De NIS2-richtlijn: wat Belgische bedrijven moeten weten en hoe ze zich kunnen voorbereiden

Wat is er veranderd van NIS1 naar NIS2

De oorspronkelijke NIS-richtlijn, aangenomen in 2016, was het eerste EU-wetgevingsinstrument op het gebied van cyberbeveiliging. De implementatie bracht echter aanzienlijke tekortkomingen aan het licht: inconsistente omzetting tussen lidstaten, een beperkt toepassingsgebied dat veel kritieke sectoren onbeschermd liet, en ontoereikende handhavingsmechanismen. NIS2 pakt al deze tekortkomingen aan met een alomvattend kader dat de vereisten in de hele EU harmoniseert.

Belangrijke verschillen zijn onder meer een sterk uitgebreid toepassingsgebied dat sectoren omvat zoals openbare elektronische communicatie, ruimtevaart, afvalbeheer, voedselproductie, postdiensten en openbaar bestuur. NIS2 introduceert ook een drempel op basis van omvang, waardoor automatisch alle middelgrote en grote entiteiten in de gedekte sectoren worden meegenomen. De richtlijn vervangt het oude onderscheid tussen aanbieders van essentiele diensten en digitaledienstverleners door een nieuwe classificatie van essentiele entiteiten en belangrijke entiteiten.

Bijzonder significant is dat NIS2 persoonlijke aansprakelijkheid voor het hogere management introduceert. Bestuursleden en directieleden kunnen persoonlijk aansprakelijk worden gesteld voor cyberbeveiligingsfouten, en bij herhaalde niet-naleving kunnen individuen tijdelijk worden uitgesloten van managementfuncties.

Welke Belgische organisaties vallen onder het toepassingsgebied

NIS2 is van toepassing op middelgrote en grote organisaties die actief zijn in 18 aangewezen sectoren. Essentiele entiteiten omvatten organisaties in energie, vervoer, bankwezen, financielemarktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer, openbaar bestuur en ruimtevaart. Belangrijke entiteiten bestrijken post- en koeriersdiensten, afvalbeheer, chemicalien, voedselproductie en -distributie, fabricage van kritieke producten, digitale aanbieders en onderzoeksorganisaties.

In Belgie houdt het CCB toezicht op de naleving via een registratieproces. Entiteiten moesten zich voor 18 maart 2025 registreren via het Safeonweb@Work-portaal. Het onderscheid tussen essentiele en belangrijke entiteiten is vooral van belang voor het toezicht: essentiele entiteiten worden zowel proactief als reactief gecontroleerd met verplichte regelmatige conformiteitsbeoordelingen, terwijl belangrijke entiteiten alleen reactief worden gecontroleerd.

Belangrijk is dat het bereik van NIS2 verder reikt dan de direct gereguleerde entiteiten. De richtlijn legt sterk de nadruk op beveiliging van de toeleveringsketen, wat betekent dat zelfs organisaties die niet direct onder het toepassingsgebied vallen, mogelijk moeten voldoen als ze deel uitmaken van de toeleveringsketen van een gereguleerde entiteit. Het CCB adviseert alle organisaties in dergelijke ketens om minimaal te voldoen aan het Basic-niveau van het CyberFundamentals Framework.

Belangrijkste verplichtingen en nalevingsvereisten

NIS2 legt verplichtingen op in vier kerngebieden. Ten eerste risicobeheer: organisaties moeten passende en evenredige technische, operationele en organisatorische maatregelen implementeren om cyberbeveiligingsrisico's te beheren. Dit omvat beleid inzake risicoanalyse, incidentafhandeling, bedrijfscontinuiteit, beveiliging van de toeleveringsketen, netwerkbeveiliging, toegangscontrole, versleuteling en multifactorauthenticatie.

Ten tweede incidentmelding: organisaties moeten het CCB binnen strikte termijnen op de hoogte stellen van significante incidenten. Een vroegtijdige waarschuwing moet binnen 24 uur na kennisname worden ingediend, gevolgd door een gedetailleerde incidentmelding binnen 72 uur, en een eindrapport binnen een maand.

