TL;DR: De Belgische NIS2-wet is van toepassing op middelgrote en grote ondernemingen (50+ medewerkers of €10M+ omzet) die actief zijn in een van de 18 aangewezen sectoren uit bijlage I of II. Bijlage I bevat 11 zeer kritieke sectoren (energie, vervoer, gezondheidszorg, digitale infrastructuur), bijlage II telt 7 andere kritieke sectoren waaronder de maakindustrie en voedingssector. Zelfs bedrijven die niet rechtstreeks onder NIS2 vallen, kunnen via supply chain-verplichtingen alsnog geconfronteerd worden met dezelfde eisen.
U heeft de term NIS2 ondertussen waarschijnlijk al tientallen keren voorbij zien komen. In vakmedia, op events, via uw IT-partner of in een brief van een grote klant. Maar de concrete vraag die we bij Vlaamse zaakvoerders en compliance-verantwoordelijken het vaakst horen, is verrassend eenvoudig: “Valt mijn bedrijf hier eigenlijk onder?”
Het antwoord is niet altijd voor de hand liggend. De Belgische NIS2-wet hanteert een combinatie van sectorale criteria en grootte-drempels, met daarbovenop uitzonderingen en een supply chain-effect dat ook bedrijven buiten de directe scope raakt. In dit artikel lopen we sector per sector door de twee bijlagen van de wet, geven we concrete voorbeelden voor typisch Vlaamse bedrijven en bieden we een beslisboom waarmee u in enkele stappen kunt bepalen waar u staat.
NIS2 in twee zinnen: het toepassingsgebied uitgelegd
De Belgische NIS2-wet (Wet van 26 april 2024) bepaalt het toepassingsgebied aan de hand van twee criteria: de sector waarin uw bedrijf actief is en de omvang van uw onderneming. Beide criteria moeten tegelijkertijd vervuld zijn, tenzij een uitzondering van toepassing is.
De wet groepeert de relevante sectoren in twee bijlagen. Bijlage I bevat de “zeer kritieke sectoren” en telt 11 sectoren. Bijlage II bevat de “andere kritieke sectoren” en telt 7 sectoren. Samen dekken ze 18 sectoren. Het onderscheid is relevant omdat het bepaalt of uw bedrijf als essentiële of als belangrijke entiteit wordt geclassificeerd, en dat heeft directe gevolgen voor het toezichtsregime en de maximale boetes.
Concreet: een groot bedrijf (250+ medewerkers) in een bijlage I-sector is een essentiële entiteit. Een middelgroot bedrijf (50 tot 249 medewerkers) in diezelfde sector is een belangrijke entiteit. Alle bedrijven in bijlage II-sectoren, ongeacht of ze middelgroot of groot zijn, worden in principe als belangrijke entiteit geclassificeerd. Meer over de gevolgen bij niet-naleving leest u in ons artikel over NIS2-boetes en bestuurdersaansprakelijkheid.
De grootte-criteria onder de Belgische NIS2-wet
De omvangscriteria voor NIS2 zijn gebaseerd op de Europese KMO-definitie (Aanbeveling 2003/361/EG). Een bedrijf valt onder NIS2 als het minstens aan één van de volgende drempels voldoet:
| Criterium | Middelgroot | Groot |
|---|---|---|
| Aantal medewerkers (VTE) | 50 tot 249 | 250 of meer |
| Jaaromzet | meer dan €10 miljoen | meer dan €50 miljoen |
| Balanstotaal | meer dan €10 miljoen | meer dan €43 miljoen |
Belangrijk: de financiële criteria zijn niet cumulatief. Een bedrijf met 60 medewerkers en een omzet van €12 miljoen is middelgroot en valt in scope. Maar een bedrijf met 40 medewerkers en een omzet van €15 miljoen kan eveneens in scope vallen op basis van de financiële drempel alleen.
Nog een aandachtspunt dat veel Vlaamse bedrijfsleiders over het hoofd zien: als uw onderneming deel uitmaakt van een groep (holdings, zusterbedrijven, buitenlandse moedermaatschappijen), moeten de cijfers geconsolideerd worden. Een Vlaamse KMO met 40 medewerkers die eigendom is van een holding met in totaal 300 medewerkers, valt door die consolidatie alsnog in scope.
