TL;DR: GDPR en NIS2 zijn twee verschillende wetten met een ander doel. GDPR beschermt persoonsgegevens, NIS2 beveiligt uw netwerk- en informatiesystemen. Toch overlappen veel maatregelen, van risicoanalyse tot encryptie en awareness. Bent u al GDPR-compliant, dan hebt u een voorsprong op NIS2. Maar er komen wel degelijk extra eisen bij, vooral rond bestuurdersaansprakelijkheid, ketenbeveiliging en incidentmelding aan het CCB.
Veel zaakvoerders en IT-managers in Vlaanderen kennen het gevoel: net toen u dacht dat de GDPR-administratie eindelijk op orde was, dient NIS2 zich aan. De vraag die we daarbij het vaakst horen, is of NIS2 nu helemaal opnieuw beginnen betekent, of dat uw GDPR-inspanningen meetellen. Het goede nieuws: u staat niet bij nul. Dit artikel legt uit waar het gdpr nis2 verschil precies zit, welke maatregelen dubbel tellen, en wat u concreet extra moet doen om aan beide kaders te voldoen.
GDPR versus NIS2 in één overzicht
Voordat we de diepte ingaan, zet de onderstaande tabel de twee wetten naast elkaar op de criteria die er voor uw organisatie het meest toe doen.
| Criterium | GDPR (AVG) | NIS2 (Belgische wet van 26 april 2024) |
|---|---|---|
| Doel | Bescherming van persoonsgegevens en grondrechten | Beveiliging van netwerk- en informatiesystemen en continuïteit van diensten |
| Toepassingsgebied | Universeel: elke verwerker van persoonsgegevens | Selectief: essentiële en belangrijke entiteiten in aangewezen sectoren |
| Drempel | Geen omvangsdrempel | Vanaf middelgrote entiteiten (vanaf 50 medewerkers of meer dan 10 miljoen euro omzet) in kritieke sectoren |
| Toezichthouder | Gegevensbeschermingsautoriteit (GBA) | Centrum voor Cybersecurity België (CCB) en sectorale toezichthouders |
| Meldtermijn | 72 uur aan de GBA bij een datalek met risico | 24 uur vroege waarschuwing, 72 uur volledige melding, 1 maand eindrapport aan het CCB |
| Boetes | Tot 20 miljoen euro of 4% van de wereldwijde jaaromzet | Essentiële entiteiten tot 10 miljoen euro of 2%, belangrijke entiteiten tot 7 miljoen euro of 1,4% |
| Maatregelen | Passende technische en organisatorische maatregelen (artikel 32) | Passende en evenredige maatregelen (artikel 21), holistische cyberweerbaarheid |
| Bestuurdersaansprakelijkheid | Beperkt, primair bij de rechtspersoon | Expliciet: bestuursorgaan is eindverantwoordelijk en moet opleiding volgen |
| Certificering | Geen verplichte certificering | Conformiteitsbeoordeling via CyFun of ISO 27001 |
| Aparte functionaris | DPO verplicht onder voorwaarden (artikel 37) | Verantwoordelijke voor informatiebeveiligingsbeleid vereist, geen verplichte titel |
Twee wetten, twee doelen, veel overlap
GDPR en NIS2 hebben een fundamenteel verschillend uitgangspunt, maar raken elkaar op het terrein van de concrete beveiliging. GDPR draait om de bescherming van persoonsgegevens. NIS2 draait om de beveiliging van uw netwerk- en informatiesystemen en de continuïteit van uw dienstverlening. De overlap zit in de beveiligingsmaatregelen die u voor beide nodig hebt.
Die overlap is geen toeval. Zowel artikel 32 van de GDPR als artikel 21 van de NIS2-wet verplicht u tot passende technische en organisatorische maatregelen om risico’s te beheersen. Waar GDPR vooral kijkt naar de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens, hanteert NIS2 een bredere blik op de weerbaarheid van uw volledige infrastructuur. Maar de basishygiëne is in beide gevallen dezelfde: encryptie, sterke authenticatie, geteste back-ups en bewuste medewerkers.
