{"id":127198,"date":"2024-09-05T17:15:02","date_gmt":"2024-09-05T17:15:02","guid":{"rendered":"https:\/\/advisera.com\/articles\/belgium-cybersecurity-act-vs-nis-2\/"},"modified":"2025-07-04T11:05:02","modified_gmt":"2025-07-04T11:05:02","slug":"belgie-cyberbeveiliging-wet-vs-nis-2","status":"publish","type":"adv_resources","link":"https:\/\/advisera.com\/nl\/artikelen\/belgie-cyberbeveiliging-wet-vs-nis-2\/","title":{"rendered":"Welke bijkomende vereisten legt de Belgische NIS2-cyberveiligheidswet op in vergelijking met de NIS2-richtlijn?"},"content":{"rendered":"<p>Belgi\u00eb heeft de <a href=\"https:\/\/advisera.com\/articles\/what-is-nis2\/\" target=\"_blank\" rel=\"noopener\">NIS 2-richtlijn van de EU<\/a> omgezet in zijn lokale wetgeving door de publicatie van zijn NIS 2-wet inzake cyberbeveiliging in april 2024, en het is een van de eerste EU-landen die dit doet.<\/p>\n<p>Deze wet heeft een nogal lange naam: <em>Loi \u00e9tablissant un cadre pour la cybers\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d&#8217;information d&#8217;int\u00e9r\u00eat g\u00e9n\u00e9ral pour la s\u00e9curit\u00e9 publique <\/em>(in het Frans), en <em>Wet tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid <\/em>(in het Nederlands) &#8211; dus laten we het <em>de Belgische NIS2-wet <\/em>noemen.<\/p>\n<p>Belgi\u00eb heeft ook het koninklijk besluit gepubliceerd dat de modaliteiten voor de uitvoering van de NIS2-wet verder specificeert.<\/p>\n<p>Hoe verhouden de Belgische NIS2-wet en het koninklijk besluit zich tot de NIS2-richtlijn, en wat zijn de bijkomende vereisten?<\/p>\n<div class=\"post-featured\">\n<div class=\"post-featured--content\">\n<p>De Belgische NIS2-wet volgt de NIS 2-richtlijn op het gebied van beheer, cyberbeveiligingsmaatregelen en het melden van incidenten op de voet. De Belgische wet verduidelijkt enkele punten uit NIS 2 over overeenkomstbeoordeling en toezicht.<\/p>\n<\/div>\n<\/div>\n<p><div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><div id=\"sidebar-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2>De basisprincipes van de Belgische cyberveiligheidswet en het koninklijk besluit<\/h2>\n<p>Zoals voorgeschreven door de NIS 2-richtlijn is het hoofddoel van de Belgische NIS2-wet om de risico&#8217;s van cyberbeveiliging voor kritieke infrastructuren (essenti\u00eble en belangrijke entiteiten) te verminderen en de veerkracht van hun netwerk- en informatiesysteem te vergroten.<\/p>\n<p>De Belgische NIS2-wet vervangt de bestaande wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid en wijzigt in afdeling 7 (Algemene bepalingen) verschillende aanverwante wetten en verordeningen.<\/p>\n<p>De offici\u00eble tekst van de Belgische NIS2-wet vind je <a href=\"https:\/\/www.ejustice.just.fgov.be\/cgi\/article.pl?language=fr&amp;sum_date=2024-05-17&amp;lg_txt=f&amp;pd_search=2024-05-17&amp;s_editie=1&amp;numac_search=2024202344&amp;caller=sum&amp;2024202344=4&amp;view_numac=2024202344nx2024202344f\" target=\"_blank\" rel=\"nofollow noopener\">hier (in het Frans)<\/a> en <a href=\"https:\/\/www.ejustice.just.fgov.be\/cgi\/article.pl?language=nl&amp;sum_date=2024-05-17&amp;lg_txt=n&amp;pd_search=2024-05-17&amp;s_editie=1&amp;numac_search=2024202344&amp;caller=sum&amp;2024202344=4&amp;view_numac=2024202344fx2024202344n\" target=\"_blank\" rel=\"nofollow noopener\">in het Nederlands<\/a>.<\/p>\n<p>Het Belgische koninklijk besluit van 9 juni 2024 richt zich op implementatieaspecten, met als belangrijkste punt het referentiekader voor minimale maatregelen inzake cyberbeveiligingsrisicobeheer \u2014 u vindt de offici\u00eble tekst <a href=\"https:\/\/www.ejustice.just.fgov.be\/eli\/arrete\/2024\/06\/09\/2024005260\/justel\" target=\"_blank\" rel=\"nofollow noopener\">hier (in het Frans)<\/a> en <a href=\"https:\/\/www.ejustice.just.fgov.be\/cgi_loi\/article.pl?language=nl&amp;lg_txt=n&amp;type=&amp;sort=&amp;numac_search=&amp;cn_search=2024060905&amp;caller=eli&amp;&amp;view_numac=2024060905fr\" target=\"_blank\" rel=\"nofollow noopener\">hier (in het Nederlands)<\/a>.