TL;DR: De NIS2-registratie bij het CCB verloopt via het portaal Safeonweb@Work. Valt uw bedrijf als essentiële of belangrijke entiteit onder NIS2, dan moet u zich verplicht registreren. U logt in met eID of itsme, uw KBO-gegevens worden grotendeels automatisch ingeladen, en het invullen duurt doorgaans minder dan een uur. De registratie is gratis. Registreren en de conformiteitsbeoordeling zijn twee aparte verplichtingen.
U weet dat uw bedrijf onder NIS2 valt. De volgende vraag is praktisch: hoe meldt u zich nu effectief aan? Voor veel zaakvoerders en IT-managers voelt dat als een bureaucratisch mijnenveld, met onduidelijke portalen, inlogprocedures en deadlines. De realiteit valt mee. Het registratieproces bij het Centrum voor Cybersecurity België (CCB) is eenvoudiger dan u denkt, en in dit artikel lopen we het stap voor stap met u door.
We leggen uit waarom de registratie wettelijk verplicht is, wie zich moet aanmelden, welke gegevens u vooraf verzamelt en wat het CCB na uw aanmelding van u verwacht. Zo weet u precies wat u te doen staat.
Waarom moet u zich registreren bij het CCB?
U registreert zich omdat de Belgische NIS2-wet dat verplicht. Het CCB beheert het nationale register van alle entiteiten die onder de wet vallen, en zonder aanmelding bent u onzichtbaar voor de toezichthouder terwijl de wettelijke verplichtingen al lopen. Niet-registreren is een rechtstreekse inbreuk.
De wettelijke basis is de Wet van 26 april 2024, die op 18 oktober 2024 in werking trad. Daarin wijst de wetgever het CCB aan als de nationale toezichthoudende autoriteit. De registratieplicht staat los van uw feitelijke beveiligingsniveau: ook als u al een ISO 27001-certificaat of een CyberFundamentals-label heeft, blijft de aanmelding een aparte administratieve verplichting.
Wat als u zich niet registreert? Dan riskeert u sancties. Voor essentiële entiteiten lopen de boetes op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten ligt het maximum op 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Daarnaast kan de inspectiedienst bindende instructies opleggen en kunnen bestuurders persoonlijk aansprakelijk worden gesteld.
Wie valt onder de aanmeldingsplicht?
Elke organisatie die onder NIS2 als essentiële of belangrijke entiteit kwalificeert, moet zich verplicht registreren bij het CCB. De kwalificatie steunt op drie criteria die samen gelden: uw sector, uw omvang en uw vestiging in België.
Het sectorcriterium kijkt of u een dienst levert die genoemd wordt in Bijlage I (zeer kritieke sectoren zoals energie, transport, gezondheidszorg, bankwezen, drinkwater, digitale infrastructuur en overheid) of Bijlage II (andere kritieke sectoren zoals post- en koeriersdiensten, afvalbeheer, chemie, levensmiddelen, machinebouw, digitale aanbieders en onderzoek). Het omvangcriterium kijkt of u de drempel van een middelgrote onderneming overschrijdt: minstens 50 voltijdse equivalenten, óf een jaaromzet of balanstotaal boven 10 miljoen euro. Micro- en kleine ondernemingen blijven in principe buiten scope.
Op die hoofdregel bestaan strikte uitzonderingen. Sommige organisaties vallen onvoorwaardelijk onder de plicht, ongeacht hun omvang. Denk aan DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van domeinnaamregistratiediensten, trustdienstverleners en aanbieders van openbare elektronische communicatienetwerken. Ook overheidsinstanties en exploitanten van kritieke infrastructuur vallen er rechtstreeks onder.
Een veelgemaakte fout: bedrijven berekenen hun omvang enkel op basis van de Belgische entiteit. Maakt u deel uit van een groep, dan moet u de personeels- en omzetcijfers van moeder-, dochter- en zusterondernemingen consolideren om de drempels te toetsen. Niet zeker of u eronder valt? Het CCB stelt op Safeonweb@Work de NIS2 Scope Test Tool en de NIS2 Definition Matrix beschikbaar waarmee u dit stapsgewijs controleert.
De NIS2-registratie stap voor stap
De aanmelding verloopt via een opeenvolgend digitaal formulier op Safeonweb@Work, waarbij u uw administratieve, organisatorische en technische gegevens invult. Een groot deel van uw bedrijfsgegevens wordt automatisch uit de Kruispuntbank van Ondernemingen (KBO) geïmporteerd zodra u uw ondernemingsnummer invoert. Hieronder de vijf stappen.
Stap 1: controleer of uw bedrijf onder NIS2 valt
Begin niet met inloggen, maar met de scope-check. Gebruik de NIS2 Scope Test Tool van het CCB om vast te stellen of u registratieplichtig bent en welk assurance-niveau van toepassing is. Consolideer daarbij de cijfers van uw volledige groep, niet enkel uw Belgische vestiging. Deze stap voorkomt dat u zich onterecht wel of niet aanmeldt.