Uitzonderingen waar grootte er niet toe doet
Voor bepaalde types dienstverleners gelden de groottecriteria niet. Zelfs kleine bedrijven vallen onder NIS2 als ze actief zijn als:
- aanbieder van openbare elektronische communicatienetwerken of -diensten
- verlener van vertrouwensdiensten (elektronische handtekeningen, certificaten)
- register voor topleveldomeinnamen (TLD) of DNS-dienstverlener
- cloudcomputingdienstverlener, datacentrum, content delivery network
- managed service provider (MSP) of managed security service provider (MSSP)
- aanbieder van onlinemarktplaatsen, onlinezoekmachines of sociale netwerkplatformen
Volgens de CCB-FAQ (versie 2.0.1) kan het CCB bovendien individuele entiteiten alsnog aanwijzen als essentieel of belangrijk wanneer die entiteit een monopolie heeft of wanneer verstoring significante gevolgen zou hebben voor de openbare veiligheid.
Bijlage I: zeer kritieke sectoren (essentiële entiteiten)
De 11 sectoren in bijlage I vormen de ruggengraat van de Belgische economie en samenleving. Grote bedrijven in deze sectoren zijn essentiële entiteiten; middelgrote bedrijven zijn belangrijke entiteiten.
| Nr. | Sector | Subsectoren en voorbeelden |
|---|---|---|
| 1 | Energie | Elektriciteit (producenten, transmissie, distributie), stadsverwarming en -koeling, aardolie, aardgas, waterstof |
| 2 | Vervoer | Luchtvaart, spoorwegvervoer, scheepvaart en binnenvaart, wegvervoer (verkeersbeheersinstanties) |
| 3 | Bankwezen | Kredietinstellingen |
| 4 | Financiëlemarktinfrastructuur | Exploitanten van handelsplatformen |
| 5 | Gezondheidszorg | Zorgverstrekkers (ziekenhuizen, klinieken), EU-referentielaboratoria, farmaceutische producenten, fabrikanten van kritieke medische hulpmiddelen |
| 6 | Drinkwater | Leveranciers en distributeurs van water voor menselijke consumptie |
| 7 | Afvalwater | Bedrijven voor inzameling, lozing of behandeling van afvalwater |
| 8 | Digitale infrastructuur | IXP’s, DNS-dienstverleners, TLD-registers, cloudcomputing, datacentra, CDN’s, vertrouwensdiensten, telecom |
| 9 | Beheer van ICT-diensten (B2B) | Managed service providers (MSP’s), managed security service providers (MSSP’s) |
| 10 | Overheid | Federale en regionale overheidsinstellingen |
| 11 | Ruimtevaart | Exploitanten van grondinfrastructuur voor ruimtediensten |
Wat dit betekent voor Vlaamse bedrijven: de sectoren digitale infrastructuur en ICT-beheer zijn bijzonder relevant voor de vele IT-dienstverleners in Vlaanderen. Een IT-partner die de Microsoft 365-omgeving of de servers van klanten beheert, wordt door de wet breed gedefinieerd als MSP en valt daarmee onder bijlage I, ook als “security” niet in de bedrijfsnaam staat. Een meer gedetailleerde analyse van de zorgsector en NIS2 vindt u in ons artikel over cybersecurity voor ziekenhuizen, apotheken en zorggroepen.
Bijlage II: andere kritieke sectoren (belangrijke entiteiten)
De 7 sectoren in bijlage II zijn eveneens cruciaal voor de Belgische economie. Zowel middelgrote als grote bedrijven in deze sectoren worden als belangrijke entiteit geclassificeerd.
| Nr. | Sector | Subsectoren en voorbeelden |
|---|---|---|
| 1 | Post- en koeriersdiensten | Pakket- en postdienstverleners |
| 2 | Afvalstoffenbeheer | Inzameling, vervoer en verwerking van afval (exclusief afvalwater) |
| 3 | Vervaardiging, productie en distributie van chemische stoffen | Producenten en distributeurs van stoffen en mengsels |
| 4 | Productie, verwerking en distributie van levensmiddelen | Voedingsproducenten, verwerkers, groothandel, supermarktketens |
| 5 | Vervaardiging (maakindustrie) | Medische hulpmiddelen, computers en elektronica, elektrische apparatuur, machines en apparaten, motorvoertuigen, andere transportmiddelen |
| 6 | Digitale aanbieders | Onlinemarktplaatsen, onlinezoekmachines, sociale netwerkplatformen |
| 7 | Onderzoek | Onderzoeksorganisaties |
Specifieke aandacht voor de maakindustrie: de sector “vervaardiging” in bijlage II raakt de kern van het Vlaamse economische weefsel. Zes subsectoren vallen eronder, van machinebouwers tot fabrikanten van elektrische apparatuur. Een meubelfabriek met 80 werknemers en €15 miljoen omzet die ook onderdelen produceert voor de medische sector, valt onder NIS2 als belangrijke entiteit.