Ten derde beveiliging van de toeleveringsketen: organisaties moeten cyberbeveiligingsrisico's in hun toeleveringsketens beoordelen en beheren. Ten vierde verantwoordelijkheid van het management: het bestuursorgaan moet de risicobeheersmaatregelen goedkeuren, toezicht houden op de implementatie ervan en regelmatige cyberbeveiligingstraining volgen.

In Belgie kan naleving worden aangetoond via het CyberFundamentals (CyFun) Framework van het CCB, of via ISO 27001-certificering. Het CyFun-framework definieert vier zekerheidsniveaus: Small (voor micro-organisaties), Basic (34 essentiele controles), Important (99 aanvullende controles) en Essential (85 verdere geavanceerde controles). Entiteiten die rechtstreeks door het CCB worden gecontroleerd, moeten hun zelfevaluatie of ISO 27001-documentatie indienen voor 18 april 2026.

Sancties en handhaving

Het sanctieregime onder NIS2 is aanzienlijk en ontworpen om ervoor te zorgen dat naleving serieus wordt genomen. Essentiele entiteiten riskeren boetes tot 10 miljoen euro of 2% van hun totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Belangrijke entiteiten riskeren boetes tot 7 miljoen euro of 1,4% van hun totale wereldwijde jaaromzet.

Naast financiele sancties omvat het handhavingsinstrumentarium bindende instructies, bevelen om specifieke beveiligingsmaatregelen te implementeren, bevelen om getroffen partijen te informeren over dreigingen, en tijdelijke opschorting van certificeringen of vergunningen. In de ernstigste gevallen kunnen lidstaten individuen die verantwoordelijk zijn voor managementfuncties tijdelijk verbieden deze rollen uit te oefenen.

De Belgische handhavingsaanpak is gelaagd, waarbij het CCB evenredige maatregelen toepast op basis van de ernst van de niet-naleving en de classificatie van de entiteit. Het proactieve toezicht op essentiele entiteiten betekent dat nalevingslacunes waarschijnlijk worden geidentificeerd voordat incidenten plaatsvinden, waardoor vroege voorbereiding cruciaal is.

Praktische stappen naar naleving

Het bereiken van NIS2-naleving vereist een gestructureerde aanpak. Begin met vast te stellen of uw organisatie binnen het toepassingsgebied valt door uw sector, omvang en rol in kritieke toeleveringsketens te beoordelen. Als u onder het toepassingsgebied valt, zorg er dan voor dat uw registratie bij het CCB via het Safeonweb@Work-portaal volledig en nauwkeurig is.

Voer een grondige gap-analyse uit waarbij u uw huidige cyberbeveiligingshouding vergelijkt met de vereisten van het CyFun-framework of ISO 27001. Geef prioriteit aan het aanpakken van de meest kritieke lacunes, met name op het gebied van incidentrespons, risicobeoordeling van de toeleveringsketen en cyberbeveiligingsgovernance op managementniveau. Investeer in training voor zowel technisch personeel als bestuursleden.

Stel uw incidentresponsprocedures vast of verfijn deze om te voldoen aan de deadlines van 24 uur voor vroegtijdige waarschuwing en 72 uur voor melding. Test deze procedures door middel van regelmatige oefeningen. Herzie en versterk contracten met leveranciers en dienstverleners om cyberbeveiligingsvereisten op te nemen, en implementeer doorlopende monitoring van toeleveringsketenrisico's.

Hoe Shady AS kan helpen

Navigeren door NIS2-naleving kan complex zijn, vooral voor organisaties die tegelijkertijd met meerdere regelgevingskaders te maken hebben. Bij Shady AS SRL is ons Brusselse team van IT-consultants gespecialiseerd in het helpen van Belgische organisaties bij het beoordelen van hun NIS2-verplichtingen, het uitvoeren van gap-analyses ten opzichte van het CyberFundamentals Framework en ISO 27001, en het opstellen van praktische routekaarten naar naleving.

Van het implementeren van robuuste incidentresponsprocedures tot het versterken van de beveiliging van de toeleveringsketen en het voorbereiden van bestuursorganen op hun nieuwe verantwoordelijkheden, wij bieden end-to-end ondersteuning op maat van de specifieke behoeften van uw organisatie. Neem vandaag nog contact met ons op om een NIS2-gereedheidsbeoordeling in te plannen.