Cyberbeveiliging·Jul 08, 2026·9 min lezen
Kort samengevat
Als u een KMO runt of in een gemeentebestuur zit, is de kans groot dat uw mailbox het voorbije jaar volliep met NIS2-webinars, NIS2-checklists en leveranciers die "NIS2-proof" plots als verkoopargument ontdekten. De toon is meestal dezelfde: de deadline nadert, de boetes zijn gigantisch, koop nu.
Tijd voor een rustiger antwoord. De wet bestaat echt, ze is in België al van kracht sinds 18 oktober 2024, en voor sommige organisaties verandert ze veel. Maar voor de meeste Belgische KMO's verandert ze minder dan de mailings suggereren, en gemeenten zitten in een aparte situatie die zelden correct wordt uitgelegd. Hieronder de feiten, zonder verkooppraat.
Eén kanttekening vooraf: wij zijn een IT- en securitybedrijf, geen advocatenkantoor. Voor een formele juridische analyse van uw situatie is het Centrum voor Cybersecurity België (CCB) de autoriteit, en bij twijfel loont juridisch advies. Wat hieronder staat is de stand van zaken midden 2026, gebaseerd op de wet en de publicaties van het CCB.
NIS2 is een Europese richtlijn (2022/2555) die organisaties die belangrijk zijn voor de samenleving of de economie een minimumniveau van cyberbeveiliging oplegt. België zette ze om via de wet van 26 april 2024, die op 18 oktober 2024 in werking trad. Daarmee was ons land er vroeg bij; veel buurlanden waren toen nog aan het schrijven.
De toezichthouder is het CCB, dat ook het nationale CSIRT is (het team waar u cyberincidenten meldt). De wet draait rond drie dingen: uw risico's beheersen met passende maatregelen, ernstige incidenten snel melden, en het bestuur persoonlijk verantwoordelijk maken voor beide.
Hier gaat de meeste bangmakerij de mist in. NIS2 geldt niet voor "alle bedrijven". Er zijn twee filters, en u moet door allebei:
Een brasserie met twaalf man personeel? Buiten scope. Een boekhoudkantoor met dertig medewerkers? Buiten scope. Een voedingsproducent met tachtig werknemers? Waarschijnlijk in scope. Er bestaan uitzonderingen waarbij kleinere organisaties toch aangeduid worden (bijvoorbeeld bepaalde digitale diensten of entiteiten die de overheid expliciet aanwijst), dus controleren blijft verstandig. Het CCB heeft daarvoor een scope-test op zijn website.
De wet kent twee categorieën. Essentiële entiteiten (de grootste organisaties in de meest kritieke sectoren) krijgen proactief toezicht en riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten worden achteraf gecontroleerd, met boetes tot 7 miljoen euro of 1,4%. Die bedragen zijn maxima voor wie weigert mee te werken, geen standaardtarief voor wie te goeder trouw bezig is.
Dit is het deel dat het vaakst fout wordt uitgelegd, dus we zeggen het precies: Belgische gemeenten vallen niet automatisch onder NIS2. De wetgever nam federale en gewestelijke overheidsdiensten op als sector, maar lokale besturen niet als categorie.
Een gemeente valt er pas onder in twee gevallen: ofwel oefent ze zelf een kritieke activiteit uit de bijlagen uit (denk aan drinkwater- of afvalwaterbeheer in eigen beheer) én haalt ze de groottedrempel, ofwel wordt ze door de overheid expliciet als entiteit aangewezen. Voor de meeste gemeenten is dat vandaag niet het geval.
Betekent dat: opgelucht ademhalen en niets doen? Nee, en dat is geen verkooppraat maar beleid. Het CCB publiceerde een richtlijn (guideline 1/2024) die stelt dat álle Belgische overheidsdiensten die buiten NIS2 vallen, tegen 1 januari 2030 minstens het basisniveau van het CyberFundamentals-kader moeten halen. Digitale basishygiëne wordt dus de norm voor elk lokaal bestuur, ook zonder NIS2-label. De VVSG volgt dit dossier op voor de Vlaamse gemeenten; het beleid rond lokale besturen beweegt nog, dus check de actuele stand bij het CCB of de VVSG voor uw specifieke situatie.
Vier plichten vormen de kern van de wet:
Ook wie buiten de wet valt, ontsnapt er in de praktijk niet helemaal aan, om één simpele reden: de toeleveringsketen. Organisaties die wél onder NIS2 vallen, moeten de veiligheid van hun leveranciers beoordelen. Levert uw KMO diensten aan een ziekenhuis, een energiebedrijf of een grote voedingsproducent, dan mag u zich aan vragenlijsten en contractuele veiligheidseisen verwachten. Wie daar vlot op kan antwoorden, heeft een streepje voor op concurrenten die moeten improviseren.
En los van elke wet: phishingmails lezen geen wetteksten. De aanvallen die Belgische KMO's en gemeentediensten treffen (valse facturen, gekraakte mailboxen, CEO-fraude) maken geen onderscheid tussen in scope en buiten scope. De basishygiëne die NIS2 oplegt is gewoon wat elke zaak vandaag nodig heeft.
Merk op wat er in die lijst met plichten staat: training is geen nice-to-have maar een wettelijke verplichting voor wie in scope zit, voor het bestuur én voor het personeel. Ook het CyberFundamentals-basisniveau, waar overheidsdiensten sowieso naartoe moeten, bevat bewustwording als bouwsteen.
Daar helpen wij concreet bij. Onze cyber-awarenessdienst draait rond wat aantoonbaar werkt: phishing-simulaties die van een bijna-fout een blijvende les maken, live hackingdemo's die abstracte risico's tastbaar maken, en korte trainingen op maat van uw sector. Waarom dat beter werkt dan een jaarlijkse verplichte cursus, leest u in ons stuk over de vermoeide medewerker als grootste risico.
Voor een gemeente of KMO die met NIS2 of CyberFundamentals bezig is, is zo'n traject meteen een stuk van het huiswerk dat u kunt afvinken, met resultaten die u zwart op wit kunt tonen.
Geen paniek dus, en zeker geen overhaaste aankopen. Begin met drie vragen: staat mijn activiteit in bijlage I of II? Haal ik de groottedrempel? En lever ik aan klanten die in scope zitten? De antwoorden bepalen of u een wettelijke verplichting hebt, een commerciële realiteit, of gewoon een goede reden om de basis op orde te brengen.
Wilt u die oefening samen maken, of meteen bekijken hoe training en simulaties in uw NIS2- of CyFun-huiswerk passen? Plan een vrijblijvend gesprek; we zeggen u eerlijk wat u nodig hebt, en ook wat niet.
Vraag een gratis, vrijblijvend gesprek en een offerte op maat aan bij Fluxive.
Maandelijkse IT- & marketingtips voor Belgische bedrijven — Wi-Fi, SEO, beveiliging. Geen spam, alleen waarde.
Uitschrijven kan op elk moment.