<\/p>\n<p>De rest van dit artikel gaat over de eisen op het gebied van cyberbeveiliging waaraan essenti\u00eble en belangrijke entiteiten moeten voldoen &#8211; dit artikel gaat niet over de rol van overheidsinstanties die de naleving van de Belgische NIS2-wet moeten afdwingen.<\/p>\n<h2>Verschillen tussen de NIS2-wet en de Europese NIS2-richtlijn<\/h2>\n<p>De belangrijkste overeenkomsten en verschillen tussen de Belgische NIS2-wet en de NIS 2-richtlijn van de EU worden in de onderstaande tabel samengevat:<\/p>\n<table class=\"table\" border=\"0\" cellspacing=\"2\" cellpadding=\"2\">\n<thead>\n<tr>\n<td style=\"width: 40%;\"><\/td>\n<td style=\"width: 60%;\"><strong>Belgische NIS2-wet vergeleken met EU NIS 2-richtlijn<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Welke bedrijven moeten voldoen<\/td>\n<td>Dezelfde criteria als in de NIS 2-richtlijn, maar alleen voor bedrijven die in Belgi\u00eb zijn geregistreerd.<br \/>\nUitzonderingen zijn aanbieders van openbare elektronische communicatienetwerken en aanbieders van openbare elektronische communicatiediensten &#8211; zij moeten voldoen aan de NIS2-wet als ze diensten leveren in Belgi\u00eb, ongeacht waar ze geregistreerd zijn.<\/td>\n<\/tr>\n<tr>\n<td>Deadlines<\/td>\n<td>De Belgische NIS2-wet wordt van kracht op 18 oktober 2024 (dezelfde datum als de NIS 2-richtlijn). Bedrijven die behoren tot de sectoren van digitale infrastructuur en digitale providers moeten zich voor 18 december 2024 registreren bij de nationale autoriteit voor cyberbeveiliging, terwijl alle andere essenti\u00eble en belangrijke organisaties dit voor 18 maart 2025 moeten doen. De overheid zal de deadline vaststellen voor de eerste overeenkomstbeoordeling voor essenti\u00eble entiteiten.<\/td>\n<\/tr>\n<tr>\n<td>Verantwoordelijkheden van het senior management<\/td>\n<td>Hetzelfde als de NIS 2-richtlijn (zie <a href=\"https:\/\/advisera.com\/nis2\/governance\/\" target=\"_blank\" rel=\"noopener\">Article 20<\/a>).<\/td>\n<\/tr>\n<tr>\n<td>Belang van opleiding<\/td>\n<td>Hetzelfde als de NIS 2-richtlijn (zie <a href=\"https:\/\/advisera.com\/nis2\/governance\/\" target=\"_blank\" rel=\"noopener\">Article 20<\/a>).<\/td>\n<\/tr>\n<tr>\n<td>Op risico gebaseerde benadering van cyberbeveiliging<\/td>\n<td>Hetzelfde als de NIS 2-richtlijn (zie <a href=\"https:\/\/advisera.com\/nis2\/cybersecurity-risk-management-measures\/\" target=\"_blank\" rel=\"noopener\">Article 21<\/a>). Het koninklijk besluit vereist echter naleving van een referentiekader.<\/td>\n<\/tr>\n<tr>\n<td>Maatregelen voor cyberbeveiliging<\/td>\n<td>Hetzelfde als de NIS 2-richtlijn (zie <a href=\"https:\/\/advisera.com\/nis2\/cybersecurity-risk-management-measures\/\" target=\"_blank\" rel=\"noopener\">Article 21<\/a>). Het koninklijk besluit vereist echter naleving van een referentiekader.<\/td>\n<\/tr>\n<tr>\n<td>Beveiliging van de toeleveringsketen<\/td>\n<td>Hetzelfde als de NIS 2-richtlijn (zie <a href=\"https:\/\/advisera.com\/nis2\/cybersecurity-risk-management-measures\/\" target=\"_blank\" rel=\"noopener\">Article 21<\/a>). Het koninklijk besluit vereist echter naleving van een referentiekader.<\/td>\n<\/tr>\n<tr>\n<td>Verplichtingen voor het melden van incidenten<\/td>\n<td>Hetzelfde als de NIS 2-richtlijn (zie <a href=\"https:\/\/advisera.com\/nis2\/reporting-obligations\/\" target=\"_blank\" rel=\"noopener\">Article 23<\/a>).