011 23 30 64
info@exacto-advocaten.be
011 23 30 64
Valt uw onderneming onder NIS2? De scope uitgelegd voor Belgische KMO’s
Terug naar overzicht
Nieuws
20 maart 2026

Valt uw onderneming onder NIS2? De scope uitgelegd voor Belgische KMO’s

Geschreven door: Wim Wijsmans

Valt uw onderneming onder de NIS2-wet? Veel ondernemers stellen deze vraag, maar het antwoord is niet altijd eenvoudig. NIS2 is van toepassing als uw onderneming actief is in een van de 18 aangewezen sectoren en de drempelwaarden voor omvang overschrijdt. In dit artikel leggen we stap voor stap uit hoe u bepaalt of u NIS2-plichtig bent, wat het verschil is tussen essentiële en belangrijke entiteiten, en wat de gevolgen zijn van uw kwalificatie.

Op wie is de NIS2-wet van toepassing?

De NIS2-wet hanteert twee cumulatieve criteria. Uw onderneming moet actief zijn in een van de 18 sectoren die de wet opsomt, en u moet de drempelwaarden voor middelgrote of grote ondernemingen overschrijden. Die drempelwaarden zijn: minstens 50 werknemers of een jaaromzet en/of balanstotaal van minstens 10 miljoen euro. Voldoet u aan beide criteria, dan bent u NIS2-plichtig. Micro-ondernemingen en kleine ondernemingen vallen in principe buiten de scope, tenzij zij een specifieke kritieke dienst leveren.

Welke sectoren vallen onder NIS2?

De wet onderscheidt twee bijlagen met sectoren. Bijlage I omvat de hooggekwalificeerde sectoren: energie, transport, bankwezen, financiële marktinfrastructuren, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur (waaronder cloudproviders, datacentra en DNS-dienstverleners), beheer van ICT-diensten, overheidsdiensten en ruimtevaart. Bijlage II omvat de andere kritieke sectoren: post- en koeriersdiensten, afvalstoffenbeheer, chemische sector, levensmiddelen, maakindustrie (medische apparatuur, machines, voertuigen en elektrische apparatuur), digitale aanbieders (onlinemarktplaatsen, zoekmachines en sociale netwerken) en onderzoek.

Voor IT-bedrijven is bijlage II bijzonder relevant. Aanbieders van cloudservices, managed services en onlinediensten die de drempelwaarden overschrijden, vallen automatisch in scope. Bovendien heeft de Europese Commissie een specifieke uitvoeringsverordening (2024/2690) uitgevaardigd met technische vereisten voor digitale dienstverleners zoals cloudproviders, datacentra en managed security service providers.

Wat is het verschil tussen een essentiële en een belangrijke entiteit?

De NIS2-wet maakt een onderscheid dat bepalend is voor het toezichtsregime en de sancties. Essentiële entiteiten zijn actief in de sectoren van bijlage I en overschrijden de drempelwaarden voor grote ondernemingen: 250 werknemers of meer, of een jaaromzet van meer dan 50 miljoen euro. Zij zijn onderworpen aan proactief toezicht: het CCB kan op eigen initiatief inspecties uitvoeren, los van een incident of klacht. De maximale boetes bedragen 10 miljoen euro of 2% van de wereldwijde jaaromzet.

Belangrijke entiteiten zijn actief in de sectoren van bijlage I of II en voldoen aan de middelgrote drempelwaarden: 50 werknemers of meer, of meer dan 10 miljoen euro omzet. Zij zijn onderworpen aan reactief toezicht: inspecties vinden enkel plaats na een incident, een klacht of een aanwijzing van niet-naleving. De maximale boetes bedragen 7 miljoen euro of 1,4% van de omzet. In de praktijk zullen de meeste middelgrote IT-bedrijven en cloudproviders als belangrijke entiteit worden gekwalificeerd.

Zijn er uitzonderingen op de drempelwaarden?

