Welke sectoren moeten voldoen aan NIS2 in België?

NIS2 bestrijkt 18 sectoren in België, verdeeld in essentiële entiteiten (energie, transport, banken, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer, openbaar bestuur, ruimtevaart) en belangrijke entiteiten (postdiensten, afvalbeheer, chemie, voeding, fabricage, digitale aanbieders, onderzoek).

NIS2 voor wie in België?

NIS2 geldt voor Belgische organisaties met 50+ werknemers of €10M+ jaaromzet/balanstotaal die actief zijn in één van de 18 aangewezen sectoren. Sommige entiteiten vallen altijd onder de richtlijn ongeacht hun omvang (DNS-aanbieders, TLD-registers, vertrouwensdienstverleners) of kunnen specifiek worden aangewezen door de Belgische overheid.

Wie valt onder NIS2 in België?

Onder NIS2 in België vallen essentiële entiteiten (Bijlage I: energie, transport, banken, gezondheidszorg, drinkwater, digitale infrastructuur, openbaar bestuur, ICT-dienstenbeheer, ruimtevaart) en belangrijke entiteiten (Bijlage II: post, afvalbeheer, chemie, voeding, fabricage, digitale aanbieders, onderzoek), mits zij 50+ werknemers of €10M+ omzet hebben.

Wat zijn de NIS2 drempelwaarden voor bedrijfsgrootte?

Organisaties met 50+ werknemers OF €10M+ jaaromzet of balanstotaal in aangewezen sectoren moeten voldoen. Sommige kleinere organisaties vallen altijd onder de richtlijn (DNS, TLD, vertrouwensdiensten) of kunnen door het CCB worden aangewezen.

Wat zijn de NIS2-boetes in België?

NIS2-boetes in België kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en €7 miljoen of 1,4% van de wereldwijde jaaromzet voor belangrijke entiteiten — het hoogste bedrag geldt. Bestuursleden kunnen ook persoonlijk aansprakelijk worden gesteld en tijdelijk worden verbannen van managementtaken.

Wanneer werd NIS2 van kracht in België?

NIS2 werd in België afdwingbaar op 18 oktober 2024 via de wet van 26 april 2024. Essentiële en belangrijke entiteiten moesten zich tegen 18 maart 2025 registreren bij het CCB (Centrum voor Cybersecurity België) via Safeonweb@work.

Wat is het verschil tussen NIS2 en GDPR?

GDPR richt zich op de bescherming van persoonsgegevens van EU-inwoners, terwijl NIS2 zich richt op de cybersecurity en veerkracht van kritieke en belangrijke diensten. Ze overlappen bij incidentmelding en technische beveiligingsmaatregelen, maar NIS2 is sectorgericht op basis van kritikaliteit, niet op basis van persoonsgegevensverwerking. De meeste in-scope organisaties moeten aan beide tegelijk voldoen.

Vereist NIS2 een ISO 27001-certificering?

NIS2 vereist geen ISO 27001-certificering, maar de norm sluit nauw aan bij NIS2-vereisten en wordt breed gebruikt als praktisch kader om compliance aan te tonen. Een ISO 27001 gap-analyse is een gebruikelijk startpunt voor NIS2-gereedheid in België.

NIS2 België 2026: Sectoren, Voor Wie & Sancties

De NIS2-richtlijn heeft het aantal organisaties dat moet voldoen aan EU-cybersecurityvereisten drastisch uitgebreid. In België houdt het Centrum voor Cybersecurity België (CCB) toezicht op de implementatie, en duizenden bedrijven in 18 sectoren vallen nu onder het toepassingsgebied. Deze gids helpt u te bepalen of uw organisatie moet voldoen.

NIS2 België — snel antwoord: val ik onder NIS2?

U bent actief in één van de 18 NIS2-sectoren (Bijlage I essentieel of Bijlage II belangrijk), EN
U heeft 50+ werknemers OF €10M+ omzet / balanstotaal, OF
U bent DNS-aanbieder, TLD-register, vertrouwensdienstverlener of aanbieder van openbare elektronische communicatie — ongeacht de omvang, OF
U werd specifiek aangewezen door de Belgische overheid.

België heeft NIS2 omgezet via de wet van 26 april 2024. Registratie bij het CCB was verplicht tegen 18 maart 2025 voor essentiële en belangrijke entiteiten. Bijgewerkt april 2026.