<\/td>\n<\/tr>\n<tr>\n<td>Gebruik van gecertificeerde IT-producten en -diensten<\/td>\n<td>Hetzelfde als de NIS 2-richtlijn; de Belgische NIS2-wet bepaalt echter dat de nationale cyberbeveiligingsstrategie het gebruik van IT-producten en -diensten zal specificeren.<\/td>\n<\/tr>\n<tr>\n<td>Toezicht en handhaving<\/td>\n<td>Belangrijke entiteiten moeten een periodieke overeenstemmingsbeoordeling ondergaan, terwijl belangrijke entiteiten op vrijwillige basis een overeenstemmingsbeoordeling kunnen ondergaan.<\/td>\n<\/tr>\n<tr>\n<td>Boetes<\/td>\n<td>Voor essenti\u00eble entiteiten, tussen \u20ac500 en \u20ac10 miljoen of tot 2% van de jaarlijkse omzet (afhankelijk van welk criterium het hoogst is).<br \/>\nVoor belangrijke entiteiten, tussen \u20ac500 en \u20ac7 miljoen of tot 1,4% van de jaarlijkse omzet (afhankelijk van welk criterium hoger is). De boetes worden verdubbeld bij recidive.<\/td>\n<\/tr>\n<tr>\n<td>Volledig nieuwe eisen<\/td>\n<td>Bepaalde soorten digitale dienstverleners die diensten leveren binnen de EU maar buiten de EU gevestigd zijn, moeten een vertegenwoordiger aanstellen in de EU.<\/p>\n<p>Essenti\u00eble en belangrijke entiteiten moeten zich op eigen initiatief registreren bij de nationale autoriteit voor cyberbeveiliging. Verwerking van persoonlijke gegevens in overeenstemming met de AVG.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Welke bedrijven moeten voldoen aan de Belgische NIS2-wet?<\/h2>\n<p>Like the NIS 2 Directive, Belgium\u2019s NIS2 Law prescribes that mid-sized and larger companies from the 18 specified sectors are in the scope; on top of this, some smaller organizations from those 18 sectors Net als de NIS 2-richtlijn schrijft de Belgische NIS2-wet voor dat middelgrote en grote bedrijven uit de 18 gespecificeerde sectoren onder het toepassingsgebied vallen; daarnaast moeten sommige kleinere organisaties uit die 18 sectoren ook voldoen aan de Belgische NIS2-wet &#8211; lees hier de details (in het Engels): <a href=\"https:\/\/advisera.com\/articles\/who-does-nis2-apply-to\/\" target=\"_blank\" rel=\"noopener\">Which companies must comply with NIS 2? Essential vs. important entities<\/a>.<\/p>\n<p>Het belangrijkste verschil is dat deze bedrijven (die als essenti\u00eble en belangrijke entiteiten worden beschouwd) in Belgi\u00eb moeten zijn geregistreerd om onder het toepassingsgebied van de Belgische NIS2-wetgeving te vallen. De enige uitzonderingen zijn de providers van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten &#8211; dergelijke bedrijven moeten voldoen aan de Belgische NIS2-wet, ongeacht waar ze geregistreerd zijn als ze dergelijke diensten in Belgi\u00eb leveren.<\/p>\n<p>De Belgische NIS2-wet bepaalt ook dat overheidsinstanties moeten voldoen als ze afhankelijk zijn van de federale overheid of als ze afhankelijk zijn van de gefedereerde entiteiten.<\/p>\n<h2>Deadlines<\/h2>\n<p>Hoewel de Belgische NIS2-wet op dezelfde dag in werking trad als de NIS2-richtlijn (18 oktober 2024), zullen de feitelijke deadlines voor essenti\u00eble en belangrijke entiteiten om aan de richtlijn te voldoen na deze datum vallen:<\/p>\n<ul>\n<li>Bedrijven uit de sectoren van digitale infrastructuur en digitale aanbieders &#8211; DNS-dienstverleners, registers van topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten aanbieden, aanbieders van cloudcomputingdiensten, datacenterdienstverleners, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten en aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines en platforms voor sociale netwerkdiensten &#8211; moeten binnen 2 maanden na de inwerkingtreding van de wet (d.w.z. tegen 18 december 2024) verslag uitbrengen aan de nationale autoriteit voor cyberbeveiliging.