NIS2 voor kleine ondernemingen: geldt het voor mij?

NIS2 geldt voor middelgrote en grote bedrijven in kritieke sectoren. Maar ook als KMO kunt u er mee te maken krijgen — en de maatregelen zijn sowieso goede praktijk.

NIS2 duikt overal op: in de pers, op seminaries, in e-mails van uw accountant of beroepsfederatie. Maar geldt het nu voor ú? En als het niet geldt — moet u dan niets doen?

Korte versie: de meeste kleine Belgische ondernemingen vallen er niet rechtstreeks onder. Maar negeren is ook niet het juiste antwoord. Hieronder leg ik uit waarom.

Wat is NIS2?

NIS2 (Network and Information Security Directive 2) is een Europese richtlijn die de cyberveiligheid van kritieke sectoren moet verhogen. Ze bouwt voort op de oorspronkelijke NIS-richtlijn uit 2016, maar is een stuk breder en strenger.

In België werd NIS2 omgezet via de Wet van 26 april 2024. Het Centrum voor Cybersecurity België (CCB) is de bevoegde autoriteit. Organisaties die onder de richtlijn vallen, worden verplicht beveiligingsmaatregelen te nemen, incidenten te melden en hun bestuur expliciet verantwoordelijk te stellen voor de opvolging.

Voor wie geldt het?

NIS2 richt zich op organisaties in 18 sectoren, opgedeeld in essentiële en belangrijke entiteiten:

  • Essentiële sectoren (11): energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening, overheidsdiensten, ruimtevaart.
  • Belangrijke sectoren (7): post en koeriers, afvalbeheer, chemie, levensmiddelen, productie, digitale aanbieders, onderzoek.

De groottegrens is duidelijk: middelgroot of groot. Dat wil zeggen 50 of meer werknemers, of een jaaromzet van minstens €10 miljoen. Micro- en kleine ondernemingen — minder dan 50 werknemers én minder dan €10 miljoen omzet — zijn in de meeste gevallen uitdrukkelijk uitgesloten.

Uitzondering: bepaalde kleine spelers in kritieke infrastructuur kunnen alsnog als essentiële entiteit worden aangewezen, ongeacht hun grootte. Denk aan een kleine maar kritieke energiedistributeur of drinkwaterinstallatie.

Uw situatie: valt u eronder?

Voor de meeste van mijn klanten — advocatenkantoren, apotheken, huisartsenpraktijken, kleine accountants, kmo’s in West-Vlaanderen — is het antwoord nee. Te weinig medewerkers, te weinig omzet, of niet in een van de aangewezen sectoren.

Een huisartsenpraktijk valt buiten de klassieke NIS2-scope. Een groot ziekenhuisnetwerk is een essentiële entiteit. Het verschil is groot.

Wilt u het zeker weten? Het CCB biedt een zelfevaluatie aan via hun platform — een gestructureerde doorlichting van uw situatie en sector. Ik heb die zelfevaluatie zelf doorlopen en ken de structuur ervan. Als u twijfelt over uw situatie, help ik u er graag mee.

Maar: de leveranciersverplichting

Hier wordt het relevant, ook voor u als kleine speler.

NIS2 verplicht organisaties die eronder vallen om ook hun leveranciers te toetsen op cyberveiligheid. Leveranciersbeveiliging (supply chain security) is een expliciete eis in de richtlijn. Dat betekent: als een ziekenhuis, energiebedrijf of overheidsinstelling uw diensten afneemt — als softwareleverancier, onderhoudspartner of IT-dienstverlener — kunnen zij u vragen om bepaalde beveiligingsgaranties.

Dat hoeft niet meteen om een formeel certificaat te gaan. Het begint met vragen zoals: heeft u MFA? Hoe doet u back-ups? Wat is uw procedure als er iets misloopt? Als u die vragen niet kunt beantwoorden, bent u een risico voor uw klant — en voor uw contract.

Wat NIS2 in de praktijk vraagt

De maatregelen die NIS2 oplegt zijn niet exotisch. Het zijn degelijke basispraktijken die elke serieuze organisatie zou moeten hebben:

  • Risicoanalyse: weten wat uw risico’s zijn en welke systemen cruciaal zijn voor uw werking.
  • Beveiligingsbeleid: gedocumenteerde regels over wie toegang heeft tot wat, en hoe dat gecontroleerd wordt.
  • Incidentrespons: een procedure als er iets misgaat. Wie doet wat, wie wordt verwittigd, binnen welke termijn?
  • Back-up en herstel: versleutelde back-ups, regelmatig getest. Niet alleen hebben, maar ook kunnen bewijzen dat ze werken.
  • Toegangsbeheer en MFA: meervoudige verificatie, en het principe van minimale rechten — iedereen heeft enkel toegang tot wat hij nodig heeft.
  • Patchbeheer: beveiligingsupdates tijdig installeren, niet maanden uitstellen.
  • Encryptie: gevoelige gegevens versleuteld opslaan en versturen.