NIS2 België: overzichtstabel van de sectoren

De 18 sectoren die onder NIS2 vallen zijn verdeeld over twee bijlagen, elk met een ander sanctieniveau en toezichtsintensiteit:

Bijlage	Sector	Type entiteit	Max. boete
I	Energie (elektriciteit, gas, olie, waterstof, stadsverwarming)	Essentieel	€10M / 2% wereldwijde omzet
I	Transport (lucht, spoor, water, weg)	Essentieel	€10M / 2% wereldwijde omzet
I	Bankwezen & financiëlemarktinfrastructuur	Essentieel	€10M / 2% wereldwijde omzet
I	Gezondheidszorg (ziekenhuizen, labs, farma)	Essentieel	€10M / 2% wereldwijde omzet
I	Drinkwater & afvalwater	Essentieel	€10M / 2% wereldwijde omzet
I	Digitale infrastructuur (DNS, TLD, cloud, datacenters, CDN, vertrouwensdiensten)	Essentieel	€10M / 2% wereldwijde omzet
I	ICT-dienstenbeheer (B2B MSP's, MSSP's)	Essentieel	€10M / 2% wereldwijde omzet
I	Openbaar bestuur	Essentieel	Bepaald door Belgische wet
I	Ruimtevaart (grondinfrastructuur)	Essentieel	€10M / 2% wereldwijde omzet
II	Post- & koeriersdiensten	Belangrijk	€7M / 1,4% wereldwijde omzet
II	Afvalbeheer	Belangrijk	€7M / 1,4% wereldwijde omzet
II	Chemische productie & distributie	Belangrijk	€7M / 1,4% wereldwijde omzet
II	Voedselproductie & -distributie	Belangrijk	€7M / 1,4% wereldwijde omzet
II	Fabricage (medische hulpmiddelen, elektronica, machines, voertuigen)	Belangrijk	€7M / 1,4% wereldwijde omzet
II	Digitale aanbieders (marktplaatsen, zoekmachines, sociale netwerken)	Belangrijk	€7M / 1,4% wereldwijde omzet
II	Onderzoeksorganisaties	Belangrijk	€7M / 1,4% wereldwijde omzet

NIS2-boetes in België

België heeft NIS2 omgezet via de wet van 26 april 2024, die in werking trad op 18 oktober 2024. Het sanctiekader behoort tot de strengste in de Europese cybersecurityregelgeving:

Essentiële entiteiten — administratieve boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet, het hoogste bedrag geldt.
Belangrijke entiteiten — administratieve boetes tot €7 miljoen of 1,4% van de wereldwijde jaaromzet, het hoogste bedrag geldt.
Verantwoordelijkheid van het management — bestuursleden en senior managers kunnen persoonlijk aansprakelijk worden gesteld en tijdelijk worden verbannen van managementtaken bij ernstige inbreuken.
Toezicht — essentiële entiteiten staan onder proactief ex-ante toezicht (audits, inspecties ter plaatse), terwijl belangrijke entiteiten onder ex-post toezicht vallen (geactiveerd door incidenten of klachten).

Belangrijke NIS2-data voor België

16 januari 2023 — NIS2-richtlijn (EU) 2022/2555 treedt in werking op EU-niveau.
17 oktober 2024 — EU-omzettingsdeadline; België haalde deze met de wet van 26 april 2024.
18 oktober 2024 — NIS2 wordt afdwingbaar in België.
18 maart 2025 — deadline voor registratie van essentiële en belangrijke entiteiten bij het CCB via Safeonweb@work.
18 april 2027 — deadline voor de volledige implementatie van de cyberrisicobeheersmaatregelen en audit-gereedheid.

Hoe NIS2 bepaalt wie moet voldoen

NIS2 gebruikt twee criteria om te bepalen of een organisatie onder het toepassingsgebied valt:

Sector — de organisatie opereert in een van de 18 sectoren die zijn opgenomen in de bijlagen van de richtlijn.
Omvang — de organisatie bereikt de drempelwaarde: minimaal 50 werknemers of een jaarlijkse omzet/balanstotaal van meer dan 10 miljoen euro.

Organisaties die aan beide criteria voldoen, vallen automatisch onder het toepassingsgebied. Sommige kleinere organisaties kunnen ook worden opgenomen als zij door de Belgische autoriteiten als kritiek worden beschouwd, ongeacht hun omvang.