<\/li>\n<li>Alle resterende essenti\u00eble en belangrijke entiteiten moeten zich registreren bij de nationale autoriteit voor cyberbeveiliging binnen 5 maanden na de inwerkingtreding van de wet (d.w.z. tegen 18 maart 2025).<\/li>\n<\/ul>\n<p>Bovendien bepaalt de wet dat de overheid de termijnen vaststelt waarbinnen essenti\u00eble entiteiten hun eerste periodieke overeenstemmingsbeoordelingen moeten uitvoeren &#8211; deze termijn is nog niet vastgesteld op het moment dat dit artikel wordt geschreven.<\/p>\n<h2>Toezicht en handhaving<\/h2>\n<p>De Belgische NIS2 -wet bepaalt dat essenti\u00eble entiteiten een periodieke beoordeling van de naleving moeten ondergaan (ook al wordt de frequentie niet gespecificeerd) en dat de volgende beoordelingen kunnen plaatsvinden:<\/p>\n<ul>\n<li>Overeenstemmingsbeoordeling aan de hand van een referentiekader dat wordt bepaald door de overheid en wordt uitgevoerd door een geaccrediteerde instantie die is goedgekeurd door de nationale autoriteit voor cyberbeveiliging, of<\/li>\n<li>Inspectie door de nationale autoriteit voor cyberbeveiliging<\/li>\n<\/ul>\n<p>Belangrijke entiteiten zijn niet verplicht om de naleving te laten beoordelen, maar kunnen dit op vrijwillige basis doen.<\/p>\n<p>Als een essenti\u00eble entiteit niet voldoet aan de Belgische NIS2-wet, kan een bevoegde autoriteit &#8220;een certificering of autorisatie met betrekking tot alle of een deel van de relevante diensten die worden geleverd of de relevante activiteiten die worden uitgevoerd door de entiteit in kwestie tijdelijk opschorten&#8221; en &#8220;een persoon die leidinggevende verantwoordelijkheden uitoefent op het niveau van directeur of wettelijk vertegenwoordiger in de entiteit in kwestie tijdelijk verbieden leidinggevende verantwoordelijkheden uit te oefenen in die entiteit&#8221;.<\/p>\n<p><strong>Boetes<\/strong><\/p>\n<p>Er zijn verschillende boetes die worden voorgeschreven door de Belgische NIS2-wet:<\/p>\n<ul>\n<li>Tussen 500 en 125.000 euro als een entiteit die binnen het toepassingsgebied valt zich niet registreert bij de nationale autoriteit voor cyberbeveiliging.<\/li>\n<li>Tussen 500 en 200.000 euro als een entiteit &#8220;ervoor zorgt dat een persoon die namens haar handelt nadelige consequenties ondervindt als gevolg van haar prestaties&#8221;.<\/li>\n<li>Tussen 500 en 7 miljoen euro, of 1,4% van de totale wereldwijde jaaromzet, voor een belangrijke entiteit die niet voldoet aan cyberbeveiliging risicobeheer en\/of de rapportage van incidenten.<\/li>\n<li>Tussen 500 en 10 miljoen euro, of 2% van de totale wereldwijde jaaromzet, voor een essenti\u00eble entiteit die niet voldoet aan cyberbeveiliging risicobeheer en\/of de rapportage van incidenten.<\/li>\n<\/ul>\n<p>De boete wordt verdubbeld als een bedrijf dezelfde overtreding binnen 3 jaar herhaalt.<\/p>\n<h2>Nieuwe eisen in de Belgische NIS2-wet<\/h2>\n<p>De Belgische NIS 2-richtlijn bevat geen grote nieuwigheden ten opzichte van de NIS 2-richtlijn, maar het volgende moet worden vermeld.<\/p>\n<p>Essenti\u00eble en belangrijke entiteiten moeten zich op eigen initiatief registreren bij de nationale autoriteit voor cyberbeveiliging &#8211; slechts in enkele zeldzame gevallen zal de nationale autoriteit voor cyberbeveiliging bepaalde organisaties aanwijzen als organisaties die aan de eisen moeten voldoen.<\/p>\n<p>Als een entiteit tot een van deze categorie\u00ebn behoort &#8211; DNS-dienstverleners, registers van topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten aanbieden, aanbieders van cloudcomputingdiensten, aanbieders van datacenterdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten en aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten &#8211; en ze diensten aanbieden in de Europese Unie, maar niet geregistreerd zijn in de Europese Unie, moeten ze een vertegenwoordiger aanwijzen in de Europese Unie.