Stap 2: verzamel de benodigde bedrijfsgegevens
Verzamel vooraf alle gegevens die het formulier opvraagt, zodat u in één sessie kunt afronden. U heeft uw KBO-ondernemingsnummer, contactgegevens, de IP-bereiken en domeinnamen van uw dienstverlening, en uw sectorale classificatie nodig. Wie deze zaken klaar heeft liggen, doorloopt het formulier vlot. We geven verderop een volledige lijst.
Stap 3: registreer via het CCB-portaal
Ga naar het registratieportaal van Safeonweb@Work en log in. De directe omgeving is bereikbaar via atwork.safeonweb.be. U authenticeert zich met uw Belgische elektronische identiteitskaart (eID) of via de itsme-app. Het systeem controleert onmiddellijk in de KBO of u de wettelijke vertegenwoordiger van de organisatie bent.
Wilt u de registratie laten uitvoeren door uw IT-manager of CISO in plaats van zelf? Dan kent de wettelijke vertegenwoordiger via het federale platform My eGov Role Management de rol CCB SAFEONWEBATWORK EDIT toe aan het rijksregisternummer van die medewerker. Pas daarna kan de gemachtigde namens uw organisatie registreren. Heeft uw organisatie geen Belgisch KBO-nummer, dan verloopt de aanmelding handmatig via een e-mail naar het CCB.
Daarna vult u het formulier in: u valideert de administratieve contactgegevens, geeft uw sector en deelsector op volgens Bijlage I of II, en vermeldt uw omvang in voltijdse equivalenten, jaaromzet en balanstotaal. Ook geeft u aan in welke andere EU-lidstaten u uw diensten levert.
Stap 4: ontvang bevestiging en classificatie
Direct na het indienen ontvangt u een elektronische bevestiging via de actieve status in het portaal. Op basis van uw ingevoerde gegevens over sector, omvang en aard van de dienst krijgt u een indicatieve kwalificatie als essentiële of belangrijke entiteit. Houd er rekening mee dat het CCB of de sectorale autoriteit het laatste woord behoudt over de formele classificatie.
Stap 5: plan uw vervolgstappen
Met de bevestiging in handen is de registratie afgerond, maar uw NIS2-traject begint nu pas. Vanaf dit moment lopen de wettelijke verplichtingen rond risicobeheer, governance en incidentmelding. De logische volgende stap is een gap-analyse waarmee u in kaart brengt waar u staat tegenover het vereiste CyFun-niveau. Verderop in dit artikel leest u wat het CCB precies van u verwacht.
Welke gegevens hebt u vooraf nodig?
U hebt een afgebakende set administratieve, organisatorische en technische gegevens nodig. Heeft u die vooraf klaar, dan duurt het invullen doorgaans minder dan een uur. Concreet gaat het om:
- Uw KBO-ondernemingsnummer (waarmee de basisgegevens automatisch uit de KBO worden ingeladen)
- De actuele administratieve contactgegevens: adres van de hoofdvestiging en eventuele andere EU-vestigingen, een algemeen e-mailadres en telefoonnummers
- De IP-bereiken en domeinnamen die u voor uw dienstverlening gebruikt
- Uw sector en deelsector volgens Bijlage I of Bijlage II van de NIS2-wet
- Uw omvang: aantal voltijdse equivalenten, jaaromzet en balanstotaal (geconsolideerd op groepsniveau)
- De andere EU-lidstaten waar u uw in-scope diensten levert
De inlog vereist daarnaast een geldige eID of de itsme-app, en bij delegatie een actieve roltoewijzing via My eGov Role Management.
Deadline en tijdlijn: tegen wanneer moet u aangemeld zijn?
De wettelijke registratiedeadlines zijn intussen verstreken, maar het portaal blijft onbeperkt open voor late registraties. Wie nog niet geregistreerd is, meldt zich dus best onverwijld aan. De oorspronkelijke termijnen verschilden per type entiteit.
Aanbieders van digitale infrastructuur en digitale diensten (zoals DNS-dienstverleners, cloud, datacentra, MSP’s en MSSP’s, onlinemarktplaatsen en zoekmachines) moesten zich registreren tegen 18 december 2024. Alle overige essentiële en belangrijke entiteiten hadden tijd tot 18 maart 2025.
Belangrijk om niet te verwarren: deze registratiedeadlines staan helemaal los van de conformiteitsbeoordelingsdeadline. De bekende datum van 18 april 2026 markeert de eerste controlemijlpaal voor conformiteit bij essentiële entiteiten, en is dus niet de uiterste registratiedatum. Registreren en aantonen dat u conform bent, zijn twee verschillende acties met elk hun eigen tijdlijn. Meer over die controlemijlpaal leest u in ons artikel over de NIS2-conformiteitsbeoordeling.
Na de registratie: wat verwacht het CCB van u?
Na de aanmelding verwacht het CCB dat u onmiddellijk een gestructureerd verbeterprogramma opstart. Volledige naleving op dag één is niet vereist, maar de governance-verplichtingen treden wel direct in werking: het management keurt de risicobeheersmaatregelen formeel goed, houdt toezicht op de implementatie en volgt verplicht een cybersecuritytraining.