Het is dus geen kwestie van twee losse projecten. Wie GDPR ernstig heeft genomen, heeft een groot deel van het fundament voor NIS2 al gelegd. De kunst zit in het herkennen van wat overlapt en het gericht aanvullen van wat ontbreekt.
De belangrijkste verschillen tussen GDPR en NIS2
Hieronder lichten we de vijf verschillen toe die in de praktijk het meeste gewicht in de schaal leggen. Het gdpr nis2 verschil is namelijk niet één lijn, maar een reeks afwijkingen in scope, toezicht, melding, boetes en aansprakelijkheid.
Scope: wie valt eronder?
De GDPR geldt voor iedereen die persoonsgegevens verwerkt van mensen in de Europese Unie. Er is geen ondergrens. NIS2 is selectief en kijkt naar uw sector en uw omvang. Essentiële entiteiten zijn doorgaans grote ondernemingen in zeer kritieke sectoren. Belangrijke entiteiten zijn middelgrote ondernemingen met 50 tot 250 medewerkers of een omzet tussen 10 en 50 miljoen euro in kritieke sectoren.
In de praktijk ontstaat een asymmetrische relatie. Bijna elke organisatie verwerkt personeelsgegevens, dus de GDPR is vrijwel altijd van toepassing. Maar lang niet elke organisatie valt onder NIS2. Een klein bedrijf zonder activiteit in een aangewezen sector blijft onder de GDPR vallen, maar is vrijgesteld van NIS2. Twijfelt u of u onder NIS2 valt? De scope-test van het CCB geeft uitsluitsel.
Toezichthouder: GBA versus CCB
Bij de GDPR is er één toezichthouder: de Gegevensbeschermingsautoriteit. Bij NIS2 is het toezicht complexer. Het Centrum voor Cybersecurity België voert de algemene rol uit, maar voor specifieke sectoren wordt het toezicht gedeeld met sectorale autoriteiten zoals de Nationale Bank, de FSMA voor de financiële sector, het BIPT voor telecom en het FAGG voor geneesmiddelen.
Dat betekent dat één incident bij twee verschillende instanties kan belanden. De GBA voor het privacyaspect, het CCB voor het cyberaspect. In haar Strategisch Plan 2026-2028 geeft de GBA aan haar interne expertise rond cyberbeveiliging te versterken en nauwer met het CCB te willen samenwerken. Voorlopig blijft het echter gescheiden toezicht.
Meldplichten: twee meldingen bij één incident?
Ja, op dit moment kan één incident twee meldplichten activeren. Verwerkt een ransomware-aanval ook persoonsgegevens, dan moet u melden bij het CCB én bij de GBA. NIS2 hanteert een drietrapsmodel: een vroege waarschuwing binnen 24 uur, een volledige melding binnen 72 uur en een eindrapport binnen één maand. De GDPR vraagt een datalekmelding binnen 72 uur, tenzij het lek geen risico vormt voor de betrokkenen.
Er bestaat momenteel geen gezamenlijk meldformulier tussen de GBA en het CCB. Informatie-uitwisseling tussen beide autoriteiten gebeurt onder strikte voorwaarden en is vaak geanonimiseerd. Dubbel melden via aparte kanalen is dus de wettelijke realiteit. Verderop in dit artikel leest u hoe u dat praktisch organiseert.
Boetes: kunnen ze cumuleren?
De boetekaders verschillen aanzienlijk. De GDPR kent boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. De Belgische NIS2-wet legt de lat lager: tot 10 miljoen euro of 2% voor essentiële entiteiten en tot 7 miljoen euro of 1,4% voor belangrijke entiteiten.
De vraag of beide boetes kunnen cumuleren, raakt aan het beginsel ne bis in idem: het verbod op dubbele bestraffing voor hetzelfde feit. Artikel 32, lid 2 van de NIS2-richtlijn bevat hierover een expliciete regeling. Legt de GBA een boete op voor een inbreuk die voortvloeit uit hetzelfde incident, dan mag de NIS2-toezichthouder geen aparte boete opleggen voor de schending van de NIS2-verplichtingen. De NIS2-toezichthouder behoudt wel andere instrumenten, zoals bindende herstelinstructies, een verplichte audit of het tijdelijk schorsen van bestuurstaken.
