De Network and Information Security Directive 2 (NIS2) is de meest ambitieuze cyberbeveiligingswetgeving van de EU tot nu toe. Sinds de handhavingsdeadline in oktober 2024 moeten duizenden organisaties in België voldoen aan strengere beveiligingseisen of aanzienlijke boetes riskeren.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn (EU 2022/2555) is de cyberbeveiligingswet van de Europese Unie voor exploitanten van kritieke en belangrijke infrastructuur. Ze vervangt de oorspronkelijke NIS-richtlijn van 2016 en breidt het aantal sectoren binnen het toepassingsgebied uit van 7 naar 18, samen goed voor ongeveer 160 000 entiteiten in de EU. In België is NIS2 afdwingbaar sinds 18 april 2024, waarbij het Centrum voor Cybersecurity België (CCB) optreedt als nationale toezichthoudende autoriteit. De richtlijn geldt voor middelgrote en grote organisaties in essentiële en belangrijke sectoren, en overtredingen kunnen leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.
Op EU-niveau ondersteunt het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) de lidstaten met implementatierichtsnoeren, dreigingsinformatie en incidentcoördinatie. De Belgische omzetting werd gepubliceerd in het Belgisch Staatsblad, en de verplichtingen gelden ook voor entiteiten die voorheen niet aan sectorspecifieke cyberbeveiligingsregelgeving onderworpen waren.
Wie moet voldoen in België?
NIS2 verdeelt organisaties in twee categorieën op basis van hun sector en omvang. Bekijk onze gedetailleerde uitleg over NIS2-sectoren in België voor een volledige lijst.
Essentiële entiteiten
- Energie (elektriciteit, gas, olie, waterstof)
- Transport (lucht, spoor, weg, water)
- Banken en financiële marktinfrastructuur
- Gezondheidszorg
- Drinkwater en afvalwater
- Digitale infrastructuur (DNS, TLD, datacenters, cloud)
- Openbaar bestuur
Belangrijke entiteiten
- Post- en koeriersdiensten
- Afvalbeheer
- Chemische fabricage
- Voedselproductie en -distributie
- Fabricage (medische hulpmiddelen, elektronica, machines)
- Digitale aanbieders (marktplaatsen, zoekmachines, sociale netwerken)
- Onderzoeksorganisaties
Middelgrote bedrijven (50+ werknemers of €10M+ omzet) en grote bedrijven in deze sectoren vallen automatisch onder het toepassingsgebied. Sommige kleinere organisaties kunnen ook worden opgenomen als ze kritieke diensten verlenen.
Belangrijkste NIS2-vereisten
Organisaties moeten cyberbeveiligingsmaatregelen implementeren die evenredig zijn aan de risico's waarmee ze worden geconfronteerd. De richtlijn beschrijft verschillende specifieke gebieden:
- Risicoanalyse en informatiebeveiligingsbeleid — formele risicobeheerkaders en gedocumenteerd beveiligingsbeleid.
- Incidentafhandeling — processen voor het detecteren, melden en reageren op beveiligingsincidenten. Significante incidenten moeten binnen 24 uur aan het CCB worden gemeld.
- Bedrijfscontinuïteit — back-upbeheer, noodherstel en crisisbeheersplannen.
- Beveiliging van de toeleveringsketen — beoordeling en beheer van risico's van directe leveranciers en dienstverleners.
- Kwetsbaarheidsbeheer — regelmatige kwetsbaarheidsbeoordelingen, inclusief penetration testing, en gecoördineerde openbaarmakingsprocessen.
- Cyberbeveiligingstraining — regelmatige beveiligingsbewustzijnstraining voor al het personeel, inclusief het management.
- Encryptie en toegangscontrole — gepast gebruik van cryptografie en multifactorauthenticatie.
Sancties bij niet-naleving
Onder de Belgische omzetting van NIS2 (van kracht sinds 18 april 2024) hangen de sancties af van de classificatie van een organisatie als "essentiële" of "belangrijke" entiteit. Essentiële entiteiten — waaronder energie, transport, banken, gezondheidszorg en digitale infrastructuur — riskeren administratieve boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt. Belangrijke entiteiten, zoals postdiensten, afvalbeheer, chemische productie en digitale aanbieders, riskeren boetes tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.
Naast financiële sancties introduceert NIS2 individuele aansprakelijkheid: leden van het bestuursorgaan kunnen persoonlijk aansprakelijk worden gesteld voor nalevingstekortkomingen en, in ernstige gevallen, tijdelijk worden verboden om managementfuncties uit te oefenen. Het Centrum voor Cybersecurity België (CCB) is de toezichthoudende autoriteit die in België verantwoordelijk is voor het opleggen van deze sancties.
Hoe bereidt u uw organisatie voor
NIS2-gereed worden is geen eenmalig project — het vereist het inbouwen van duurzame beveiligingspraktijken in uw organisatie:
- Beoordeel uw bereik — bepaal of uw organisatie onder NIS2 valt op basis van sector, omvang en kriticiteit.
- Voer een gap-analyse uit — vergelijk uw huidige beveiligingshouding met de NIS2-vereisten om verbeterpunten te identificeren.
- Implementeer risicobeheer — stel formele risicobeoordelingsprocessen vast en documenteer uw beveiligingsbeleid.
- Richt incidentrespons in — creëer en test workflows voor incidentdetectie en -rapportage die voldoen aan de 24-uursmeldingsvereiste.
- Beoordeel uw toeleveringsketen — evalueer de beveiligingspraktijken van uw belangrijkste leveranciers en neem beveiligingseisen op in contracten.
- Train uw team — zorg ervoor dat alle medewerkers, vooral het management, hun cyberbeveiligingsverantwoordelijkheden begrijpen.
- Schakel deskundige ondersteuning in — werk samen met cyberbeveiligingsprofessionals die zowel het technische als het regelgevende landschap in België begrijpen.
Wilt u begrijpen hoe NIS2 zich verhoudt tot de AVG? Lees onze vergelijking AVG vs NIS2. Voor het budgetteren van uw compliance-inspanningen, zie onze gids over kosten van beveiligingsaudits in België.
Hoe ICTLAB kan helpen
ICTLAB helpt Belgische organisaties bij het navigeren door NIS2-compliance met praktische, hands-on ondersteuning. Van initiële gap-assessments en risicoanalyse tot het implementeren van beveiligingsmonitoring, incidentresponsplannen en opleidingsprogramma's voor medewerkers, onze cyberbeveiligingsdiensten bieden de technische expertise die nodig is om aan de regelgevende vereisten te voldoen zonder uw operaties te verstoren. We helpen teams ook bij het adopteren van DevSecOps-praktijken om beveiliging te integreren in de gehele ontwikkelingscyclus.
Of u nu vanaf nul begint of bestaande beveiligingsmaatregelen moet versterken, ons team in Brussel staat klaar om u te helpen een conforme en veerkrachtige beveiligingshouding op te bouwen.