<\/p>\n<p>Tot slot specificeert de Belgische NIS2-wet expliciet hoe persoonlijke gegevens die worden verwerkt vanwege NIS2 moeten worden behandeld in de context van de AVG.<\/p>\n<h2>Vereisten uit het NIS2-koninklijk besluit<\/h2>\n<p>Het koninklijk besluit van 9 juni 2024 bepaalt dat de Nationale Cybersecurityautoriteit een referentiekader zal opstellen voor de beoordeling van de minimale maatregelen inzake cyberbeveiligingsrisicobeheer. In de praktijk zijn er twee toegestane opties: (1) het CyberFundamentals (CyFun)-kader, gepubliceerd door het Centrum voor Cybersecurity Belgi\u00eb, of (2) ISO 27001.<\/p>\n<p>Dit betekent dat essenti\u00eble en belangrijke entiteiten moeten kiezen tussen deze twee kaders om hun naleving van de Belgische NIS2-wet te defini\u00ebren. Het besluit bepaalt ook dat essenti\u00eble entiteiten zullen worden gecertificeerd door een conformiteitsbeoordelingsinstantie op basis van een van deze kaders.<\/p>\n<h2>De Belgische NIS2-wet en het koninklijk besluit vs. de NIS2-richtlijn<\/h2>\n<p>Over het algemeen volgt de Belgische NIS 2-richtlijn de NIS 2-richtlijn op de voet, met name wat betreft beheer, meting van cyberbeveiliging en melding van incidenten.<\/p>\n<p>De Belgische wet verduidelijkt een aantal punten uit de NIS 2 over conformiteitsbeoordeling en toezicht en laat essenti\u00eble entiteiten kiezen hoe ze de prestatie van de conformiteitsbeoordeling uitvoeren.<\/p>\n<p>Daarnaast bepaalt het koninklijk besluit de keuzemogelijkheden voor conformiteitskaders: het CyFun-kader, dat in Belgi\u00eb vrij populair is, of ISO 27001, de toonaangevende internationale norm voor cyberbeveiliging. In beide gevallen is het pad naar conformiteit duidelijk voor Belgische bedrijven die onder de NIS2-toepassingsscope vallen.<\/p>\n<p><em>Om alle documenten te vinden die nodig zijn om te voldoen aan de NIS 2-richtlijn, kun je deze <\/em><a href=\"https:\/\/advisera.com\/nl\/toolkits\/nis2-documentatie-toolkit\/\" target=\"_blank\" rel=\"nofollow noopener\">NIS2 Documentatie Toolkit<\/a>\u00a0<em>raadplegen, die alle beleidsregels, procedures, plannen en andere sjablonen bevat<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Belgi\u00eb heeft de NIS 2-richtlijn van de EU omgezet in zijn lokale wetgeving door de publicatie van zijn NIS 2-wet inzake cyberbeveiliging in april 2024, en het is een van de eerste EU-landen die dit doet. Deze wet heeft een nogal lange naam: Loi \u00e9tablissant un cadre pour la cybers\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":127252,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-127198","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-nl","adv_standard-nis-2-nl","adv_topic-implementation","adv_topic-revisions-related","adv_topic-legal-requirements","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/nl\/wp-json\/wp\/v2\/adv_resources\/127198","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/nl\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/advisera.com\/nl\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/nl\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/nl\/wp-json\/wp\/v2\/comments?post=127198"}],"version-history":[{"count":3,"href":"https:\/\/advisera.com\/nl\/wp-json\/wp\/v2\/adv_resources\/127198\/revisions"}],"predecessor-version":[{"id":130008,"href":"https:\/\/advisera.com\/nl\/wp-json\/wp\/v2\/adv_resources\/127198\/revisions\/130008"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/nl\/wp-json\/wp\/v2\/media\/127252"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/nl\/wp-json\/wp\/v2\/media?parent=127198"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/nl\/wp-json\/wp\/v2\/tags?post=127198"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}