NIS2 is de nieuwe Europese cybersecuritywet, sinds 18 oktober 2024 ook in België van kracht. De term duikt overal op, vaak met een flinke dosis paniek erbij, net zoals destijds bij GDPR. Tijd voor een nuchtere blik: de meeste kleine KMO's vallen er níét rechtstreeks onder. Maar "niet rechtstreeks" is iets anders dan "niets aan de hand".
Hier is wat je écht moet weten.
Wanneer val je rechtstreeks onder NIS2?
Twee voorwaarden, en ze gelden allebei tegelijk:
- Je zit in een van de 18 aangewezen sectoren. Denk aan energie, transport, digitale infrastructuur, zorg, financiën, chemie, farma, water en afvalverwerking. IT-dienstverlening valt hier ook onder.
- Je overschrijdt de groottedrempel: minstens 50 werknemers, óf een jaaromzet en/of balanstotaal van minstens 10 miljoen euro.
Pas als beide kloppen, ben je een NIS2-entiteit. Het VBO schat dat het in België om ongeveer 2.000 bedrijven gaat. De grote meerderheid van klassieke KMO's onder de 50 werknemers valt er dus buiten, tenzij je in zo'n strikt omschreven sector zit.
Korte zelftest: zit je in een van de 18 sectoren én haal je 50 werknemers of 10 miljoen euro? Dan ben je verplicht. Eén van de twee, of geen van beide? Dan niet rechtstreeks.
De achterdeur: je klant valt eronder, jij niet
Hier zit het venijn voor kleinere bedrijven. NIS2 verplicht entiteiten om hun volledige toeleveringsketen te beveiligen. Dat betekent dat een NIS2-plichtige klant de eisen contractueel aan jóú zal doorgeven, ook al ben je zelf te klein om onder de wet te vallen.
Bouw of beheer je software, host je data of lever je een dienst aan een ziekenhuis, energiebedrijf of grote logistieke speler? Reken erop dat NIS2-clausules in je volgende contract opduiken. Je valt dan via de keten alsnog onder een groot deel van de verplichtingen.
Wat moet er dan gebeuren?
NIS2 is geen checklist die je één keer afvinkt. Het draait om aantoonbare, doorlopende maatregelen rond een tiental domeinen: risicobeoordeling, incidentrespons, bedrijfscontinuïteit, beveiliging van de toeleveringsketen en opleiding van personeel. Concreet:
- Risicoanalyse en beleid. Breng in kaart welke dreigingen relevant zijn en leg passende technische én organisatorische maatregelen vast.
- Meldplicht bij incidenten. Bij een significant cyberincident: eerste melding aan het CCB binnen 24 uur, aanvullende rapportage binnen 72 uur, en een gedetailleerd verslag binnen één maand.
- Bewijs en governance. Beleidsstukken, audits en aantoonbare maatregelen moeten klaarliggen voor de toezichthouder. Verantwoordelijkheid ligt expliciet bij het management.
- Certificering (voor de zwaarste categorie). Essentiële entiteiten moeten extern laten verifiëren dat ze in orde zijn.
In België loopt dit grotendeels via CyFun (CyberFundamentals), het kader van het Centrum voor Cybersecurity België. Het vertaalt de richtlijn naar concrete maatregelen en maturiteitsniveaus, en wordt intussen vaker gekozen dan internationale alternatieven zoals ISO 27001, net omdat het op de Belgische realiteit met veel KMO's is afgestemd. Een concreet aandachtspunt daarbij is waar je data en systemen draaien: hoe een Europese cloud je daarbij kan helpen en lichtten we eerder al toe. Europese SaaS helpt uiteraard ook.
De tijdlijn die telt
- 18 oktober 2024: de Belgische NIS2-wet is in werking.
- 18 april 2026: essentiële entiteiten moeten een eerste zekerheidsniveau (Basis of Belangrijk) behalen.
- 18 april 2027: het eindniveau moet gecertificeerd zijn.
Wat betekent dit nu voor jou?
Val je rechtstreeks onder NIS2? Dan is dit geen "ooit"-project meer, maar iets voor nu. Val je er niet onder maar lever je aan bedrijven die er wél onder vallen? Wacht dan niet tot een klant je overvalt met een vragenlijst. Een beetje voorbereiding maakt je een aantrekkelijker partner in plaats van een risico.
En zit je veilig buiten alles? Gebruik NIS2 dan als kapstok. De maatregelen zijn gewoon goede hygiëne: een doordachte risicoanalyse, een incidentplan dat klaarligt en software die niet vanzelf een lek wordt. Dat loont, of de wet je nu verplicht of niet.
Twijfel je of NIS2 op jou van toepassing is, of hoe je software ervoor moet klaarstaan? Neem contact op en we kijken er graag samen nuchter naar.
Bronnen:
- ITdaily: NIS2-compliance voor Belgische IT-dienstverleners (2026)
- Exacto Advocaten via Legal News: Valt uw onderneming onder NIS2? (2026)
- UNIZO: Vrijstellingen en lichtere regimes voor KMO's (2026)
- ICT Magazine: Drie jaar NIS2, vijftien maanden praktijk (2026)
- K-Force: Valt mijn organisatie onder NIS2?
- Mr. Franklin: Voorbereiden op NIS2, essentiële stappen voor KMO's
Dit artikel is informatief en geen juridisch advies.




