Bent u NIS2-plichtig? Een nuchtere checklist voor KMO's

Eén van de meest gestelde vragen bij Belgische KMO's sinds de inwerkingtreding van NIS2: "Vallen wij er nu onder of niet?" Organisaties met enkele tientallen medewerkers en een paar miljoen omzet zitten vaak in de grijze zone, en de wetgeving zelf maakt het hen niet makkelijk.

De Belgische NIS2-wet (van 26 april 2024) is op 18 oktober 2024 in werking getreden. Hieronder een nuchtere uitleg van wie er onder valt, waar het cascade-risico zit, en een checklist die u zelf kunt doorlopen.

Wanneer valt u onder NIS2?

Er zijn twee voorwaarden. U moet beide tegelijk aanvinken.

1. Uw organisatie is actief in een sector op de lijst (bijlagen I en II van de richtlijn).
2. U bent een 'middelgrote' of 'grote' onderneming. In de praktijk: vanaf 50 werknemers OF meer dan 10 miljoen euro omzet (of balanstotaal).

Sectoren die mensen vaak vergeten:

• Drinkwaterbedrijven en afvalwaterbedrijven, ook kleine intercommunales
• Postdiensten, inclusief koeriers boven een bepaalde drempel
• Productie van chemicaliën, levensmiddelen, medische hulpmiddelen
• ICT-dienstverleners zoals managed service providers en datacenters
• Onderzoeksinstellingen, universiteiten en bepaalde non-profits

Als u onder NIS2 valt, moest u zich tegen 18 maart 2025 registreren bij het CCB via Safeonweb@Work. Essentiële entiteiten hebben tot 18 april 2026 om aan de volledige basismaatregelen te voldoen, belangrijke entiteiten krijgen daarvoor in de praktijk langer.

Wat als u net onder de drempel zit?

Hier wordt het lastig. Een veelvoorkomend scenario: een KMO denkt op basis van omvang buiten scope te vallen, maar zit in de toeleveringsketen van een NIS2-plichtige klant. Die klant moet volgens de wet zelf zijn cybersecurity-risico's beheersen, en geeft dat eisen-pakket door via leveranciersbeoordelingen. In zo'n review kan dan letterlijk staan: "leverancier moet aantonen dat hij gelijkwaardige cybersecurity maatregelen heeft genomen."

Dat is geen wettelijke verplichting voor u. Het is een commerciële. En die wegen vaak zwaarder.

Vijf vragen die uw scope bepalen

1. Sector en grootte: beide criteria vervuld? Vijf minuten werk om dat na te kijken.
2. Klantenportefeuille: zit er minstens één NIS2-plichtige klant in? Cascade-risico.
3. Lopende contracten: staat er ergens een security-clausule in die u vandaag niet kunt invullen?
4. Verzekering: heeft uw cyberpolis al evidence-vereisten in de vragenlijst?
5. Bestuur: weet de zaakvoerder zelf wat een 'meldingsplichtig incident' is?

Wie op vraag twee tot vijf met "ik weet het niet" antwoordt, heeft een risicoblootstelling die de wettelijke verplichting overstijgt. Dan begint het echte werk.

Concrete eerste stappen

Als u nog niets gedaan heeft:

1. Doe een sector-check via safeonweb.be. Duurt tien minuten.
2. Inventariseer uw kritieke systemen. Eén tabblad in Excel: applicatie, eigenaar, hoeveel uur uw business zonder kan. Geen tooling nodig.
3. Praat met uw verzekeraar. Vraag expliciet welke evidence-vereisten in de polis voorlopig nog stilzwijgend zijn, en wat er bij hernieuwing verandert.
4. Plan een gesprek met een dienstverlener. Niet voor een offerte, wel voor een second opinion. Eén uur kost u niets en u hebt uw blinde vlek scherp.