België was er vroeg bij. Terwijl veel EU-lidstaten de Europese deadline van oktober 2024 maar nipt haalden, had ons land de NIS2-richtlijn toen al volledig omgezet in nationale wetgeving — en operationeel gemaakt. Voor grote, kritieke organisaties was dat groot nieuws. Maar de echte verrassing zit elders: NIS2 reikt veel verder dan de handvol sectoren die de krantenkoppen haalden. Runt u een boekhoudkantoor, een advocatenpraktijk of een medische praktijk? Dan is de kans reëel dat deze wet ook ú raakt — niet rechtstreeks, maar via uw klanten.

Hier leest u in heldere taal wat NIS2 is, of uw bedrijf eronder valt, en wat u concreet kunt doen.

Wat is NIS2 precies?

NIS2 is een Europese richtlijn (officieel Richtlijn (EU) 2022/2555) die de cyberbeveiliging binnen de hele Unie naar een hoger en uniformer niveau moet tillen. Ze vervangt de eerste NIS-richtlijn uit 2016, die te beperkt en te vrijblijvend bleek voor de dreigingen van vandaag.

In België is NIS2 omgezet door de wet van 26 april 2024, aangevuld met een koninklijk besluit van 9 juni 2024. De regels zijn van kracht sinds 18 oktober 2024. Het Centrum voor Cybersecurity België (CCB) is aangeduid als de nationale cyberbeveiligingsautoriteit en fungeert ook als nationaal CSIRT — het centrale meldpunt voor incidenten.

Kortom: dit is geen toekomstmuziek meer. De wet is live, en het toezicht is intussen op kruissnelheid gekomen.

Valt mijn bedrijf onder NIS2?

De wet maakt een onderscheid tussen essentiële en belangrijke entiteiten. Of u eronder valt, hangt van twee dingen af: in welke sector u actief bent, en hoe groot u bent. De wet somt een reeks sectoren op — van energie, transport en digitale infrastructuur tot gezondheidszorg, afvalbeheer en de productie van kritieke producten. Als vuistregel geldt: zit u in zo’n sector én heeft u meer dan 50 medewerkers of meer dan 10 miljoen euro omzet, dan valt u minstens onder de categorie “belangrijk”.

De bank- en financiële sector valt trouwens buiten NIS2 — die wordt apart geregeld door de Europese DORA-verordening.

Voor veel kleine KMO’s — het typische boekhoudkantoor, het advocatenkantoor om de hoek, de huisartsenpraktijk — luidt het antwoord dus vaak: “nee, niet rechtstreeks.” En daar stoppen de meeste uitleg-artikels. Maar net dáár wordt het interessant.

De toeleveringsketen verandert alles

NIS2 verplicht entiteiten die wél onder de wet vallen om de beveiliging van hun volledige toeleveringsketen te beheersen. Met andere woorden: een ziekenhuis, een groot productiebedrijf of een overheidsdienst moet niet alleen het eigen huis op orde hebben, maar ook nagaan of zijn leveranciers en dienstverleners geen zwakke schakel vormen.

Het CCB adviseert daarom uitdrukkelijk dat élke organisatie die deel kan uitmaken van de toeleveringsketen van een NIS2-entiteit, minstens voldoet aan het niveau “Basic” van het CyberFundamentals-raamwerk. Sterker nog: een NIS2-entiteit mag een bepaald CyFun-niveau contractueel opleggen aan haar directe leveranciers.

Vertaal dat naar de praktijk. Uw klant is een ziekenhuis of een grotere onderneming die onder NIS2 valt. Die klant krijgt van de toezichthouder de opdracht om zijn keten te beveiligen. Het gevolg? Hij stuurt een vragenlijst — of een contractuele eis — naar zijn boekhouder, zijn IT-leverancier, zijn advocaat. De druk vloeit naar beneden.

U hoeft niet onder NIS2 te vallen om er gevolgen van te ondervinden. U hoeft alleen een klant te hebben die er wél onder valt.

CyberFundamentals (CyFun): de praktische weg

Gelukkig heeft het CCB niet alleen regels opgelegd, maar ook een werkbaar kader meegegeven: CyberFundamentals, kortweg CyFun. Het vertaalt de abstracte verplichtingen van NIS2 naar concrete, meetbare maatregelen, en sluit aan op internationale standaarden zoals ISO 27001 en het NIST Cybersecurity Framework.

CyFun kent vier niveaus: Small, Basic, Important en Essential. Voor de meeste KMO’s is Basic het realistische doel — een set van 34 controlemaatregelen rond de fundamenten van goede cyberhygiëne: weet welke systemen u heeft, beheer toegang, hou software up-to-date, maak betrouwbare back-ups, en — cruciaal — wees in staat om incidenten op te merken.

Dat laatste is geen detail. Het is net waar veel KMO’s struikelen.

De rol van monitoring

Lees de CyFun-controles aandachtig en u merkt iets op: een aanzienlijk deel ervan gaat over zien wat er gebeurt in uw IT-omgeving. Een actueel overzicht van uw systemen (de asset-inventaris). Het opmerken van afwijkend gedrag. Het loggen van gebeurtenissen. Het bewaken van de beschikbaarheid van uw diensten. Het detecteren van incidenten.

Dat is, woord voor woord, de definitie van monitoring.

En het wordt nog concreter. NIS2 legt entiteiten een strak meldschema op voor ernstige incidenten: een eerste waarschuwing binnen 24 uur, meer informatie binnen 72 uur, en een eindrapport binnen 30 dagen. Maar u kunt onmogelijk binnen 24 uur een incident melden dat u nooit hebt opgemerkt. Zonder monitoring weet u pas dat er iets mis is wanneer een klant belt — en dan tikt de klok al volop.

Monitoring is dus niet langer “nice to have”. Het is een aantoonbaar onderdeel van uw compliance — het bewijsstuk dat u kunt voorleggen wanneer een klant of een auditor vraagt: “Hoe weet u dat uw systemen veilig en beschikbaar draaien?”

Wat moet u nu doen?

Een paar nuchtere stappen:

  1. Bepaal uw positie. Valt uw bedrijf rechtstreeks onder NIS2, of — waarschijnlijker — zit u in de toeleveringsketen van een klant die eronder valt?
  2. Maak een eerlijke nulmeting tegenover het CyFun Basic-niveau. Waar staat u vandaag, en waar zitten de gaten?
  3. Breng uw IT-omgeving écht in beeld. Monitoring is vaak de snelste en meest zichtbare stap richting compliance — en levert meteen praktische rust op.
  4. Documenteer alles. Bij compliance telt niet alleen wat u doet, maar vooral wat u kunt aantonen.

De sancties onder NIS2 zijn fors voor wie er rechtstreeks onder valt — tot 10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten, en bestuurders kunnen persoonlijk aansprakelijk worden gesteld. Maar voor de meeste KMO’s is de directere drijfveer eenvoudiger: u wil de klant niet verliezen die vraagt of u “in orde bent met NIS2”.

Tot slot

NIS2 oogt op het eerste gezicht als zware regelgeving voor grote spelers. In werkelijkheid is het een verschuiving die langzaam door de hele Belgische economie sijpelt — via contracten, vragenlijsten en eisen die van groot naar klein bewegen. De KMO’s die nu hun cyberhygiëne en monitoring op orde brengen, lopen straks niet alleen geen klant mis: ze maken er een verkoopargument van.

Bij Althona helpen we Belgische KMO’s precies daarbij — monitoring opzetten die niet alleen waarschuwt wanneer er iets misgaat, maar ook aantoonbaar bijdraagt aan uw CyFun- en NIS2-verplichtingen.