Bestuurdersaansprakelijkheid: NIS2 gaat verder
Onder de GDPR ligt de aansprakelijkheid primair bij de rechtspersoon. NIS2 verlegt dat naar het bestuursorgaan zelf. De directie en de raad van bestuur dragen de eindverantwoordelijkheid voor de cybersecuritymaatregelen en moeten verplicht een opleiding volgen om cyberrisico’s te kunnen beoordelen.
Dat is een wezenlijke verschuiving. Cybersecurity wordt onder NIS2 een agendapunt voor de boardroom, niet langer een zaak die volledig bij de IT-afdeling ligt. Bij ernstige nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Meer over de financiële en juridische risico’s voor bestuurders en de manier waarop een incidentplan u beschermt, leest u in ons artikel over het opstellen van een incident response plan.
Wat u al hebt als GDPR-compliant bedrijf
Bent u GDPR-compliant, dan hebt u een solide basis waarop NIS2 verder bouwt. Acht kernmaatregelen tellen voor beide kaders mee, waardoor u dubbel werk vermijdt door ze geïntegreerd in te richten.
Uw bestaande risicoanalyses zijn het eerste voorbeeld. De Data Protection Impact Assessments die u onder GDPR uitvoert, leveren direct input voor de NIS2-risicobeoordeling. Door uw gegevensstromen te koppelen aan uw netwerk- en systeemarchitectuur ontstaat één samenhangend risicobeeld in plaats van twee aparte oefeningen.
Ook op het vlak van toegangscontrole en encryptie overlapt veel. Multi-factor authenticatie en sterke cryptografie bij opslag en verzending beschermen persoonsgegevens onder de GDPR en verhogen tegelijk de technische weerbaarheid onder NIS2. Hetzelfde geldt voor uw back-up- en herstelprocedures: de GDPR eist ze om de beschikbaarheid van persoonsgegevens te garanderen, NIS2 in het kader van bedrijfscontinuïteit. Een onveranderbare of offline back-upstrategie dekt beide verplichtingen af.
Uw awareness-trainingen tellen eveneens mee. Door ze op te splitsen in een algemeen cybergedeelte en een privacygedeelte voldoet u aan beide wetten met één programma. Logging en monitoring via een SIEM-oplossing detecteren zowel ongeoorloofde toegang tot persoonsgegevens als verdachte netwerkpatronen. En de leveranciersbeoordelingen die u al doet voor uw verwerkersovereenkomsten vormen het vertrekpunt voor het bredere leveranciersrisicobeheer dat NIS2 vraagt.
Wat u extra moet doen voor NIS2
Hier zit het werkelijke gdpr nis2 verschil voor wie al GDPR-compliant is. Een aantal NIS2-eisen gaan duidelijk verder dan wat de GDPR vroeg. Dit zijn de gaten die u nog moet dichten.
Het eerste is supply chain security die breder gaat dan een verwerkersovereenkomst. Onder de GDPR beoordeelt u leveranciers die persoonsgegevens verwerken. NIS2 vraagt dat u het cybersecurityniveau van al uw kritieke ICT-leveranciers toetst, ongeacht of zij persoonsgegevens verwerken. Dat is een volwaardig leveranciersrisicobeheersprogramma in plaats van een set contractuele clausules.
Het tweede is crisismanagement en bedrijfscontinuïteit. NIS2 verlangt gedetailleerde plannen om de dienstverlening draaiende te houden bij grootschalige uitval, netwerkstoringen of fysieke incidenten, inclusief afstemming met het Nationaal Crisiscentrum. De GDPR kent deze brede continuïteitseis niet.
