Mijn bedrijf zit niet in een NIS2-sector. Kan ik het negeren?

Niet per se. Als je levert aan een organisatie die wel in scope valt, kunnen zij NIS2-eisen aan je stellen via contracten. Denk aan beveiligingsnormen, incidentmelding of het aantonen van een minimaal CyFun-niveau. Ongeveer 60.000 Belgische bedrijven worden zo indirect geraakt.

Hoe tel ik mijn medewerkers voor de grootte-drempel?

De NIS2-wet volgt de Europese KMO-definitie (Aanbeveling 2003/361/EG). Je telt in voltijdse equivalenten (FTE). Parttime medewerkers tel je naar rato. Let op: bij verbonden ondernemingen of partnerondernemingen moet je de cijfers soms samenvoegen. Bij twijfel: check de KBO-gegevens van je onderneming.

Ik ben zelfstandige IT-consultant. Val ik onder NIS2?

Als eenmanszaak val je in principe buiten scope: je haalt de grootte-drempel niet. Maar bied je managed IT-diensten aan als MSP of MSSP, dan kun je er ongeacht je grootte toch onder vallen. En je klanten die in scope vallen, kunnen je alsnog contractueel verplichten om bepaalde beveiligingsnormen te volgen.

Waar registreer ik me als NIS2-entiteit?

Via het portaal Safeonweb@Work op atwork.safeonweb.be. Je hebt je KBO-nummer nodig, contactgegevens en informatie over de diensten die je levert. De registratie is gratis. De deadline voor de meeste entiteiten was 18 maart 2025, maar je kunt je alsnog registreren.

Wat als ik twijfel of mijn dienst onder een NIS2-sector valt?

Analyseer elke dienst die je aan derden levert, ook bijkomende diensten. Één dienst in een NIS2-sector kan je hele organisatie in scope brengen. Het CCB biedt een scope-tool aan op atwork.safeonweb.be. Bij aanhoudende twijfel: raadpleeg een compliance-specialist of neem contact op met het CCB.

NIS2: valt jouw bedrijf eronder? Checklist

De Belgische NIS2-wet is van kracht. Ongeveer 4.000 organisaties vallen er direct onder. Maar of jouw bedrijf daar een van is, hangt af van drie dingen: je sector, je grootte en je relatie tot andere bedrijven in scope.

Die combinatie maakt het voor veel KMO's onduidelijk. Je leest overal dat NIS2 "voor grote bedrijven" is, maar vervolgens blijkt dat je als voedingsproducent met 55 medewerkers er ook onder valt. Of dat je grootste klant plots beveiligingseisen stelt die je niet verwachtte.

Beknopt

De Belgische NIS2-wet geldt voor organisaties in 18 sectoren die minstens 50 medewerkers of 10 miljoen euro omzet hebben
Sommige organisaties vallen er altijd onder, ongeacht grootte: DNS-aanbieders, vertrouwensdiensten, kritieke infrastructuur
Kleine KMO's zonder directe NIS2-plicht worden vaak indirect geraakt via de leveranciersketen
Check je status in 3 stappen: sector, grootte, leveranciersrelatie

Stap 1: zit je in een NIS2-sector?

De NIS2-wet deelt sectoren in twee bijlagen. Bijlage I bevat de "zeer kritieke" sectoren. Bijlage II de "andere kritieke" sectoren. Het onderscheid bepaalt mee of je als essentiële of belangrijke entiteit wordt geclassificeerd.