Het inhoudelijke traject volgt de logica van het CyberFundamentals-raamwerk (CyFun) of een gelijkwaardig ISO 27001-systeem. U bepaalt eerst met de CyFun Selection Tool het vereiste assurance-niveau (Basic, Important of Essential). Vervolgens voert u een gap-analyse uit met de CyFun Self-Assessment Tool om uw tekortkomingen in kaart te brengen. Daarna stelt u een implementatieplan op dat prioriteit geeft aan kritieke risico’s zoals identiteitsbeheer met MFA, back-upveiligheid, incidentbeheer en ketenbeveiliging. Hoe u dat raamwerk in de praktijk toepast, leest u in onze uitleg over het CyberFundamentals-framework.
Voor essentiële entiteiten gelden harde deadlines om de conformiteit extern aan te tonen. Tegen uiterlijk 18 april 2026 moet u beschikken over een succesvolle CyFun-verificatie op niveau Basic of Important, of de ISO 27001-documentatie indienen bij het CCB. Tegen uiterlijk 18 april 2027 volgt de definitieve CyFun-certificering op niveau Essential of de volledige ISO 27001:2022-certificering. Belangrijke entiteiten zijn niet verplicht tot externe periodieke audits, maar vallen onder reactief toezicht.
Een tweede verplichting die meteen ingaat, is de meldplicht voor significante incidenten. Die verloopt in drie fasen via notif.safeonweb.be: een vroegtijdige waarschuwing binnen 24 uur, een uitgebreidere incidentmelding binnen 72 uur en een eindrapport binnen één maand. Een incident geldt als significant wanneer het de dienstverlening ernstig verstoort, kan leiden tot financiële verliezen boven 500.000 euro of 5% van de jaaromzet, of aanzienlijke schade aan derden veroorzaakt.
Wie wil starten met een grondige doorlichting kan rekenen op steun. Voor het traject ná de registratie biedt het VLAIO Cybersecurity Verbetertraject tot 50% subsidie voor kmo’s op begeleidingstrajecten. Daarnaast blijft cybersecurity-advies subsidiabel via de KMO-portefeuille. Een cybersecurity audit is vaak het praktische startpunt om uw prioriteiten scherp te krijgen.
Veelgestelde vragen over NIS2-registratie bij het CCB
Hoe registreer ik mijn bedrijf voor NIS2 in België?
U registreert zich via het portaal Safeonweb@Work van het CCB, bereikbaar via atwork.safeonweb.be. U logt in met eID of itsme, waarna het systeem controleert of u de wettelijke vertegenwoordiger bent. Uw KBO-gegevens worden grotendeels automatisch ingeladen. Het invullen duurt doorgaans minder dan een uur.
Wat kost een NIS2-registratie bij het CCB?
Niets. Aan de NIS2-registratie bij het CCB zijn geen administratie-, registratie- of dossierkosten verbonden. Het proces is volledig kosteloos. Kosten ontstaan pas in de fase erna, bij de implementatie van maatregelen en de externe conformiteitsbeoordeling.
Wat is het verschil tussen NIS2-registratie en de conformiteitsbeoordeling?
De registratie is uw administratieve aanmelding bij het CCB. De conformiteitsbeoordeling is de latere, externe verificatie waarmee essentiële entiteiten aantonen dat ze aan de beveiligingseisen voldoen. Het zijn twee aparte verplichtingen met elk een eigen deadline en doel.
Kan mijn IT-manager de NIS2-registratie uitvoeren in plaats van de zaakvoerder?
Ja. De wettelijke vertegenwoordiger kent via het federale platform My eGov Role Management de rol CCB SAFEONWEBATWORK EDIT toe aan het rijksregisternummer van de medewerker. Zodra die roltoewijzing actief is, kan de IT-manager of CISO de registratie namens de organisatie afronden.
Moet ik me nog registreren als de deadline al verstreken is?
Ja. De wettelijke deadlines zijn verstreken, maar het portaal blijft open voor late registraties. Niet-registreren blijft een inbreuk op de wet, met risico op boetes. Meld u dus zo snel mogelijk alsnog aan.
Moet ik me registreren als ik al een ISO 27001-certificaat of CyFun-label heb?
Ja. De registratieplicht staat volledig los van uw beveiligingsstatus. Ook met een ISO 27001-certificering of een CyberFundamentals-label blijft de aanmelding bij het CCB een aparte, verplichte administratieve handeling.
Hulp nodig bij uw NIS2-registratie?
De registratie zelf is een afgebakende administratieve stap die u in een uur doorloopt. Het echte werk begint daarna: de scope correct bepalen, de juiste maatregelen kiezen en uiteindelijk de conformiteit aantonen. Daar komt het meeste twijfel en tijdverlies vandaan.
Cyberplan begeleidt Vlaamse bedrijven van registratie tot conformiteit, inclusief gap-analyse, maatregelen en de conformiteitsbeoordeling. Zo weet u zeker dat u niets over het hoofd ziet en dat uw aanpak aansluit bij wat het CCB van u verwacht.
Wilt u weten waar uw organisatie vandaag staat in het NIS2-traject? Boek een vrijblijvend kennismakingsgesprek en we brengen samen uw situatie in kaart.
