NIS2 België: perimeter

Essentiële en belangrijke entiteiten: valt u onder NIS2?

In België zet de wet van 26 april 2024 de NIS2-richtlijn om. Deze pagina legt uit hoe u bepaalt of uw organisatie een essentiële entiteit of een belangrijke entiteit is, op basis van sector, omvang en de regels van het Centrum voor Cybersecurity België (CCB).

De wet is van kracht

Anders dan in sommige buurlanden zijn de Belgische verplichtingen al van kracht: de wet trad in werking op 18 oktober 2024. Essentiële en belangrijke entiteiten registreren zich bij het CCB op Safeonweb@work.

Essentiële entiteiten vs belangrijke entiteiten

Onder de wet van 26 april 2024. Het onderscheid bepaalt vooral de intensiteit van het toezicht door het CCB.

Essentiële entiteiten (art. 9)
Grote entiteiten in de hoogkritieke sectoren van bijlage I: energie, vervoer, gezondheid, drinkwater, digitale infrastructuur. Plus gekwalificeerde vertrouwensdienstverleners, DNS-aanbieders en de centrale en gewestelijke overheid. Toezicht vooraf (ex ante) door het CCB. Verplichte CyFun-certificering op niveau Essential tegen 18 april 2027.
Belangrijke entiteiten (art. 10)
De entiteiten in de sectoren van bijlage I en II die geen essentiële entiteit zijn en boven de drempel van de micro- of kleine onderneming uitkomen (post, afval, chemie, voedingsmiddelen, productie, digitale aanbieders). Toezicht achteraf (ex post), naar aanleiding van een incident of een aanwijzing. CyFun is vrijwillig.

Grootteciterium en bijzondere gevallen

  • Drempel voor de perimeter (wet art. 3): vanaf 50 werknemers, OF meer dan 10 miljoen euro jaaromzet, OF meer dan 10 miljoen euro balanstotaal. Onder die drempel valt een organisatie in de regel buiten NIS2.
  • Ongeacht de omvang: sommige aanbieders vallen onder NIS2 los van hun grootte, zoals DNS-aanbieders, topniveaudomeinregisters, aanbieders van cloudcomputingdiensten en gekwalificeerde vertrouwensdienstverleners.
  • Registratie bij het CCB (wet art. 13 en 14): entiteiten identificeren zichzelf op het platform Safeonweb@work. De termijn is vijf maanden na identificatie, of twee maanden voor aanbieders van DNS, cloud, CDN, beheerde diensten, marktplaatsen, zoekmachines en sociale netwerken.
  • ISO 27001 als alternatief: een entiteit die door een erkende CAB ISO/IEC 27001:2022- gecertificeerd is, hoeft niet over te stappen op CyFun. Het KB van 9 juni 2024 erkent beide kaders.
  • Overheid: de centrale en gewestelijke overheid valt onder de essentiële entiteiten (wet art. 9).

Kalender, verplichtingen en boetes

  • 18 oktober 2024: inwerkingtreding van de wet en het KB, met de feitelijke start van de NIS2-verplichtingen.
  • 18 april 2026: uiterste datum voor de CyFun-zelfevaluatie (niveau Basic of Important) voor essentiële entiteiten, in te dienen bij het CCB.
  • 18 april 2027: verplichte CAB-certificering op niveau Essential (of een gelijkwaardige ISO 27001-certificering) voor essentiële entiteiten.
  • Incidentmelding: 24 uur (vroege waarschuwing) / 72 uur (melding) / 1 maand (eindverslag) bij het CSIRT van het CCB (CERT.be).
  • Boetes (titel IV, hoofdstuk II): tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten (art. 58); tot 7 miljoen euro of 1,4% voor belangrijke entiteiten (art. 59).

Veelgestelde vragen

Is de NIS2-richtlijn omgezet in België?
Ja. België was een van de eerste lidstaten: de wet van 26 april 2024 (gepubliceerd in het Belgisch Staatsblad op 17 mei 2024) trad in werking op 18 oktober 2024. Het KB van 9 juni 2024 wijst het Centrum voor Cybersecurity België (CCB) aan als nationale autoriteit en erkent CyFun en ISO 27001 als conformiteitskaders.
Wat is het verschil tussen een essentiële en een belangrijke entiteit?
Essentiële entiteiten (wet art. 9) zijn grote entiteiten in de hoogkritieke sectoren van bijlage I, plus gekwalificeerde vertrouwensdienstverleners, DNS-aanbieders, topniveaudomeinregisters en de centrale en gewestelijke overheid. Zij staan onder toezicht vooraf (ex ante). Belangrijke entiteiten (wet art. 10) zijn de overige entiteiten in de sectoren van bijlage I en II die boven de drempel van de micro- of kleine onderneming uitkomen. Zij staan onder toezicht achteraf (ex post).
Wat is CyFun en is het verplicht?
CyFun (CyberFundamentals) is het kader van het CCB om de conformiteit met de maatregelen van art. 30 van de wet aan te tonen. Voor essentiële entiteiten is conformiteit verplicht (CAB-certificering op niveau Essential tegen 18 april 2027); voor belangrijke entiteiten is een evaluatie vrijwillig, maar zij genieten dan van het vermoeden van conformiteit. ISO/IEC 27001:2022 wordt door het KB van 9 juni 2024 erkend als gelijkwaardig alternatief.
Welke boetes voorziet de Belgische NIS2-wet?
Het sanctieregime staat in titel IV, hoofdstuk II (art. 58 tot 61) van de wet van 26 april 2024. Voor essentiële entiteiten kan de administratieve geldboete oplopen tot 10 miljoen euro of 2% van de totale wereldwijde jaaromzet (art. 58). Voor belangrijke entiteiten is dat tot 7 miljoen euro of 1,4% (art. 59). Het CCB kan ook handhavingsmaatregelen opleggen (art. 60) en de beslissing publiek maken (art. 61).

Weet waar u staat, vandaag nog

Reglyze helpt u uw waarschijnlijke categorie te bepalen, uw maatregelen af te stemmen op de CyFun-functies en uw dossier voor te bereiden. Transparante prijzen in euro, hosting in de EU.

Reglyze is een SaaS-platform voor NIS2-conformiteit en vervangt geen gekwalificeerd juridisch advies. Officiële bron: ccb.belgium.be (CCB).