Bijlage I: zeer kritieke sectoren

Energie: elektriciteit, gas, olie, stadsverwarming, waterstof
Transport: luchtvaart, spoorwegen, scheepvaart, wegvervoer
Gezondheid: ziekenhuizen, referentielaboratoria, farmaceutische productie, fabrikanten van medische hulpmiddelen
Drinkwater en afvalwater
Digitale infrastructuur: DNS-diensten, TLD-registers, cloud computing, datacenters, CDN's, internetknooppunten
ICT-dienstverlening: managed service providers (MSP's) en managed security service providers (MSSP's)
Overheid (federaal niveau)
Ruimtevaart

Bijlage II: andere kritieke sectoren

Post- en koeriersdiensten
Afvalbeheer
Chemische industrie: productie, opslag en distributie
Voedingsproductie: verwerking en distributie
Maakindustrie: medische apparatuur, elektronica, machines, motorvoertuigen, overig transportmaterieel
Digitale dienstverleners: online marktplaatsen, zoekmachines, sociale netwerken
Onderzoeksorganisaties

Belgische uitzondering

België heeft de bank- en financiële sector uitgesloten van de NIS2-wet. Deze vallen onder de DORA-verordening (Digital Operational Resilience Act), met de Nationale Bank als toezichthouder.

Let op een valkuil: de wet kijkt naar elke dienst die je levert. Een IT-bedrijf dat hoofdzakelijk websites bouwt maar daarnaast ook managed hosting aanbiedt, kan via die ene hostingdienst in scope vallen. Analyseer je volledige dienstenaanbod, niet alleen je kernactiviteit.

Stap 2: haal je de grootte-drempel?

Zit je in een NIS2-sector? Dan bepaalt de grootte van je organisatie of je in scope valt en hoe je wordt geclassificeerd.

De NIS2-wet volgt de Europese KMO-definitie uit Aanbeveling 2003/361/EG. Twee criteria tellen: personeelsomvang (in voltijdse equivalenten) en financiële omvang (jaaromzet of balanstotaal).

Categorie	Medewerkers (FTE)	Omzet of balanstotaal	NIS2-classificatie
Groot	250+	50M+ omzet of 43M+ balans	Essentieel (Bijlage I) of Belangrijk (Bijlage II)
Middelgroot	50-249	10M-50M omzet of 10M-43M balans	Belangrijk (Bijlage I en II)
Klein	10-49	Onder 10M	In principe buiten scope
Micro	Onder 10	Onder 2M	In principe buiten scope

Kort samengevat: een groot bedrijf in een Bijlage I-sector is een essentiële entiteit. Een middelgroot bedrijf in eender welke NIS2-sector is een belangrijke entiteit. Kleine en micro-ondernemingen vallen er in de meeste gevallen buiten.

Uitzonderingen: altijd in scope, ongeacht grootte

Voor bepaalde organisaties geldt de grootte-drempel niet. Die vallen er altijd onder:

Gekwalificeerde vertrouwensdienstverleners (essentieel)
Niet-gekwalificeerde vertrouwensdienstverleners (belangrijk voor KMO's, essentieel voor grote bedrijven)
Aanbieders van openbare elektronische communicatienetwerken of -diensten
DNS-dienstverleners en TLD-registers
Operatoren van kritieke infrastructuur (volgens de wet van 1 juli 2011)
Federale overheidsdiensten

Daarnaast kan het CCB individuele organisaties aanwijzen als essentieel of belangrijk, bijvoorbeeld wanneer ze de enige aanbieder van een bepaalde dienst zijn.

Verbonden ondernemingen

Bij het bepalen van je grootte moet je rekening houden met verbonden ondernemingen en partnerondernemingen. Als je moederbedrijf 300 medewerkers heeft en jij een dochteronderneming bent met 20, kun je toch als groot worden geclassificeerd. De Europese KMO-definitie vereist dat je de cijfers consolideert.

Stap 3: de leveranciersketen

Dit is waar het voor veel kleinere KMO's concreet wordt.

De NIS2-wet verplicht organisaties in scope om de cybersecurity van hun toeleveranciers te beoordelen. Artikel 21 noemt de beveiliging van de toeleveringsketen expliciet als een van de elf verplichte maatregelen. Dat betekent: als jij levert aan een essentiële of belangrijke entiteit, krijg je daar vragen over.

