Hoe weet ik of mijn onderneming onder NIS2-verplichting valt en hoe begin ik eraan?

De NIS2 (Network and Information Security 2) is een Europese regelgeving die sinds oktober 2024 is omgezet in nationale wetgeving. De wet is bedoeld om de cyberweerbaarheid van essentiële sectoren te versterken, door minimumverplichtingen op te leggen rond risicobeheer, incidentmelding en beveiliging aan organisaties die digitale of kritieke diensten aanbieden.

Als ondernemer is het dus belangrijk om te begrijpen hoe deze richtlijn op jouw organisatie van toepassing is en welke stappen je moet ondernemen om eraan te voldoen. De NIS2 Snelstartgids van het Centrum voor Cybersecurity België (CCB) kan je daarbij helpen. Het is een eenvoudige en laagdrempelige tool met een duidelijk stappenplan, bestaande uit 7 stappen:

1. Bepaal of NIS2 op jouw organisatie van toepassing is. Op de website vind je de NIS2 Scope Test Tool om te bepalen of jouw organisatie binnen het toepassingsgebied van de Belgische NIS2-wet valt.
    
2. Registreer je organisatie tijdig. Alle NIS2-entiteiten moeten zich registreren op Safeonweb@ Work. Digitale sectoren hadden tijd tot 18 december 2024, alle andere tot 18 maart 2025.
    
3. Meld significante incidenten. Vanaf 18 oktober 2024 moeten entiteiten incidenten met ernstige impact op hun dienstverlening melden via notif.safeonweb.be.
    
4. Voer een strategische risicobeoordeling uit. Gebruik de CyFun® Selection Tool om je risicoprofiel en het bijpassend zekerheidsniveau (basis, belangrijk of essentieel) te bepalen.
    
5. Plan cyberbeveiligingstrainingen. Bestuurders en management moeten opleiding volgen over cyberveiligheid, en ook medewerkers moeten voldoende bewust zijn van cyberrisico’s en hoe daarmee om te gaan.
    
6. Implementeer beveiligingsmaatregelen. Volg het CyFun®-framework in 3 stappen: voer een gap-analyse uit, implementeer passende maatregelen en documenteer bewijzen.
    
7. Laat je cyberbeveiliging controleren. Essentiële entiteiten moeten zich laten certificeren door een erkende derde partij. Voor belangrijke entiteiten is dat optioneel, maar aanbevolen voor het aantonen van naleving.

Door deze stappen te volgen kun je als kmo gestructureerd aan de NIS2-verplichtingen voldoen en je organisatie beschermen tegen toenemende cyberdreigingen.