De klok tikt. Op 18 april 2026 moeten Belgische bedrijven die onder de NIS2-wetgeving vallen hun conformiteitsbeoordeling op orde hebben. Maar val jij eigenlijk onder die wet? En zo ja: ben je dan een ‘essentiële’ of een ‘belangrijke’ entiteit? Het verschil bepaalt niet alleen je verplichtingen, maar ook de hoogte van mogelijke sancties.
NIS2-registratie: ben je al in orde?
Laten we met de deur in huis vallen. De registratiedeadlines voor NIS2 zijn verstreken. Digitale bedrijven moesten zich registreren voor 18 december 2024, alle andere sectoren voor 18 maart 2025.
Nog niet geregistreerd? Dan ben je technisch gezien al in overtreding. Geen paniek, maar wel actie ondernemen. Je kunt je alsnog registreren via het Safeonweb@Work platform. Zorg dat je dit zo snel mogelijk in orde brengt. Je hebt een wettelijke vertegenwoordiger nodig via het eGov rolbeheer.
Essentiële vs. belangrijke entiteiten: wat zegt de wet?
De Belgische NIS2-wet deelt bedrijven in twee categorieën in op basis van een matrix van sector en bedrijfsgrootte. Die indeling bepaalt niet alleen hoe streng het toezicht is, maar ook hoe hoog de boetes kunnen oplopen.
Essentiële entiteiten
Dit zijn bedrijven waarbij uitval een groot maatschappelijk risico vormt. Denk aan energiebedrijven, ziekenhuizen, banken, drinkwatervoorziening en digitale infrastructuur zoals cloudproviders en datacenters.
Je bent een essentiële entiteit als je voldoet aan deze criteria:
- Minstens 250 werknemers of meer dan 50 miljoen euro omzet, én
- Je actief bent in een zeer kritieke sector uit Bijlage I (zoals energie, transport, bankwezen, gezondheidszorg of digitale infrastructuur)
Daarnaast zijn sommige bedrijven automatisch essentieel, ongeacht hun grootte. Denk aan gekwalificeerde verleners van vertrouwensdiensten (zoals Itsme), TLD-registerbeheerders en aanbieders van openbare elektronische communicatienetwerken.
Wat betekent dit concreet? Essentiële entiteiten krijgen zowel voorafgaand als achteraf toezicht. Het Centrum voor Cybersecurity België (CCB) kan proactief audits uitvoeren om te controleren of je security controls op orde zijn.
Belangrijke entiteiten
Belangrijke entiteiten hebben dezelfde beveiligingsverplichtingen als essentiële entiteiten, maar het toezicht is lichter. De overheid controleert pas achteraf, bijvoorbeeld na een security incident.
Je bent een belangrijke entiteit als:
- Je een middelgroot bedrijf bent (50 tot 249 werknemers) in een zeer kritieke sector uit Bijlage I, óf
- Je een middelgroot of groot bedrijf bent in een andere kritieke sector uit Bijlage II (zoals postdiensten, afvalbeheer, chemie, voedselproductie of maakindustrie)
De deadline van 18 april 2026
Op 18 april 2026 moeten essentiële entiteiten hun eerste conformiteitsbeoordeling afgerond hebben. Dit betekent dat een geaccrediteerde Conformity Assessment Body (CAB) je security-aanpak moet hebben gecontroleerd en geverifieerd op basis van het CyberFundamentals (CyFun) framework.
Dit is geen formaliteit. Een grondige audit vraagt voorbereiding. Je moet kunnen aantonen dat je risicobeheer, incident detection & response, business continuity en supply chain security op orde zijn. Dat regel je niet in een paar weken.
Tip voor IT-teams: Start nu met een gap-analyse. Breng in kaart welke CyFun-controls je al hebt geïmplementeerd en waar de hiaten zitten. Zo voorkom je verrassingen tijdens de officiële audit.
Boetes tot 10 miljoen euro: wat riskeer je?
Het CCB kan bij niet-naleving stevige administratieve geldboetes opleggen. En “niet-naleving” kan al betekenen dat je je niet hebt geregistreerd of een incident niet (tijdig) hebt gemeld.
| Type entiteit | Maximumboete | Of percentage omzet |
|---|---|---|
| Essentiële entiteit | Tot 10 miljoen euro | Of 2% van de wereldwijde jaaromzet |
| Belangrijke entiteit | Tot 7 miljoen euro | Of 1,4% van de wereldwijde jaaromzet |
Bij essentiële entiteiten kan het CCB in extreme gevallen zelfs bestuurders tijdelijk schorsen. De wetgever maakt duidelijk dat cybersecurity een bestuurlijke verantwoordelijkheid is, niet iets dat je volledig aan IT kunt delegeren.
