NIS2: valt uw organisatie eronder?

De Europese NIS2-richtlijn werd in België omgezet door de wet van 26 april 2024, die op 18 oktober 2024 in werking trad. Het Centrum voor Cybersecurity België (CCB) is er de nationale autoriteit voor. Twee gecombineerde criteria bepalen of een organisatie eronder valt: haar omvang en haar activiteitensector.

Het criterium van de omvang

De wet viseert in principe organisaties die minstens de omvang van een middelgrote onderneming bereiken — dat wil zeggen minstens 50 personen, of een jaaromzet of een balanstotaal van meer dan 10 miljoen euro. Onder die drempels blijft een organisatie in principe buiten het toepassingsgebied, behoudens uitzonderingen (zie verder).

Het criterium van de sector

Daarnaast moet ze actief zijn in een van de sectoren die de richtlijn opsomt, verdeeld over twee bijlagen.

Bijlage I bundelt de zeer kritieke sectoren: energie, vervoer, bankwezen, infrastructuur van de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten (business-to-business), overheid, ruimtevaart.

Bijlage II dekt andere kritieke sectoren: post- en koeriersdiensten, afvalstoffenbeheer, chemische stoffen, productie en distributie van levensmiddelen, vervaardiging (medische hulpmiddelen, elektronische producten, elektrische apparatuur, machines, voertuigen), digitale aanbieders, onderzoek.

Essentiële of belangrijke entiteit

De wet onderscheidt twee statuten, die de intensiteit van het toezicht bepalen. Een essentiële entiteit is een grote onderneming die actief is in een sector van bijlage I — minstens 250 personen, of een omzet van meer dan 50 miljoen euro. Een belangrijke entiteit is een middelgrote onderneming in een sector van bijlage I, of een onderneming (groot of middelgroot) in een sector van bijlage II.

Essentiële entiteiten staan onder proactief toezicht; belangrijke entiteiten onder reactief toezicht, in gang gezet door een incident of een melding.

De uitzonderingen op de omvang

Sommige organisaties vallen onder NIS2 ongeacht hun omvang, wegens hun rol in het digitale ecosysteem: aanbieders van DNS-diensten, registers voor topleveldomeinnamen, gekwalificeerde verleners van vertrouwensdiensten, en bepaalde entiteiten van de federale overheid.

Eenmaal het toepassingsgebied vaststaat

De betrokken entiteiten moesten zich bij het CCB registreren — tegen 18 december 2024 voor de digitale sector, en tegen 18 maart 2025 voor de overige. Het CCB biedt het referentiekader CyberFundamentals aan om de verwachte maatregelen door te voeren, met vier niveaus (Small, Basic, Important, Essential). Essentiële entiteiten moeten het niveau Basic of Important bereiken vóór 18 april 2026, en vervolgens het vereiste niveau laten certificeren vóór 18 april 2027.

Uw statuut bepalen betekent deze criteria toetsen aan uw werkelijke situatie; dat is het vertrekpunt van elke begeleiding.