Beschikbaar voor nieuwe klanten
← Terug naar inzichtenCompliance

NIS2 in 2026: wat moet jouw KMO doen?

Door Tom Pauwels·7 min lezen·Maart 2025

De NIS2-richtlijn (Network and Information Security 2) is omgezet in Belgische wetgeving via de wet van 26 april 2024. Bedrijven in sectoren die als essentieel of belangrijk worden beschouwd, moeten voldoen aan strikte cybersecurityvereisten — ook als ze maar 10 medewerkers hebben.

⚠️
Belangrijke deadline
Bedrijven die onder NIS2 vallen, moeten zich registreren bij het CCB (Centre for Cybersecurity Belgium) en aantoonbaar voldoen aan de technische en organisatorische vereisten. Niet-naleving kan leiden tot boetes tot €10 miljoen of 2% van de jaaromzet.

Valt uw KMO onder NIS2?

NIS2 onderscheidt twee categorieën:

Essentiële entiteiten
  • Energie (elektriciteit, gas, olie)
  • Transport (lucht, spoor, water, weg)
  • Bankwezen & financiële infrastructuur
  • Gezondheidszorg
  • Drinkwater & afvalwater
  • Digitale infrastructuur (cloud, DNS, IXP)
Belangrijke entiteiten
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Chemische sector
  • Voedingssector
  • Maakindustrie (medisch, IT, machines)
  • Digitale aanbieders (e-commerce, zoekmachines)

Drempelwaarden voor ‘belangrijke entiteiten’: meer dan 50 medewerkers en/of een jaaromzet van meer dan €10 miljoen. Kleinere bedrijven in sectoren als digitale infrastructuur, gezondheidszorg of energie kunnen ook vallen onder de richtlijn, ongeacht hun grootte.

Twijfelt u? Gebruik de NIS2-check van het CCB om na te gaan of uw organisatie onder de richtlijn valt.

Wat moet u concreet doen?

De wet schrijft een reeks technische en organisatorische maatregelen voor. Dit zijn de belangrijkste:

🔍

Risicobeheer

Voer een formele risicoanalyse uit: welke systemen en data zijn kritiek? Wat zijn de bedreigingen? Documenteer dit aantoonbaar.

🚨

Incidentbeheer en meldplicht

Significante cyberveiligheidincidenten moeten binnen 24 uur gemeld worden aan het CCB. U heeft een gedocumenteerd incidentresponsplan nodig.

🔒

Technische basismaatregelen

MFA voor alle gebruikers, encryptie van gevoelige data, netwerksegmentatie, patchmanagement en regelmatige back-ups op offsite-locatie.

🤝

Beveiliging van de toeleveringsketen

U bent ook verantwoordelijk voor de cybersecurity van uw leveranciers en IT-dienstverleners. Sluit een verwerkersovereenkomst af en verifieer hun maatregelen.

📚

Bewustwording en opleiding

Medewerkers moeten aantoonbaar getraind worden in cybersecurityhygiëne. Phishing-simulaties en basistrainingen volstaan hier.

📋

Registratie bij het CCB

Entiteiten die onder NIS2 vallen, moeten zich registreren via het online portaal van het CCB. Dit is een wettelijke verplichting.

Wat als u niets doet?

De CCB heeft toezichtsbevoegdheden en kan audits uitvoeren. Bij essentiële entiteiten kan het CCB ook proactief controleren; bij belangrijke entiteiten wordt doorgaans gereageerd op klachten of incidenten.

Sancties lopen op tot €10 miljoen of 2% van de mondiale jaaromzet (het hoogste bedrag telt). Voor kleine KMO's zijn de boetes lager, maar ook een geldboete van €50.000 kan een ernstige klap zijn voor een bedrijf met 10 medewerkers. Bovendien kan de reputatieschade na een gemeld incident groter zijn dan de boete zelf.

Hoe ICTcoach u helpt

Wij begeleiden KMO's door het NIS2-traject: van een eerste gap-analyse tot het implementeren van de vereiste technische maatregelen en het opstellen van beleids- en incidentrespons-documenten.

U hoeft geen security-expert te worden. U heeft iemand nodig die het voor u regelt — en u kan uitleggen wat er gedaan is en waarom.

Klaar voor NIS2?

In een gratis gesprek brengen we uw NIS2-gap in kaart en leggen we uit welke stappen u als eerste moet zetten — zonder technisch jargon.

Plan gratis gesprek
Klaar om te starten?

Klaar voor
zorgeloze IT?

Vrijblijvend · 30 minuten · Op uw kantoor of online

Plan gratis kennismakingsgesprek+32 (0)3 211 00 88