Hetzelfde geldt voor de voedingssector. Bijlage II maakt geen onderscheid tussen B2B en B2C. Een Vlaamse vleesverwerker of zuivelfabriek met meer dan 50 medewerkers die uitsluitend aan andere voedingsbedrijven levert, valt evengoed in scope.
Beslisboom: bent u essentieel, belangrijk, of valt u buiten NIS2?
Om de scope-vraag systematisch te beantwoorden, kunt u de volgende vier vragen doorlopen:
Vraag 1: Is uw bedrijf actief in een van de 18 sectoren uit bijlage I of II? Analyseer al uw diensten aan derden, per sector en subsector. Volgens het CCB is het niet relevant of de betrokken dienst uw hoofdactiviteit is. Zelfs een bijkomstige activiteit kan uw hele bedrijf in scope brengen, tenzij de definitie in de bijlage dit expliciet uitsluit.
Vraag 2: Overschrijdt uw bedrijf de groottecriteria? 50+ medewerkers (VTE), of meer dan €10 miljoen omzet, of meer dan €10 miljoen balanstotaal. Let op de consolidatieplicht bij groepsstructuren.
Vraag 3: Bent u actief als MSP, cloudprovider, telecomaanbieder, DNS-dienstverlener of een ander type waarvoor de groottecriteria niet gelden? Zo ja, dan valt u onder NIS2 ongeacht uw omvang.
Vraag 4: Bent u een essentiële of belangrijke entiteit? Groot bedrijf in bijlage I = essentieel. Middelgroot bedrijf in bijlage I = belangrijk. Middelgroot of groot bedrijf in bijlage II = belangrijk.
Het CCB biedt via het Safeonweb@Work-portaal een NIS2 Scope Test Tool aan waarmee u deze analyse digitaal kunt doorlopen.
Twijfelgevallen voor Vlaamse middelgrote bedrijven
In de praktijk is de grens tussen “in scope” en “buiten scope” niet altijd scherp. Hier zijn zeven scenario’s die we regelmatig tegenkomen.
1. Het maakbedrijf met een gemengd productportfolio Een metaalverwerker met 90 medewerkers produceert tandwielen voor landbouwmachines, maar ook componenten voor beademingstoestellen. De wet stelt dat de levering van diensten in een kritieke subsector (vervaardiging van medische hulpmiddelen) de entiteit in scope brengt. Het maakt niet uit dat dit slechts 5% van de omzet vertegenwoordigt. Conclusie: het hele bedrijf valt onder NIS2, tenzij de activiteiten juridisch strikt gescheiden zijn in aparte entiteiten.
2. De IT-dienstverlener die geen “managed security” doet Een Vlaamse IT-partner met 55 medewerkers biedt cloudhosting en werkplekbeheer aan, maar profileert zich niet als beveiligingsexpert. De wet definieert MSP’s breed: elke aanbieder die diensten verleent met betrekking tot de installatie, het beheer, de exploitatie of het onderhoud van ICT-producten, -netwerken, -infrastructuur of -toepassingen. Conclusie: vrijwel elke IT-partner die de infrastructuur van klanten beheert, valt onder bijlage I als MSP.
3. De B2B-voedingsproducent Een producent van voedingsadditieven met 70 medewerkers die uitsluitend aan andere voedingsbedrijven levert. Bijlage II maakt geen onderscheid tussen B2B en B2C binnen de levensmiddelensector. Conclusie: als de omvangscriteria worden overschreden, is het bedrijf een belangrijke entiteit.
4. Het logistiek bedrijf zonder eigen transportmiddelen Een expediteur met 60 medewerkers beheert magazijnen en plant transporten, maar huurt al het transport in. De sector “vervoer” in bijlage I richt zich op operatoren van transportinfrastructuur en vervoersondernemingen. Conclusie: als het bedrijf enkel als makelaar optreedt zonder eigen transportactiviteit, valt het mogelijk buiten de directe scope van bijlage I. Maar het beheer van kritieke magazijninfrastructuur voor NIS2-plichtige klanten kan via supply chain-clausules alsnog verplichtingen creëren.