Val jij onder de NIS2-wetgeving?
Dit zijn de vragen die je moet beantwoorden:
- Hoeveel werknemers heb je? Minder dan 50, tussen 50 en 249, of 250 of meer?
- Wat is je jaaromzet? Minder dan 10 miljoen, tussen 10 en 50 miljoen, of meer dan 50 miljoen euro?
- In welke sector ben je actief? Zeer kritiek (Bijlage I) of andere kritieke sector (Bijlage II)?
De combinatie van deze factoren bepaalt of je essentieel, belangrijk of helemaal niet onder NIS2 valt.
Twijfel je? Je bent niet de enige. De sectorindeling is soms technischer dan je zou denken. Een productiebedrijf kan bijvoorbeeld onder “maakindustrie” vallen en daarmee onder NIS2, terwijl een vergelijkbaar bedrijf net buiten de scope valt.
NIS2-compliance: 4 stappen om nu te zetten
Stap 1: Check of je al geregistreerd bent Ga naar Safeonweb@Work en controleer of je organisatie geregistreerd staat. Zo niet, doe dit vandaag nog.
Stap 2: Bepaal je categorie Essentieel of belangrijk? Dit bepaalt je verplichtingen en het toezicht waaronder je valt.
Stap 3: Plan je conformiteitsbeoordeling Voor essentiële entiteiten is de deadline 18 april 2026. Een goede audit vraagt maanden voorbereiding. Begin nu met een gap-analyse tegen het CyFun framework om te zien waar je staat.
Stap 4: Zoek de juiste partner NIS2-compliance is geen eenmalig project, maar een doorlopend proces. Zorg dat je een partner hebt die je begeleidt, niet alleen bij de audit, maar ook bij het structureel verbeteren van je security posture.
Veelgestelde vragen over NIS2
Moet mijn bedrijf voldoen aan NIS2?
Als je 50 of meer werknemers hebt én actief bent in een kritieke sector (Bijlage I of II van de wet), val je waarschijnlijk onder NIS2. Bedrijven met minder dan 50 werknemers vallen in de meeste gevallen buiten de scope, tenzij ze actief zijn in specifieke digitale diensten.
Wat is het verschil tussen een essentiële en belangrijke entiteit?
Essentiële entiteiten zijn grote bedrijven (250+ werknemers) in zeer kritieke sectoren. Ze krijgen zowel voorafgaand als achteraf toezicht van het CCB. Belangrijke entiteiten hebben dezelfde beveiligingsverplichtingen, maar worden alleen achteraf gecontroleerd, bijvoorbeeld na een incident.
Wat zijn de NIS2-boetes in België?
Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten is dit maximaal 7 miljoen euro of 1,4% van de omzet. Het hoogste bedrag geldt.
Wanneer moet ik geregistreerd zijn voor NIS2?
De registratiedeadlines zijn verstreken (december 2024 voor digitale sectoren, maart 2025 voor overige). Als je nog niet geregistreerd bent, doe dit dan zo snel mogelijk via Safeonweb@Work om verdere overtredingen te voorkomen.
Wat is het CyberFundamentals framework?
CyberFundamentals (CyFun) is het Belgische referentiekader voor cybersecurity, ontwikkeld door het CCB. Het framework definieert de security controls waaraan je moet voldoen en vormt de basis voor de conformiteitsbeoordeling door geaccrediteerde auditors.
Hulp nodig bij NIS2 in België?
NIS2 klinkt misschien als een administratieve verplichting, maar het is ook een kans. Een kans om je security posture écht op orde te krijgen, voordat een incident je daartoe dwingt.
Bij Cyberplan helpen we Vlaamse bedrijven om wegwijs te worden in de NIS2-wetgeving. Van gap-analyse tot audit-begeleiding, van risicobeheer tot incident response planning. Geen juridisch jargon, wel duidelijke taal en concrete stappen.
En goed om te weten: via de KMO-portefeuille kun je tot 45% subsidie krijgen op onze audits en begeleiding.
Plan een vrijblijvend kennismakingsgesprek en ontdek waar jouw bedrijf staat.
Dit artikel werd gepubliceerd in januari 2026. De NIS2-wetgeving evolueert. Heb je vragen over de actuele stand van zaken? Neem contact met ons op.