Het derde is de bestuurdersaansprakelijkheid en de verplichte opleiding van het bestuur. Het bestuursorgaan moet aantoonbaar getraind zijn om cyberrisico’s te beoordelen. Het vierde is de incidentmelding aan het CCB binnen 24 uur, een termijn die strakker is dan de 72 uur van de GDPR. En het vijfde is de conformiteit met een erkend kader zoals CyberFundamentals, met een formele beoordeling als sluitstuk. Welk kader het beste bij uw organisatie past, leest u in onze vergelijking tussen ISO 27001 en CyberFundamentals.
Eén incident, twee meldplichten: hoe werkt dat in de praktijk?
Stel: op een dinsdagochtend ontdekt uw IT-team dat een aanvaller toegang had tot een systeem met klantgegevens. Dat is tegelijk een NIS2-incident en een mogelijk datalek onder de GDPR. U hebt nu twee klokken die tikken.
De NIS2-klok loopt het snelst. Binnen 24 uur stuurt u een vroege waarschuwing naar het CCB, binnen 72 uur de volledige melding en binnen één maand een eindrapport. De GDPR-klok vraagt een melding aan de GBA binnen 72 uur, op voorwaarde dat het lek een risico vormt voor de betrokkenen. Loopt u dat risico, dan moet u mogelijk ook de betrokken personen rechtstreeks informeren.
Coördineren GBA en CCB onderling? Beperkt. Er is geen gezamenlijk loket en geen gedeeld formulier. Het praktische advies is daarom om vooraf één geïntegreerd incidentdraaiboek op te stellen waarin beide meldtrajecten naast elkaar staan, met de 24-uursprocedure van NIS2 als strengste deadline die het tempo bepaalt. Zo voorkomt u dat u tijdens een crisis nog moet uitzoeken wie waar gemeld moet worden. Een goed getest incident response plan is hierbij onmisbaar.
De DPO en de NIS2-verantwoordelijke: één persoon of twee?
Een terugkerende governance-vraag is of uw Data Protection Officer ook de rol van NIS2-verantwoordelijke of CISO mag opnemen. Het korte antwoord: combineer beide rollen niet, want u riskeert een belangenconflict dat door de GBA beboet kan worden.
Artikel 38, lid 6 van de GDPR staat toe dat een DPO andere taken uitvoert, maar alleen als die niet tot een belangenconflict leiden. Een NIS2-verantwoordelijke neemt operationele beslissingen: welke beveiligingssoftware er komt, hoe firewalls worden ingesteld, welke logs worden bijgehouden. Moet diezelfde persoon als DPO achteraf controleren of die keuzes de privacywetgeving respecteren, dan controleert hij zijn eigen werk. Zowel het Hof van Justitie van de EU als de Belgische GBA hebben geoordeeld dat dit een beboetbaar belangenconflict vormt.
Het combineren van de rollen verlaagt weliswaar de directe loonkosten en houdt de communicatielijnen kort, maar het risico op sancties en overbelasting weegt zwaarder. Gescheiden rollen, eventueel met een externe consultant voor één van beide, leveren gezonde controle en volledige naleving van artikel 38.6 op. Voor de meeste Vlaamse KMO’s is een externe invulling van één rol de meest haalbare en veilige aanpak.
Subsidies die beide trajecten dekken
Goed nieuws voor het budget: de maatregelen die u voor GDPR en NIS2 samen oppakt, zijn grotendeels subsidieerbaar. U hoeft een geïntegreerd traject dus niet volledig zelf te financieren.
Het VLAIO Cybersecurity Verbetertraject is hier het meest interessant. Dit begeleide traject dekt zowel GDPR- als NIS2-gerelateerde maatregelen, van audit en gap-analyse tot awareness en technische implementatie. VLAIO subsidieert voor kmo’s en maatwerkbedrijven 50% van de kostprijs. De trajecten variëren van 7.100 tot 39.900 euro, verdeeld over de pakketten START, MEDIUM en PLUS. Niet-kmo’s die onder NIS2 vallen, ontvangen 35%.