5. De distributeur van medische hulpmiddelen Een distributeur (geen producent) met 80 medewerkers. De subsector “vervaardiging van medische hulpmiddelen” in bijlage II richt zich primair op fabrikanten. Maar let op: distributie kan onder een andere subsector vallen, afhankelijk van de exacte aard van de activiteiten. Een grondige analyse van de definities in de bijlagen is noodzakelijk.
6. Het online platform met minder dan €10 miljoen omzet Een Vlaams e-commerceplatform met 30 medewerkers en €8 miljoen omzet. Als het platform kwalificeert als “onlinemarktplaats” (bijlage II, digitale aanbieders), gelden de groottecriteria mogelijk niet, omdat dit type dienstverlener onder de uitzonderingsregel kan vallen. Raadpleeg de exacte definities in de wet.
7. Het bouwbedrijf met overheidsopdrachten De bouwsector staat niet in bijlage I of II. Een aannemer met 150 medewerkers die een waterzuiveringsstation bouwt, valt niet rechtstreeks onder NIS2. Maar de opdrachtgever (het waterbedrijf) valt wel onder bijlage I en zal via contractuele supply chain-clausules beveiligingseisen opleggen. Meer over de specifieke uitdagingen voor de bouwsector leest u in ons artikel over cybersecurity voor aannemers en projectontwikkelaars.
Supply chain inclusion: wanneer NIS2 alsnog van toepassing is
Een van de meest onderschatte aspecten van de NIS2-wet is de verplichting tot ketenbeveiliging. Artikel 30 van de wet verplicht NIS2-entiteiten om de cyberbeveiliging van hun toeleveringsketen te beheren. In de praktijk betekent dit dat bedrijven die zelf niet onder NIS2 vallen, alsnog geconfronteerd worden met dezelfde eisen via hun klanten.
Concreet ziet dit er zo uit: een groot productiebedrijf dat als essentiële entiteit is geregistreerd, stuurt een leveranciersvragenlijst naar al zijn toeleveranciers. Daarin staat dat de leverancier moet aantonen over een bepaald beveiligingsniveau te beschikken, bijvoorbeeld CyberFundamentals Basic. Wie dat niet kan, riskeert het contract te verliezen.
Het CCB adviseert NIS2-entiteiten expliciet om organisaties die van vitaal belang zijn voor hun cyberbeveiliging uit te nodigen om minstens het CyFun-niveau Basic te implementeren. Dit creëert een cascade-effect dat de hele Vlaamse economie raakt. De keuze is helder: ofwel investeert u proactief in een basisbeveiligingsniveau, ofwel verliest u geleidelijk toegang tot de toeleveringsketens van uw grootste klanten.
U valt onder NIS2: wat zijn de volgende stappen?
Als u na de scope-analyse concludeert dat uw bedrijf onder NIS2 valt, zijn dit de drie essentiële stappen.
Stap 1: Registreer bij het CCB. Alle NIS2-entiteiten moesten zich uiterlijk op 18 maart 2025 registreren via het Safeonweb@Work-portaal. Heeft u dat nog niet gedaan, doe het dan alsnog. Registratie is een wettelijke verplichting en het signaal “we zijn bezig” telt.
Stap 2: Kies uw compliance-route. De Belgische wet biedt twee erkende routes: het CyberFundamentals framework (CyFun) van het CCB of ISO 27001-certificering. Ongeveer 75% van de geregistreerde entiteiten kiest voor CyFun. Welk kader het beste past bij uw situatie, leest u in ons vergelijkingsartikel over ISO 27001 en CyberFundamentals.
Stap 3: Start met een gap-analyse. Een conformiteitsbeoordeling begint niet bij de auditinstantie (CAB), maar bij een helder beeld van uw huidige beveiligingsniveau. Een cybersecurity audit brengt de afstand in kaart tussen waar u nu staat en waar u moet zijn. De deadline voor de eerste conformiteitsbeoordeling voor essentiële entiteiten was 18 april 2026, met definitieve certificering tegen april 2027.
U valt niet onder NIS2: betekent dat niets doen?
Kort antwoord: nee. Ook als uw bedrijf formeel buiten de NIS2-scope valt, zijn er drie redenen om toch actie te ondernemen.
