Moet Jouw Bedrijf aan NIS2 Voldoen?

NIS2 raakt meer organisaties dan ooit tevoren. Maar hoe weet je of jouw bedrijf binnen scope valt? Deze gids legt precies uit wie aan NIS2 moet voldoen, de omvangdrempels, en waarom ook kleinere bedrijven geraakt kunnen worden via leveranciersketenvereisten.

Professional beoordeelt NIS2 compliance scope
Bepalen of je bedrijf aan NIS2 moet voldoen

Wat: Wie Valt Onder NIS2?

NIS2 is van toepassing op organisaties in twee categorieën: essentiële entiteiten en belangrijke entiteiten. De classificatie bepaalt je verplichtingen en mogelijke boetes.

Essentiële Entiteiten (11 sectoren)

Hogere verplichtingen, strenger toezicht

  • Energie (elektriciteit, olie, gas, stadsverwarming, waterstof)
  • Transport (lucht, spoor, water, weg)
  • Bankwezen
  • Financiële marktinfrastructuren
  • Gezondheidszorg (ziekenhuizen, laboratoria, farmaceutica)
  • Drinkwater
  • Afvalwater
  • Digitale infrastructuur (DNS, TLD-registers, cloud, datacenters, CDN's)
  • ICT-dienstenbeheer (B2B)
  • Openbaar bestuur
  • Ruimtevaart

Belangrijke Entiteiten (7 sectoren)

Reactief toezicht (na incidenten)

  • Post- en koerierdiensten
  • Afvalbeheer
  • Chemicaliën (productie en distributie)
  • Voeding (productie, verwerking, distributie)
  • Maakindustrie (medische apparaten, computers, elektronica, machines, voertuigen)
  • Digitale dienstverleners (online marktplaatsen, zoekmachines, sociale netwerken)
  • Onderzoeksorganisaties

Omvangdrempels: De 50/10-Regel (en Nieuwe Small Mid-Cap Categorie)

Niet elk bedrijf in deze sectoren moet voldoen. NIS2 gebruikt omvangdrempels om scope te bepalen. Op 20 januari 2026 stelde de Europese Commissie een nieuwe "small mid-cap" entiteitscategorie voor die dit verder kan uitbreiden:

Middelgrote en grote ondernemingen: 50+ medewerkers OF €10M+ jaaromzet
Grote ondernemingen daarnaast: 250+ medewerkers OF €50M+ omzet EN €43M+ balanstotaal
Voorstel: Small mid-cap entiteiten (jan 2026): <750 medewerkers EN <€150M omzet — vereenvoudigde verplichtingen onder de voorgestelde NIS2-wijzigingen
Essentiële versus belangrijke sectoren illustratie
NIS2 onderscheidt essentiële en belangrijke sectoren
Belangrijkste verschillen tussen essentiële en belangrijke entiteiten onder NIS2
CategorieEssentiële EntiteitenBelangrijke Entiteiten
Sectoren 11 sectoren 7 sectoren
Toezicht Proactief (regelmatige audits) Reactief (na incidenten)
Maximale boete €10M of 2% wereldwijde omzet €7M of 1,4% wereldwijde omzet
Bestuurdersaansprakelijkheid Ja, kan geschorst worden Ja, kan geschorst worden
Incidentmelding 24u vroege waarschuwing 24u vroege waarschuwing

Waarom: Waarom Is Het Belangrijk om te Weten?

Begrijpen of je binnen scope valt is cruciaal om meerdere redenen:

Vermijd significante boetes

Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde omzet. Belangrijke entiteiten tot €7 miljoen of 1,4%. Dit is geen theorie—toezichthouders handhaven actief.

Persoonlijke aansprakelijkheid bestuur

NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders. Management kan verantwoordelijk worden gehouden en zelfs geschorst worden bij niet-naleving.

Leveranciersketenvereisten

Organisaties binnen scope moeten de cybersecurity van hun leveranciers beoordelen. Als je aan hen levert, krijg je compliance-eisen via contracten.

Concurrentievoordeel

Vroege compliance toont betrouwbaarheid aan. Veel organisaties vragen leveranciers nu al naar NIS2-compliance in offerteaanvragen.

Verzekeringseisen

Cyberverzekeraars eisen steeds vaker NIS2-compliance of gelijkwaardige beveiligingsmaatregelen voor dekking.

Hoe: Zelfbeoordelingschecklist

Gebruik deze checklist om te bepalen of jouw organisatie onder NIS2 valt:

1

Ben je actief in een van de 18 NIS2-sectoren?

