Sinds 18 oktober 2024 is de Europese NIS2-richtlijn officieel van toepassing in alle lidstaten. Daarmee zijn de nieuwe regels rond cyberbeveiliging niet langer toekomstmuziek, maar realiteit. Overheden, lokale besturen en publieke organisaties vallen onder deze richtlijn en worden wettelijk verplicht om werk te maken van hun cyberbeveiliging.
Wat is NIS2?
NIS2 staat voor Network and Information Security en is de opvolger van de eerste NIS-richtlijn uit 2016. Waar NIS1 zich vooral richtte op een beperkte groep essentiële diensten, breidt NIS2 dit sterk uit en bevat strengere verplichtingen.
NIS2-richtlijn (Richtlijn 2022/2555) verplicht honderden (semi-)publieke organisaties om werk te maken van een cyberveiligheidsbeleid. Denk aan maatregelen zoals veilige wachtwoorden, back-ups, het tijdig melden van incidenten en meer betrokkenheid van het bestuur bij IT-beslissingen.
Het doel? Europa en dus ook België weerbaarder maken tegen cyberaanvallen.
Waarom is NIS2 belangrijk voor jouw organisatie?
De publieke sector wordt volgens NIS2 als "kritieke infrastructuur" beschouwd. Dat betekent dat niet alleen federale overheidsdiensten, maar ook steden, gemeenten, OCMW’s en andere lokale besturen onder de richtlijn vallen. Ook zorginstellingen, zoals ziekenhuizen, medische labo’s of farmaceutische producenten, worden uitdrukkelijk genoemd.
Val je onder NIS2?
Je organisatie valt onder de NIS2-richtlijn als ze voldoet aan één of meerdere van deze criteria:
- Sector: Je bent actief in een sector die als essentieel of belangrijk wordt beschouwd (zoals overheid, gezondheidszorg, water, energie, transport, afvalverwerkers, enz).
- Grootte:
- Middelgrote organisaties (≥ 50 werknemers of ≥ 10 miljoen euro omzet) vallen onder de categorie "belangrijke entiteit".
- Grote organisaties (≥ 250 werknemers of ≥ 50 miljoen euro omzet) worden beschouwd als "essentiële entiteit".
- Specifiek type organisatie: Bepaalde entiteiten vallen onder de richtlijn ongeacht hun grootte, bijvoorbeeld centrale overheidsdiensten, telecomaanbieders of DNS-providers.
De Belgische omzetting van de richtlijn is nog in voorbereiding, en kan strengere vereisten bevatten dan de Europese minimumnormen. Publicatie van de definitieve wet wordt in de loop van 2025 verwacht.
Wat wordt er concreet van je verwacht?
Organisaties die onder NIS2 vallen, moeten onder meer:
- Beleid rond risicobeheer opstellen: Denk aan toegangsbeheer, back-ups, versleuteling, software-updates, en andere maatregelen die cyberincidenten helpen voorkomen of beperken.
- Cyberincidenten verplicht melden aan bevoegde instanties, zoals het Belgische CSIRT.
- Governance voorzien: Cyberveiligheid moet gedragen worden op bestuursniveau. Het wordt een strategisch thema dat op de agenda van het management hoort.
- Samenwerken bij grensoverschrijdende incidenten of bedreigingen.
Er worden ook sancties voorzien bij niet-naleving, zoals administratieve boetes, schadeclaims en reputatieschade.
Sancties bij niet-naleving van NIS2
De NIS2-richtlijn voorziet in strenge sancties voor organisaties die hun beveiligingsverplichtingen niet nakomen.
Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet (de hoogste van beide). Voor belangrijke entiteiten is dit maximum 7 miljoen euro of 1,4% van de omzet.
Ook voor publieke instellingen zijn de gevolgen reëel: reputatieschade, audits, of toezichtmaatregelen van nationale autoriteiten zoals het Centrum voor Cybersecurity België (CCB).
Van verplichting naar opportuniteit
Hoewel NIS2 strengere regels oplegt, biedt het ook kansen: het is het moment om werk te maken van een duurzame en veilige digitale infrastructuur. Cyberveiligheid wordt zo een vast onderdeel van goede dienstverlening.
Wie vandaag al investeert in digitale weerbaarheid, vermijdt niet alleen risico’s, maar verhoogt ook het vertrouwen bij burgers, partners en overheden.
Hoe Paddle.be veiligheid aanpakt
Bij Paddle.be bouwen we websites en platformen specifiek voor overheden, ziekenhuizen en de publieke sectoren. Veiligheid is geen aparte module, maar een integraal onderdeel van ons platform. Naast algemene maatregelen zoals veilige hosting, toegangscontrole en logging, voorzien wij ook technische beveiligingen zoals CSP en DMARC.
We voorzien onder andere:
- Maandelijkse centrale updates
Ons Paddle CMS platform wordt automatisch en centraal geüpdatet. Zo ben je altijd beschermd tegen bekende kwetsbaarheden zonder dat jij of je IT-dienst moet ingrijpen. - Veilige infrastructuur in België
Onze servers staan in beveiligde Belgische datacenters. Dat betekent: betere performantie, strengere controle én volledige GDPR-conformiteit. - Monitoring, back-ups en herstel
We houden je website 24/7 in de gaten, maken dagelijkse back-ups en kunnen snel ingrijpen bij incidenten. Zo blijf je operationeel, ook als het even tegenzit. - Ondersteuning na audits
Voer je een audit uit of kreeg je aanbevelingen van een externe partij? Wij helpen je om je digitale omgeving structureel te versterken. Met ervaring uit meer dan 500 overheidsprojecten weten we wat werkt.
Lees ook:
- Hoe Paddle.be je helpt om (nog) veiliger te worden – en klaar voor NIS2
- Wat zijn CSP en DMARC – en waarom zijn ze essentieel voor jouw website?
Tijd voor actie
Is jouw organisatie klaar voor NIS2? Heb je na een audit vragen over de veiligheid van je huidige website of CMS? Of wil je als lokaal bestuur vermijden dat je straks voor onaangename verrassingen komt te staan?
Wij denken graag mee.
Bij Paddle.be combineren we veiligheid met gebruiksvriendelijkheid, toegankelijkheid en efficiënt beheer. Zo ben je niet alleen compliant, maar ook klaar voor de digitale toekomst.
📩 Interesse in vrijblijvend advies of een demo?
Contacteer ons. Samen maken we je organisatie digitaal weerbaar.