In de praktijk zien we dat grote opdrachtgevers nu contractueel eisen stellen aan hun leveranciers:

Aantonen van een minimaal beveiligingsniveau (vaak CyFun Basic)
Melden van incidenten die de opdrachtgever kunnen raken
Meewerken aan security-audits of vragenlijsten
Specifieke maatregelen zoals MFA, versleuteling of patchbeleid

Naar schatting worden zo'n 60.000 Belgische bedrijven indirect geraakt. Je valt misschien niet rechtstreeks onder de wet, maar je klanten verwachten wel dat je je beveiliging op orde hebt. En die verwachting wordt steeds vaker contractueel afgedwongen. Meer over wat dit concreet voor jou betekent lees je in ons artikel over NIS2 en toeleveranciers.

Checklist: val ik onder NIS2?

Loop deze vragen door. Eén "ja" bij vraag 1 tot en met 5 betekent dat je waarschijnlijk direct in scope valt.

Lever je diensten in een sector uit Bijlage I of II? Check de lijsten hierboven. Denk ook aan nevenactiviteiten
Heeft je organisatie 50+ medewerkers (FTE)? Of een jaaromzet boven 10 miljoen euro?
Ben je aanbieder van DNS, cloud, datacenter, TLD-register of elektronische communicatie? Dan geldt geen grootte-drempel
Ben je gekwalificeerd of niet-gekwalificeerd vertrouwensdienstverlener? Geen grootte-drempel
Ben je operator van kritieke infrastructuur? Volgens de wet van 1 juli 2011? Geen grootte-drempel
Lever je aan klanten die onder NIS2 vallen? Dan kun je indirect te maken krijgen met NIS2-eisen via contracten
Heeft je moederbedrijf of groep 50+ medewerkers of 10M+ omzet? Verbonden ondernemingen tellen mee

Nog steeds onzeker?

Het CCB biedt een gratis scope-tool aan op atwork.safeonweb.be. En op deze site kun je de NIS2 Check doen: 7 vragen, 2 minuten, en je hebt een indicatie.

Wat als je in scope valt?

Drie dingen die je nu moet regelen:

Registreer je op atwork.safeonweb.be als je dat nog niet hebt gedaan. De deadline voor de meeste entiteiten was 18 maart 2025, maar late registratie is nog mogelijk. Het is gratis
Bepaal je CyFun-niveau met het CyFun Selection Tool van het CCB. Dit vertelt je of je Basic, Important of Essential moet halen
Start met de self-assessment. Het CCB biedt een gratis tool aan waarmee je je huidige niveau per domein kunt meten

De eerstvolgende harde deadline: essentiële entiteiten moeten voor 18 april 2026 hun CyFun Basic/Important self-assessment of ISO 27001-informatie indienen bij het CCB. Voor een compleet overzicht van verplichtingen en deadlines, lees de NIS2-gids voor KMO's.

Dit artikel is informatief bedoeld en geeft geen juridisch advies over NIS2-compliance. De exacte scope van de wet hangt af van je specifieke situatie. Raadpleeg het CCB of een compliance-specialist voor een definitieve beoordeling.

NIS2: valt jouw bedrijf eronder? Checklist

Stap 1: zit je in een NIS2-sector?

Bijlage I: zeer kritieke sectoren

Bijlage II: andere kritieke sectoren

Stap 2: haal je de grootte-drempel?

Uitzonderingen: altijd in scope, ongeacht grootte

Stap 3: de leveranciersketen

Checklist: val ik onder NIS2?

Wat als je in scope valt?

Veelgestelde vragen

Bronnen

Gerelateerde artikels

NIS2 voor KMO's: de complete gids

CyberFundamentals (CyFun): het Belgische framework uitgelegd

CyFun SMALL: de gratis zelfbeoordeling stap voor stap

NIS2-boetes in België: wat riskeert je bedrijf?

NIS2 en toeleveranciers: wanneer ben je indirect verplicht?