Herkent u dit? Dit zijn exact de maatregelen die ik standaard toepas voor klanten in het KMO-Pakket.

Wat Packetflow standaard doet

Servers die ik beheer zijn standaard CIS-gehardend — geconfigureerd volgens de benchmarks van het Center for Internet Security, een van de meest erkende internationale frameworks voor veilige serverconfiguratie. Dat is geen optionele extra, het is de baseline.

Verder zit in elk KMO-Pakket:

  • MFA voor Microsoft 365, standaard ingesteld en afgedwongen
  • Versleutelde back-ups, automatisch en getest
  • Patchbeheer: updates worden bijgehouden, niet uitgesteld
  • Toegangsbeheer: wie heeft toegang tot wat, en dat is gedocumenteerd

Dat betekent dat klanten die met mij werken al een solide basis hebben — ook als NIS2 formeel niet op hen van toepassing is. Ze voldoen aan de geest van de richtlijn, en ze kunnen dat aantonen als een klant of verzekeraar ernaar vraagt.

Ik volg de volledige NIS2-structuur bewust als leidraad, ook voor wie er formeel niet onder valt. De reden is praktisch: groeit uw organisatie en wordt u ooit aangewezen als belangrijke of essentiële entiteit, dan staat de basis al. U begint niet van nul — u bent al op weg.

De CyberFundamentals van het CCB

Het CCB heeft een eigen framework ontwikkeld voor ondernemingen die buiten de NIS2-scope vallen: CyberFundamentals. Het is geen wettelijke verplichting, maar een helder stappenplan in vier niveaus — Basic, Important, Essential, Critical — dat aansluit bij internationale normen zoals ISO 27001 en de CIS Controls.

Voor een kleine onderneming is het Basic-niveau een realistisch startpunt. Het dekt de meest voorkomende aanvalsvectoren: phishing, ransomware, dataverlies, account-overname. De maatregelen die ik standaard installeer, voldoen al aan dat niveau.

Conclusie: geldt NIS2 voor u?

Waarschijnlijk niet rechtstreeks. Maar dat betekent niet dat u er niets mee te maken heeft:

  1. Leveranciersketen: levert u aan een NIS2-plichtige klant, dan kunnen zij de lat bij u leggen.
  2. Goede praktijk: de maatregelen die NIS2 vraagt zijn sowieso de norm, niet de uitzondering.
  3. CCB-verwachting: ook buiten de wettelijke verplichting verwacht het CCB dat Belgische bedrijven een minimale beveiligingsbaseline respecteren.

Goed IT-beheer is in 2026 geen luxe meer. Het is de basisverwachting van klanten, verzekeraars en overheden — NIS2 of niet.

Wil u weten hoe uw setup er vandaag voorstaat? Vul hieronder kort in hoe uw zaak eruitziet, dan geef ik u eerlijk feedback.

Terug naar alle artikels

FAQ

Veelgestelde vragen

  • Geldt NIS2 voor mijn kleine onderneming?

    Waarschijnlijk niet rechtstreeks. NIS2 richt zich op middelgrote en grote organisaties (minstens 50 werknemers of €10 miljoen omzet) in 18 kritieke sectoren. Micro- en kleine ondernemingen vallen er in de meeste gevallen buiten. Uitzondering: als u als kleine speler actief bent in kritieke infrastructuur (energie, gezondheidszorg, ...) kan het alsnog van toepassing zijn.

  • Wat als mijn klanten wel onder NIS2 vallen?

    Dan kunnen zij de NIS2-verplichtingen doorschuiven naar u als leverancier. Leveranciersbeveiliging (supply chain security) is een expliciete NIS2-verplichting — grotere klanten zullen u kunnen vragen te voldoen aan bepaalde minimale beveiligingsnormen.

  • Wat zijn de belangrijkste NIS2-maatregelen?

    Risicoanalyse en beveiligingsbeleid, incidentrespons, back-up en herstel, toegangsbeheer en MFA, encryptie, patchbeheer en een procedure voor beveiligingsincidenten. Dit zijn ook zonder NIS2 goede basismaatregelen voor elke onderneming.

  • Wat doet Packetflow rond NIS2?

    Servers die ik beheer zijn standaard CIS-gehardend. MFA, versleutelde back-ups, patchbeheer en toegangsbeheer zijn onderdeel van elk KMO-Pakket. Clients voldoen daarmee al aan de kern van wat NIS2 van gelijkaardige maatregelen vraagt, ook al vallen ze er formeel niet onder.

Benieuwd wat IT-beheer ú zou kosten?

Vertel kort over uw zaak en uw huidige setup. Ik bezorg u een heldere richtprijs — vrijblijvend, binnen één werkdag.

Geen verkooppraat. Uw gegevens blijven bij mij — zie privacy.