Menu
De Groote – De Man

NIS2-wetgeving in België: verplichtingen, risico’s en wat uw onderneming nu moet doen

Blog
2 juli 2025

Cyberveiligheid staat sinds 18 oktober 2024 nog prominenter op de agenda van Belgische ondernemingen. Op die datum trad namelijk de Belgische omzettingswet van de Europese NIS2-richtlijn in werking, die een vernieuwd kader creëert voor de cyberbeveiliging van netwerk- en informatiesystemen. Wat betekent deze nieuwe wetgeving nu concreet voor uw onderneming? 

Is uw onderneming onderworpen aan de NIS2-wetgeving?

De NIS2-richtlijn breidt het toepassingsgebied aanzienlijk uit ten opzichte van haar voorganger. De wetgeving maakt een onderscheid tussen essentiële entiteiten(zoals ondernemingen actief in de energie-, transport-, banken- en gezondheidszorgsector) en belangrijke entiteiten(zoals ondernemingen actief in de post-, afvalbeheer-, chemie-, voedsel- en digitale diensten sector). 

Een belangrijk aspect van de NIS2-richtlijn is het gebruik van een groottecriterium: middelgrote en grote ondernemingen (met meer dan 50 werknemers of een jaaromzet boven de 10 miljoen euro) in de bovengenoemde sectoren vallen onder de regelgeving. Kleine en micro-ondernemingen blijven daarentegen principieel buiten schot. 

 

💡 Twijfelt u of uw onderneming onder NIS2 valt?  

Doe onze korte impacttest (±2 minuten) en ontdek meteen of en hoe de regelgeving op u van toepassing is – inclusief een helder resultaat en praktische aanbevelingen.

👉 Doe de test hier

 

Welke verplichtingen brengt NIS2 met zich mee?

De nieuwe wetgeving verplicht ondernemingen tot het implementeren van passende technische en organisatorische maatregelen binnen vijf kerngebieden: 

  • Risicobeheer: Systematische analyse van cyberbeveiligingsrisico’s, identificatie van kwetsbaarheden en opstellen van een risicobeheerplan. 
  • Incidentbeheer: Procedures voor detectie, rapportage en herstel van incidenten. Significante incidenten moeten binnen 24 uur aan het Centrum voor Cybersecurity België (CCB) worden gemeld, met een uitgebreider rapport binnen 72 uur. 
  • Bedrijfscontinuïteit: Robuust back-upbeheer, disaster recovery planning en regelmatige tests van herstelprocedures. 
  • Beveiliging van toeleveringsketens: Beveiliging van toeleveringsketens: Beoordeling van leveranciersrisico’s en beveiligingseisen in contracten. 
  • Netwerk- en informatiebeveiliging: Toegangscontrole, multi-factor authenticatie, encryptie en patchbeheer. 

 

Registratieplicht

Daarnaast bestaat een belangrijke verplichting tot registratie: alle entiteiten die onder de NIS2-wetgeving vallen, moeten zich registreren bij het CCB.   

Indien uw onderneming binnen het toepassingsgebied valt maar nog niet is geregistreerd, is het zaak dit zo snel mogelijk in orde te brengen. 

 

Bestuurdersaansprakelijkheid & sancties

De NIS2-richtlijn legt een expliciete verantwoordelijkheid bij het bestuursorgaan van de onderneming. Bestuurders zijn persoonlijk aansprakelijk voor het toezicht op de naleving van cyberbeveiligingsmaatregelen en kunnen aansprakelijk worden gesteld bij tekortkomingen. Het management moet passende training volgen en voldoende middelen toewijzen aan cyberveiligheid. 

Niet-naleving van bovenstaande verplichtingen kan leiden tot aanzienlijke sancties: boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. 

 

Ondersteuning bij NIS2-compliance

Bij De Groote – De Man begeleiden we ondernemingen en hun bestuurders bij het navigeren en implementeren van de NIS2-verplichtingen. We bieden ondersteuning bij het bepalen of uw onderneming onder de wetgeving valt, de registratie bij het CCB, en het implementeren van de vereiste cyberbeveiligingsmaatregelen. 

 

Wacht niet tot een cyberincident uw bedrijfsvoering verstoort

Neem vandaag nog contact op met ons team van specialisten om uw NIS2-compliance te bespreken.

team dt&e

 

Geschreven door

Steven De Grave

Steven De Grave is Associate Partner en verantwoordelijk voor de afdeling Data, Tech & Entertainment.