De NIS2-richtlijn (cybersecurity)

Laatst bijgewerkt: 11/03/2025

Wat is de NIS2-richtlijn?

NIS2 is de vernieuwde Europese richtlijn rond netwerk- en informatiebeveiliging. Met deze richtlijn wil Europa de digitale weerbaarheid van bedrijven en organisaties versterken, om grote of langdurige cyberincidenten zoveel mogelijk te voorkomen.

Concreet zorgt NIS2 voor

  • Strengere cybersecurityverplichtingen
    Je moet aantonen dat jouw bedrijf voldoende maatregelen neemt om zich te beschermen tegen cyberdreigingen
  • Uitgebreidere sectoren die onder de verplichting vallen
    Niet alleen “kritieke” sectoren, maar ook diverse ondersteunende of toeleverende sectoren
  • Verplichte incidentrapportering
    Je moet ernstige cyberincidenten snel melden bij de bevoegde instantie (bv. FOD Economie, CERT.be)
NIS2-richtlijn cybersecurity

Welke sectoren vallen onder NIS2?

Kritieke sectoren

Onder “kritieke sectoren” (ook wel “essentiële entiteiten”) vallen onder meer:

  • Energie - Transport - Bankwezen - Infrastructuur van financiële markten - Gezondheidszorg - Drinkwater - Afvalwater - Digitale infrastructuur - Beheer van ICT-diensten - Openbaar bestuur - Ruimtevaart

Aanvullende kritieke sectoren

Daarnaast is er een bredere groep “belangrijke entiteiten” die ook onder de NIS2-richtlijn vallen:

  • Post- en koeriersdiensten - Afvalbeheer - Chemie - Voedsel - Industrie - Digitale aanbieders - Onderzoek

Maar let op

Louter actief zijn in een (aanvullende) kritieke sector maakt jouw organisatie niet automatisch onderhevig aan NIS2. Je moet ook aan bepaalde groottecriteria voldoen.

Groottecriteria: wanneer val je onder NIS2?

  • Groot bedrijf
    • Meer dan 50 miljoen euro jaarlijkse omzet of
    • Minstens 250 medewerkers
  • Middelgroot bedrijf
    • Meer dan 10 miljoen euro jaarlijkse omzet of
    • Minstens 50 medewerkers

Val je binnen deze omzet- of personeelsgrenzen én ben je actief in een van de (aanvullende) kritieke sectoren? Dan is de kans groot dat je onder de NIS2-verplichting valt.

De bouwsector is hier niet specifiek in opgenomen dus het zal altijd gaan om werken uitvoeren voor een van deze sectoren.

Wat met kleinere organisaties?

Voldoe je niet aan bovenstaande criteria? Dan val je in principe buiten de directe reikwijdte van NIS2.

Belangrijke uitzondering!

Ben je een kleine onderneming die essentieel is in de toeleveringsketen, bijvoorbeeld als leverancier of onderaannemer van een essentiële dienst of actief in een hoog-risicosector, dan kun je toch onder NIS2 vallen. De NIS2-plichtige zal jou dan opleggen om aan bepaalde voorwaarden te voldoen.

Deadline verplichte registratie = 18 maart

Blijkt dat je onder NIS2 valt? Dan moet je jezelf ten laatste op 18 maart registreren bij de bevoegde instantie in België (NIS2 registratie).

Deze registratie is de eerste stap om:

  1. Te bevestigen dat je binnen de reikwijdte van de richtlijn valt.
  2. In kaart te brengen welke cybersecuritymaatregelen je bedrijf al neemt of nog moet nemen.
  3. Aan te geven hoe je incidenten opvolgt en meldt.

Heb je nog geen duidelijkheid over jouw status? Raadpleeg dan zo snel mogelijk de officiële informatiebronnen (NIS2). Zo voorkom je sancties en kun je op tijd de nodige maatregelen nemen.

Wat houdt de NIS2-verplichting concreet in?

  • Risicoanalyse en beveiligingsmaatregelen: Je moet cyberrisico’s evalueren en gepaste maatregelen treffen, zoals firewalls, strikte toegangscontroles, regelmatige back-ups en goed beheer van data en software-updates.
  • Incidentmelding: Bij ernstige cyberincidenten dien je die snel te melden aan de bevoegde instantie. Dit helpt om schade te beperken en snel ondersteuning te krijgen.
  • Samenwerking: Er wordt van je verwacht dat je meewerkt met overheid en partners (zoals sectorgenoten) om cyberdreigingen gezamenlijk aan te pakken.

Praktisch kan dat bijvoorbeeld zijn

  • Gebruik van MFA (Multi-Factor Authenticatie)
  • Regelmatige pentesting
  • Cyberverzekering als vangnet
  • Opleidingen voor medewerkers

Waarom is dit belangrijk voor jouw bouwbedrijf?

Digitalisering in de bouwsector neemt toe, met online planningssystemen, digitale werfopvolging en samenwerkingsplatformen. Een cyberaanval kan je werking serieus verstoren: van platgelegde administratie tot diefstal van vertrouwelijke projectgegevens.

Door te voldoen aan NIS2:

  • Bescherm je de continuïteit van je onderneming.
  • Versterk je het vertrouwen bij opdrachtgevers en partners.
  • Vermijd je boetes en reputatieschade als gevolg van wettelijke non-compliance.

Hoe registreer je je?

  1. Controleer of je binnen NIS2 valt: Vergelijk je bedrijfsactiviteiten met de (aanvullende) kritieke sectoren én de groottecriteria.
  2. Registreer online: Via het officiële overheidsportaal (NIS2 registratie) kun je de vereiste gegevens indienen.
  3. Onderbouw je beveiligingsmaatregelen: Zorg dat je kan aantonen dat je over een IT-beveiligingsbeleid en de nodige tools/procedures beschikt.
  4. Blijf op de hoogte: De overheid kan tussentijds nieuwe richtlijnen communiceren of extra controles opleggen.

Sancties en boetes

Wat gebeurt er als een onderneming zich niet registreert of niet aan de NIS2-verplichtingen voldoet? Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten en 7 miljoen euro of 1,4% van de omzet voor belangrijke entiteiten.

Conclusie

NIS2 kan ook voor jouw kmo van toepassing zijn, zeker als je actief bent in een (aanvullende) kritieke sector én de groottecriteria haalt.

Twijfel je? Neem geen risico en check de officiële richtlijnen of vraag advies.

Als je binnen de scope valt, registreer je dan zeker voor 18 maart. Zo voldoe je aan de wettelijke verplichtingen en voorkom je nare verrassingen.

Heb je nog vragen of zoek je hulp bij dit proces? Neem gerust contact met ons op. Wij helpen je graag om te voldoen aan de NIS2-verplichtingen, zodat jij je kunt focussen op het verder uitbouwen van een veilige en succesvolle onderneming.