Ten eerste het supply chain-effect, zoals hierboven beschreven. Uw klanten die wel onder NIS2 vallen, zullen steeds vaker beveiligingseisen stellen in hun contracten. Ten tweede blijven cyberdreigingen een realiteit, ongeacht uw wettelijke verplichtingen. Een ransomware-aanval treft geen onderscheid tussen NIS2-plichtige en niet-plichtige bedrijven. Een gedegen incident response plan is voor elke organisatie een verstandige investering.
Ten derde biedt het CyFun Basic-niveau een uitstekend vrijwillig kader om uw basisbeveiliging te structureren, zonder dat u door een verplicht audittraject moet. Het CCB moedigt alle Belgische organisaties aan om minstens dit niveau te implementeren.
Aan de slag met NIS2 in uw bedrijf
Of u nu met zekerheid onder NIS2 valt, twijfelt over uw classificatie, of proactief wilt investeren in cyberbeveiliging: het begint altijd bij hetzelfde vertrekpunt. Een audit die helder in kaart brengt waar u vandaag staat.
Cyberplan begeleidt Vlaamse bedrijven van scope-analyse tot conformiteitsbeoordeling. Onze cybersecurity audit fungeert als praktische gap-analyse die u toont welke stappen prioriteit hebben en welke investeringen nodig zijn. En die investering hoeft niet zwaar te wegen: via de VLAIO-subsidies (KMO-portefeuille en Cybersecurity Verbetertrajecten) kunt u tot 50% van de kosten terugkrijgen. Meer informatie vindt u op onze NIS2-pagina of boek rechtstreeks een kennismakingsgesprek.
Veelgestelde vragen over NIS2-sectoren in België
Moet mijn KMO voldoen aan NIS2 als ik minder dan 50 medewerkers heb maar meer dan €10 miljoen omzet?
Ja. De groottecriteria zijn niet cumulatief. Als uw jaaromzet of balanstotaal de drempel van €10 miljoen overschrijdt, kunt u in scope vallen, ook met minder dan 50 medewerkers. Daarnaast bestaan uitzonderingen voor specifieke digitale dienstverleners (MSP’s, cloudproviders, telecom) waarbij de groottecriteria helemaal niet gelden.
Wat is het verschil tussen een essentiële en een belangrijke entiteit?
Essentiële entiteiten zijn grote bedrijven in bijlage I-sectoren. Zij worden proactief gecontroleerd en riskeren boetes tot €10 miljoen of 2% van de wereldwijde omzet. Belangrijke entiteiten (middelgrote bedrijven in bijlage I en alle bedrijven in bijlage II) worden reactief gecontroleerd en riskeren boetes tot €7 miljoen of 1,4% van de omzet.
Hoe weet ik of mijn bedrijf in een NIS2-sector valt?
Analyseer al uw diensten aan derden en vergelijk ze met de definities in bijlage I en II van de Belgische NIS2-wet. Het CCB biedt via Safeonweb@Work een NIS2 Scope Test Tool aan. Let op: zelfs een bijkomstige activiteit in een NIS2-sector kan uw hele bedrijf in scope brengen.
Valt de bouwsector onder NIS2?
De bouwsector staat niet in bijlage I of II en valt dus niet rechtstreeks onder NIS2. Maar bouwbedrijven die werken voor opdrachtgevers in NIS2-sectoren (waterbedrijven, energiemaatschappijen, overheden) zullen via supply chain-clausules alsnog aan beveiligingseisen moeten voldoen.
Wat als mijn bedrijf deel uitmaakt van een internationale groep?
Bij de berekening van de omvangscriteria moeten de gegevens van partner- en verbonden ondernemingen geconsolideerd worden volgens de EU-aanbeveling 2003/361/EG. Een Vlaamse dochteronderneming met 40 medewerkers kan in scope vallen als de moedergroep meer dan 250 medewerkers telt.
Moet ik me nog registreren als ik de deadline van 18 maart 2025 heb gemist?
Ja. Registratie bij het CCB via Safeonweb@Work is een wettelijke verplichting. Als u de deadline gemist heeft, registreer u dan alsnog zo snel mogelijk. Het CCB hanteert voorlopig een coöperatieve aanpak, maar die kan veranderen naarmate deadlines verstrijken.
Wat kost NIS2-compliance voor een middelgroot Vlaams bedrijf?
De investering hangt af van uw huidige beveiligingsniveau en uw NIS2-classificatie. Een eerste cybersecurity audit als startpunt kan via VLAIO-subsidies tot 45-50% goedkoper worden. In ons artikel over cybersecurity-budgetten voor KMO’s vindt u concrete richtbedragen.