Controleer de essentiële (11) en belangrijke (7) sectorlijsten hierboven

2

Heb je 50+ medewerkers?

Tel alle medewerkers in de organisatie

3

Heb je €10M+ jaaromzet?

Of €10M+ balanstotaal

4

Ben je de enige aanbieder van een kritieke dienst?

Dit geldt ongeacht omvang

5

Lever je aan organisaties die moeten voldoen?

Je kunt contractuele eisen krijgen

Wat Nu te Doen

Als je binnen scope valt—of geraakt kunt worden via leveranciersketenvereisten:

1

Beoordeel je huidige beveiligingsniveau

Begrijp waar je nu staat ten opzichte van NIS2-eisen

2

Start met CyberFundamentals

Het CCB-framework van België is het officiële pad naar NIS2-compliance

3

Documenteer alles

Bewijs van je beveiligingsmaatregelen is essentieel voor audits

4

Plan voor incidentmelding

Je moet significante incidenten binnen 24 uur melden

Hoe Easy Cyber Protection Helpt

Scope-beoordeling — Wij helpen bepalen of en hoe NIS2 op jou van toepassing is
CyberFundamentals-afstemming — Begeleide compliance met het officiële Belgische framework
Bewijsverzameling — Ingebouwde documentatie voor audits en leveranciersketenvereisten
Voortgang bijhouden — Duidelijk zicht op je compliance-status
Gratis starten — Begin met ons gratis Small-niveau om te starten

Veelgestelde Vragen

Mijn bedrijf heeft precies 50 medewerkers. Val ik binnen scope?

Ja. NIS2 is van toepassing op organisaties met 50 of meer medewerkers (of €10M+ omzet). De drempel is "50 of meer," dus precies 50 medewerkers plaatst je binnen scope als je actief bent in een gedekte sector.

We zijn een klein IT-bedrijf dat zorginstellingen bedient. Moeten wij voldoen?

Als je zelf niet aan de omvangdrempels voldoet, val je niet direct binnen scope. Echter, je zorgklanten VALLEN WEL binnen scope en moeten hun leveranciersketen-beveiliging beoordelen. Verwacht dat zij NIS2-niveau beveiligingsmaatregelen via je contracten zullen eisen.

Hoe zit het met Belgische dochterondernemingen van internationale bedrijven?

NIS2 is van toepassing per entiteit. Als je Belgische dochteronderneming actief is in een gedekte sector en aan omvangdrempels voldoet, moet deze voldoen. De compliance van het moederbedrijf dekt niet automatisch dochterondernemingen.

Wordt een softwarebedrijf beschouwd als "digitale infrastructuur"?

Niet automatisch. "Digitale infrastructuur" verwijst naar specifieke diensten: DNS, TLD-registers, cloud computing, datacenters, CDN's, vertrouwensdiensten. Een typisch softwarebedrijf zou eerder onder "digitale dienstverleners" (belangrijke sector) vallen als het marktplaatsen, zoekmachines of sociale netwerken exploiteert.

Wanneer moeten we compliant zijn?

NIS2 is op 17 oktober 2024 in werking getreden. Essentiële entiteiten in België moeten hun zelfbeoordeling indienen voor 18 april 2026. Ongeveer 2.000 entiteiten (1.500 essentieel + 500 belangrijk) zijn al geregistreerd bij het CCB. België gebruikt CyberFundamentals als compliance-framework.

Wat is de nieuwe "small mid-cap" categorie?

Op 20 januari 2026 stelde de Europese Commissie een nieuwe entiteitscategorie voor: bedrijven met minder dan 750 medewerkers en onder €150M omzet. Deze "small mid-cap" entiteiten zouden vereenvoudigde NIS2-verplichtingen krijgen. Dit maakt deel uit van het bredere EU Cybersecurity Package om compliance makkelijker te maken voor de 28.700 getroffen bedrijven.

Gerelateerde Artikelen

Bronnen

  1. NIS2 Directive (EU) 2022/2555 — Official Journal of the European Union
  2. Annex I & II: Sectors of High Criticality and Other Critical Sectors — NIS2 Directive Annexes
  3. CyberFundamentals Framework — Centre for Cybersecurity Belgium (CCB)
  4. NIS Directive Implementation — European Union Agency for Cybersecurity (ENISA)
  5. NIS2 Article 2: Scope — Size thresholds and entity definitions
  6. EU Cybersecurity Package (January 2026) — Proposed NIS2 amendments including small mid-cap category