Kan het CCB mijn KMO zomaar een boete geven?

Niet zomaar. Het CCB volgt een getrapt proces: eerst een waarschuwing, dan bindende instructies, en pas bij herhaaldelijke of ernstige niet-naleving een administratieve boete. Bovendien moet het CCB je vooraf informeren over het voornemen om een sanctie op te leggen. Voor belangrijke entiteiten geldt bovendien reactief toezicht: het CCB controleert pas als daar aanleiding voor is.

Geldt de bestuurdersaansprakelijkheid ook voor een zaakvoerder van een kleine KMO?

Ja, als je KMO onder NIS2 valt. De wet maakt geen onderscheid naar bedrijfsgrootte. Elke natuurlijke persoon die verantwoordelijk is voor een essentiële of belangrijke entiteit kan persoonlijk aansprakelijk worden gesteld. In de praktijk betekent dit dat je als zaakvoerder de cybersecurity-maatregelen moet goedkeuren en het toezicht erop moet organiseren.

Wat als ik de registratiedeadline bij het CCB heb gemist?

Registreer alsnog zo snel mogelijk via het Safeonweb@Work-platform. De registratiedeadline was 18 maart 2025, maar het CCB heeft aangegeven dat laattijdige registratie beter is dan geen registratie. Het niet-registreren is op zichzelf een overtreding van de wet die tot sancties kan leiden.

Worden boetes verdubbeld bij herhaling?

Ja. De Belgische NIS2-wet bepaalt dat de administratieve boete wordt verdubbeld bij herhaling van dezelfde overtreding binnen drie jaar. Bij meerdere overtredingen tegelijk kan het CCB één proportionele boete opleggen voor het geheel.

NIS2-boetes in België: wat riskeert je bedrijf?

Beknopt

Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten tot 7 miljoen of 1,4%
Het CCB handhaaft getrapt: waarschuwing, bindende instructies, dan pas boetes
Bestuurders zijn persoonlijk aansprakelijk en kunnen tijdelijk worden geschorst
Het grootste risico voor KMO’s zit niet in directe boetes, maar in supply chain-eisen van klanten

Welke boetes staan er in de NIS2-wet?

De Belgische NIS2-wet (Wet van 26 april 2024) maakt een duidelijk onderscheid tussen twee categorieën:

Categorie	Maximale boete	Toezicht
Essentiële entiteit	10 miljoen euro of 2% wereldwijde jaaromzet	Proactief (het CCB kan audits uitvoeren zonder aanleiding)
Belangrijke entiteit	7 miljoen euro of 1,4% wereldwijde jaaromzet	Reactief (het CCB controleert pas bij aanwijzingen)

Het hogere bedrag van de twee geldt. Bij herhaling van dezelfde overtreding binnen drie jaar wordt de boete verdubbeld.

Niet zeker of je bedrijf als essentieel of belangrijk wordt geclassificeerd? Onze NIS2-checklist helpt je op weg.

Hoe handhaaft het CCB?

Het Centre for Cybersecurity Belgium (CCB) is de toezichthouder. De aanpak is getrapt, niet direct punitief.

Het proces ziet er in de praktijk zo uit:

Inspectie. Het CCB kan inspecties uitvoeren op locatie, documenten opvragen en security-scans uitvoeren
Waarschuwing. Bij tekortkomingen volgt eerst een formele waarschuwing met een termijn om te herstellen
Bindende instructies. Wordt er niet hersteld, dan kan het CCB concrete maatregelen opleggen die je verplicht bent uit te voeren
Administratieve boete. Pas bij aanhoudende niet-naleving of ernstige overtredingen volgt een geldboete

Het CCB moet je vooraf informeren over het voornemen een sanctie op te leggen. Je krijgt de kans je te verweren. Dit is geen snelrecht.

Nuance

Het CCB focust zijn proactieve controles op essentiële entiteiten: energie, gezondheidszorg, transport, water, digitale infrastructuur. Belangrijke entiteiten worden pas gecontroleerd als daar aanleiding voor is, bijvoorbeeld na een incident of een klacht. Voor de meeste KMO’s die als belangrijk geclassificeerd worden, is het risico op een onaangekondigde audit beperkt.

Bestuurdersaansprakelijkheid: het onderschatte risico

De NIS2-wet gaat verder dan bedrijfsboetes. Bestuurders en zaakvoerders zijn persoonlijk aansprakelijk voor het goedkeuren en toezicht houden op cybersecurity-maatregelen.