Essentiële entiteiten: Bijlage I-sectoren

Essentiële entiteiten worden geconfronteerd met de strengste eisen en hoogste sancties. In België omvatten deze organisaties in de volgende sectoren:

Energie

Elektriciteitsproducenten, distributeurs en transmissienetwerkbeheerders
Aardgasdistributie-, transmissie- en opslagoperatoren
Olieraffinage- en pijpleidingoperatoren
Waterstofproductie, -opslag en -distributie
Stadsverwarming- en koelingsoperatoren

Transport

Luchtvaartmaatschappijen en luchthavenexploitanten
Spoorvervoerexploitanten en infrastructuurbeheerders (inclusief Infrabel en NMBS/SNCB)
Binnenvaart- en zeescheepvaartbedrijven
Wegvervoerders van essentiële goederen

Bankwezen en financiële infrastructuur

Kredietinstellingen onder toezicht van de NBB
Exploitanten van financiëlemarktinfrastructuur
Opmerking: financiële entiteiten vallen ook onder DORA

Gezondheidszorg

Ziekenhuizen en zorgverleners
EU-referentielaboratoria
Farmaceutische fabrikanten
Fabrikanten van medische hulpmiddelen (wanneer kritiek)

Overige essentiële sectoren

Drinkwater — leveranciers en distributeurs
Afvalwater — exploitanten van inzameling, zuivering en lozing
Digitale infrastructuur — DNS-aanbieders, TLD-registers, cloudcomputingaanbieders, datacenterexploitanten, content delivery networks en vertrouwensdienstverleners
ICT-dienstenbeheer (B2B) — managed service providers en managed security service providers
Openbaar bestuur — federale en regionale overheidsentiteiten
Ruimtevaart — exploitanten van grondinfrastructuur ter ondersteuning van ruimtediensten

Belangrijke entiteiten: Bijlage II-sectoren

Belangrijke entiteiten krijgen iets lagere sancties maar moeten nog steeds voldoen aan de kern-NIS2-vereisten:

Post- en koeriersdiensten — waaronder bpost en particuliere koeriersbedrijven
Afvalbeheer — exploitanten van inzameling, verwerking en recycling
Chemische productie — productie en distributie van chemicaliën
Voedselproductie — grootschalige voedselproductie en -distributie (groothandel)
Fabricage — medische hulpmiddelen, computers, elektronica, machines, motorvoertuigen en andere transportmiddelen
Digitale aanbieders — online marktplaatsen, zoekmachines en sociale netwerkplatforms
Onderzoeksorganisaties — universiteiten en onderzoeksinstellingen (wanneer aangewezen door België)

Drempelwaarden en uitzonderingen

De algemene drempelwaarde is 50 werknemers of 10 miljoen euro omzet. Er zijn echter verschillende uitzonderingen in België:

Altijd in scope ongeacht omvang: DNS-aanbieders, TLD-registers, vertrouwensdienstverleners en aanbieders van openbare elektronische communicatienetwerken.
Aanwijzing door de lidstaat: de Belgische overheid kan kleinere entiteiten aanwijzen als essentieel of belangrijk als hun verstoring een significante impact zou hebben op de openbare veiligheid, beveiliging of gezondheid.
Enige aanbieder: als uw organisatie de enige aanbieder is van een kritieke dienst in België, kunt u in scope vallen ongeacht uw omvang.
Grensoverschrijdende impact: organisaties waarvan de verstoring meerdere EU-lidstaten zou kunnen treffen, kunnen worden aangewezen ongeacht hun omvang.

Wat compliance vereist

Eenmaal in scope moeten zowel essentiële als belangrijke entiteiten:

Registreren bij het CCB — organisaties die in scope vallen, moeten zich registreren bij het Centrum voor Cybersecurity België.
Beveiligingsmaatregelen implementeren — risicogebaseerde cybersecuritymaatregelen aannemen die risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, supply chain-beveiliging en meer omvatten.
Incidenten melden — het CCB op de hoogte stellen van significante incidenten binnen 24 uur (vroegtijdige waarschuwing), 72 uur (volledige melding) en één maand (eindrapport).
Verantwoordelijkheid van het management waarborgen — het senior management moet cybersecurityrisicobeheermaatregelen goedkeuren en toezien op de uitvoering, en een opleiding volgen.

Een praktisch startpunt is het uitvoeren van een ISO 27001 gap-analyse, aangezien de norm nauw aansluit bij NIS2-vereisten.

Hoe ICTLAB kan helpen

ICTLAB helpt Belgische organisaties hun NIS2-scope te bepalen en efficiënt compliance te bereiken. Onze cybersecuritydiensten omvatten scopebeoordeling, gap-analyse, implementatie van vereiste beveiligingsmaatregelen en voorbereiding op CCB-registratie en -rapportage. Wij werken met organisaties in alle NIS2-sectoren, van energie en gezondheidszorg tot digitale infrastructuur en fabricage.

Als u niet zeker weet of uw organisatie onder NIS2 valt, neem dan contact op met ons team in Brussel voor een vrijblijvende beoordeling van uw compliance-verplichtingen.

NIS2 België: welke sectoren moeten voldoen?