Daarnaast blijft de KMO-portefeuille beschikbaar voor advies en opleiding. Sinds februari 2026 is de adviescomponent uitsluitend gericht op cybersecurity, met 45% subsidie voor kleine en 35% voor middelgrote ondernemingen, tot een plafond van 7.500 euro per jaar. Cyberplan is een erkende VLAIO-dienstverlener, waardoor u onze audits en begeleiding deels via deze regelingen kunt financieren.
Veelgestelde vragen over GDPR en NIS2
Wat is het verschil tussen GDPR en NIS2?
GDPR beschermt de persoonsgegevens van individuen, NIS2 beveiligt de netwerk- en informatiesystemen van organisaties en de continuïteit van hun diensten. GDPR geldt voor iedereen die persoonsgegevens verwerkt, NIS2 alleen voor essentiële en belangrijke entiteiten in aangewezen sectoren.
Als ik GDPR-compliant ben, voldoe ik dan ook aan NIS2?
Nee, maar u hebt een belangrijke voorsprong. Veel basismaatregelen zoals encryptie, MFA, back-ups en awareness tellen voor beide kaders. NIS2 voegt echter extra eisen toe, vooral rond ketenbeveiliging, crisismanagement, bestuurdersaansprakelijkheid en melding aan het CCB.
Moet ik één incident bij twee instanties melden?
Ja, op dit moment wel. Een incident dat ook persoonsgegevens treft, meldt u bij het CCB volgens het NIS2-tijdschema en bij de GBA binnen 72 uur. Er is voorlopig geen gezamenlijk meldformulier, dus dubbel melden via aparte kanalen is de regel.
Kan ik voor GDPR en NIS2 dezelfde verantwoordelijke aanstellen?
Beter niet. De DPO heeft een controlerende rol, de NIS2-verantwoordelijke een operationele en beslissende rol. Beide combineren leidt tot een belangenconflict dat de GBA kan beboeten onder artikel 38.6 van de GDPR. Houd de rollen gescheiden.
Kunnen een GDPR-boete en een NIS2-boete cumuleren?
Nee, niet voor hetzelfde feit. Artikel 32, lid 2 van de NIS2-richtlijn bepaalt dat de NIS2-toezichthouder geen boete oplegt als de GBA al een boete heeft opgelegd voor een inbreuk uit hetzelfde incident. De NIS2-toezichthouder kan wel niet-financiële maatregelen opleggen.
Welke subsidie dekt zowel GDPR- als NIS2-maatregelen?
Het VLAIO Cybersecurity Verbetertraject dekt beide en subsidieert tot 50% van de kostprijs voor kmo’s, op trajecten tussen 7.100 en 39.900 euro. De KMO-portefeuille is daarnaast beschikbaar voor cybersecurity-advies en -opleiding, met 45% voor kleine en 35% voor middelgrote ondernemingen.
Van twee verplichtingen naar één geïntegreerde aanpak
Het grootste risico bij GDPR en NIS2 is niet de wetgeving zelf, maar de neiging om ze als twee aparte projecten te behandelen. Dat leidt tot dubbele risicoanalyses, twee losse incidentplannen en twee teams die langs elkaar werken. Terwijl de overlap juist de kans biedt om efficiënter te werken.
Bij Cyberplan adviseren we klanten om GDPR en NIS2 niet als twee aparte projecten te behandelen. Eén geïntegreerd beveiligingstraject bespaart tijd, geld en dubbel werk. U voegt uw data-inventaris en uw IT-assetregister samen tot één overzicht, u breidt uw bestaande incidentplan uit met de 24-uursprocedure van NIS2, en u richt uw governance zo in dat de rollen gescheiden blijven maar wel samenwerken.
Wilt u weten waar uw organisatie vandaag staat ten opzichte van beide kaders? Een cybersecurity audit brengt uw situatie in kaart en levert een concrete routekaart op die GDPR en NIS2 in één beweging meeneemt. Plan een vrijblijvend kennismakingsgesprek en ontdek hoe u beide verplichtingen aanpakt zonder dubbel werk, met tot 50% subsidie via VLAIO.