Concreet betekent dit:

Je moet als bestuurder de cybersecurity-risicomaatregelen goedkeuren
Je moet toezicht houden op de uitvoering ervan
Je moet voldoende kennis hebben (of verwerven) om die risico’s te beoordelen

Schiet je hierin tekort? Dan kan je persoonlijk worden beboet én tijdelijk worden geschorst als bestuurder. De wet is duidelijk: onwetendheid is geen verweer. Het Belgisch bestuurders-instituut GUBERNA benadrukt dat bestuurders een actieve rol moeten spelen, niet slechts een handtekening zetten.

Meer over je verplichtingen als bestuurder lees je in onze gids over security-beleid.

Wat betekent dit voor KMO’s in de praktijk?

Laten we nuchter zijn. De maximale boetes van 10 miljoen euro zijn ontworpen voor grote essentiële entiteiten, niet voor een KMO met 30 medewerkers. Het CCB heeft beperkte capaciteit en richt zich op de sectoren met het hoogste risico.

Maar dat betekent niet dat je als KMO niets te vrezen hebt. Het echte risico zit op drie plekken:

1. Supply chain-eisen. Grote klanten die onder NIS2 vallen, moeten hun toeleveranciers beoordelen op cybersecurity. Val je niet direct onder NIS2 maar lever je diensten aan een bedrijf dat er wél onder valt? Dan krijg je contractuele eisen opgelegd. Geen CyFun-certificering? Mogelijk geen contract.

2. Na een incident. Als je bedrijf gehackt wordt en je had geen basismaatregelen genomen, ligt de aansprakelijkheidsvraag op tafel. De NIS2-wet geeft een concreet toetsingskader. Had je dat niet? Dan sta je zwak.

3. Meldplicht. Essentiële en belangrijke entiteiten moeten significante incidenten melden bij het CCB: binnen 24 uur een vroegtijdige melding, binnen 72 uur een volledig incidentrapport. Niet melden is een overtreding op zich.

Registratieplicht

Alle entiteiten die onder de NIS2-wet vallen, moesten zich uiterlijk op 18 maart 2025 registreren bij het CCB via Safeonweb@Work. Heb je dat nog niet gedaan? Registreer alsnog. Niet-registratie is op zichzelf een overtreding.

Wat kun je nu doen?

De beste bescherming tegen boetes is geen juridische truc. Het is je beveiliging op orde brengen.

Check of NIS2 op je van toepassing is. Doe onze NIS2 Check voor een eerste indicatie, of raadpleeg het CCB
Registreer bij het CCB als je onder de wet valt (via Safeonweb@Work)
Start met CyFun SMALL. Het basisniveau van het CyberFundamentals framework is een goede eerste stap richting aantoonbare naleving
Documenteer wat je doet. Een geschreven security-beleid en een logboek van maatregelen tonen aan dat je bezig bent. Dat weegt mee bij de beoordeling
Betrek je bestuurders. Zorg dat de zaakvoerder of het bestuur de maatregelen formeel goedkeurt. Dat is wettelijk vereist én het beschermt hen persoonlijk

Kernpunt

De NIS2-boetes zijn fors op papier, maar het CCB handhaaft getrapt en focust op essentiële entiteiten. Voor KMO’s is het grootste risico niet een directe boete, maar het verlies van klanten die cybersecurity-eisen stellen, en de persoonlijke aansprakelijkheid van bestuurders na een incident. De oplossing is dezelfde: breng je basisbeveiliging op orde en documenteer het.

Dit artikel is informatief en geen juridisch advies. De NIS2-wet is nieuw en de interpretatie ervan evolueert. Raadpleeg het CCB of een gespecialiseerde jurist voor je specifieke situatie.

NIS2-boetes in België: wat riskeert je bedrijf?

Welke boetes staan er in de NIS2-wet?

Hoe handhaaft het CCB?

Bestuurdersaansprakelijkheid: het onderschatte risico

Wat betekent dit voor KMO’s in de praktijk?

Wat kun je nu doen?

Veelgestelde vragen

Bronnen

Gerelateerde artikels

NIS2 voor KMO's: de complete gids

NIS2: valt jouw bedrijf eronder? Checklist

CyberFundamentals (CyFun): het Belgische framework uitgelegd

Cybersecurity-beleid voor je bedrijf: zo stel je het op

CyFun SMALL: de gratis zelfbeoordeling stap voor stap