van uw sector en uw perimeter te bouwen.
Veelgestelde vragen
Valt mijn KMO onder NIS2?
Dat hangt af van twee gecombineerde criteria: uw activiteitensector en uw omvang (in de regel vanaf 50 medewerkers of 10 miljoen euro omzet in een gedekte sector). Bepaalde entiteiten zijn geviseerd ongeacht hun omvang. En ook onder de drempels kunt u onrechtstreeks betrokken zijn als u aan een gereguleerde entiteit levert, via contractuele eisen. Bij twijfel, verifieer uw exacte toepassingsgebied bij het CCB of bij een specialist.
Wat zijn de meldingstermijnen?
In de regel een vroegtijdige waarschuwing binnen 24 uur na kennisname van een significant incident, een vollediger melding binnen 72 uur, en daarna een later eindverslag. De exacte modaliteiten (definitie van een significant incident, bestemmeling, inhoud) vallen onder de Belgische omzetting en de richtsnoeren van het CCB — te bevestigen voor uw specifieke geval.
Wat is het verband tussen NIS2 en de AVG?
Beide regimes staan los van elkaar maar zijn complementair. De AVG betreft de bescherming van persoonsgegevens; NIS2 betreft de beveiliging van netwerk- en informatiesystemen. Eén en hetzelfde incident kan beide doen ingaan: een cyberaanval die tot een lek van persoonsgegevens leidt, kan bijvoorbeeld zowel een NIS2-melding als een AVG-datalekmelding binnen 72 uur opleggen. De technische maatregelen overlappen grotendeels.
Waar begint u?
Met een gap assessment: bevestig eerst of u betrokken bent, en vergelijk vervolgens uw huidige maatregelen met de families van NIS2-maatregelen. Prioriteer daarna acties met grote impact en lage kost (MFA, geteste back-ups, toegangsbeheer), documenteer uw incidentresponsproces, en betrek de directie. Hebt u al een cybersecurity audit uitgevoerd of ISO 27001 / CyberFundamentals ingevoerd, dan vertrekt u met een voorsprong.