Ja. De wet voorziet in een aantal gevallen waarbij de omvangsdrempelwaarden niet gelden. DNS-dienstverleners, TLD-naamregisters, cloudproviders, datacentra, content delivery networks, managed service providers en aanbieders van onlinemarktplaatsen, zoekmachines en sociale netwerken vallen onder NIS2 ongeacht hun omvang. Ook entiteiten die formeel zijn aangewezen als kritieke entiteiten in de zin van de wet van 19 december 2025 betreffende de weerbaarheid van kritieke entiteiten, vallen automatisch onder de NIS2-wet als essentiële entiteiten.

Hoe maakt u de inschatting voor uw eigen onderneming?

U doorloopt drie vragen. Eerste vraag: is mijn onderneming actief in een van de 18 NIS2-sectoren? Tweede vraag: heb ik 50 of meer werknemers, of bedraagt mijn jaaromzet meer dan 10 miljoen euro? Derde vraag: val ik onder een van de uitzonderingscategorieën die de drempelwaarden niet gelden, zoals een cloudprovider of managed service provider? Het CCB biedt op het Safeonweb@Work-portaal een zelftestinstrument aan. Bij twijfel is juridisch advies aangewezen: een foutieve kwalificatie kan leiden tot handhaving, of omgekeerd tot onnodige compliance-inspanning.

FAQ

Valt een softwarebedrijf automatisch onder NIS2?

Niet automatisch. Een softwarebedrijf valt onder NIS2 als het actief is in een van de 18 NIS2-sectoren en de drempelwaarden overschrijdt. Een cloudprovider of managed service provider valt automatisch in scope ongeacht zijn omvang. Een softwarebedrijf dat enkel B2B-maatwerksoftware ontwikkelt zonder kritieke infrastructuurdiensten te leveren, valt mogelijk niet onder NIS2.

Gelden er andere regels voor cloudproviders en managed service providers?

Ja. Cloud computing service providers, datacentra, content delivery networks, managed service providers en managed security service providers vallen onder bijlage I als digitale infrastructuur. Bovendien zijn zij onderworpen aan een specifieke uitvoeringsverordening (EU) 2024/2690 met technische cybersecurityvereisten. Voor deze categorieën gelden de omvangsdrempelwaarden niet: ook kleine aanbieders kunnen NIS2-plichtig zijn.

Geldt NIS2 ook voor buitenlandse ondernemingen die actief zijn in Belgie?

Ja. De NIS2-wet is van toepassing op entiteiten die diensten leveren in Belgie, ongeacht waar ze gevestigd zijn. Een buitenlandse cloudprovider die Belgische klanten bedient, kan NIS2-plichtig zijn en moet zich registreren bij het CCB.

Wat als mijn onderneming in meerdere EU-lidstaten actief is?

De NIS2-wet hanteert het beginsel van de lidstaat waar de entiteit haar hoofdvestiging heeft als bevoegde lidstaat. Als uw onderneming haar beslissingen over cybersecurityrisicobeheer neemt vanuit Belgie, is Belgie uw bevoegde lidstaat. Bent u in meerdere lidstaten gevestigd, dan kan er overlapping zijn met de NIS2-implementaties in andere landen.

Hoe weet ik zeker of ik moet registreren?

U kunt een eerste inschatting maken via de zelftesttools op Safeonweb@Work. Bij twijfel is juridisch advies aangewezen. Een advocaat gespecialiseerd in technologierecht kan de kwalificatievraag snel analyseren op basis van uw bedrijfsprofiel.

CONCLUSIE

De kwalificatievraag is de eerste en meest fundamentele stap. Als uw onderneming actief is in een NIS2-sector en de drempelwaarden overschrijdt, of als u tot de categorieën behoort waarvoor geen drempel geldt, bent u NIS2-plichtig. Twijfelt u of uw onderneming in scope valt? Neem dan contact op met ons team voor een snelle analyse.

Door Wim Wijsmans, advocaat Technologie & Recht en GDPR. Wim begeleidt ondernemingen in innovatieve sectoren bij de implementatie van digitale regelgeving en adviseert bij IT-contracten, privacy en cybersecurity.