Table of Contents
Key takeaways
- Start altijd met een juridische analyse voor NIS2.
- De kwalificatie als essentiële of belangrijke entiteit is bepalend voor je hele traject.
- Vergeet niet de consolidatieplicht bij de berekening van je omvang.
- Check of je onder minder voor de hand liggende NIS2-categorieën valt, want die worden vaak vergeten. Denk in het bijzonder aan clouddiensten of beheerde diensten.
- Bepaal of de uitvoeringsverordening van toepassing is op jouw organisatie.
- Foutieve kwalificaties leiden tot verkeerde of onnodige maatregelen, gemiste deadlines en potentieel zwaardere sancties.
De NIS2-richtlijn is helder: organisaties die als ‘essentieel’ of ‘belangrijk’ worden aangemerkt, moeten cyberbeveiliging naar een (nog) hoger niveau tillen. Maar voordat je technische maatregelen inplant of aan een actieplan begint, is er één stap die absoluut eerst moet komen: een juridische analyse over hoe de NIS2-richtlijn op jouw organisatie van toepassing is.
We hebben het al zo vaak gezien in de praktijk: de IT-dienstverlener die belooft om jouw organisatie “NIS2-compliant” te maken, maar de ervaring leert dat zij het juridische luik liever links laten liggen. Of dat de juridische analyse onvolledig of onjuist is.
Zonder die (juiste) juridische analyse riskeer je echter verkeerde aannames over je verplichtingen, deadlines en verantwoordelijkheden. Het resultaat? Vertragingen, dubbele kosten of zelfs, in het ergste geval, sancties. In deze blogpost, leggen we je graag uit waarom een juridische analyse belangrijk is, en hoe je die kan aanpakken.
Waarom een juridische analyse onmisbaar is
De NIS2-richtlijn maakt onderscheid tussen verschillende soorten entiteiten, namelijk essentiële entiteiten en belangrijke entiteiten. Of je een essentiële of belangrijke entiteit bent, is afhankelijk van de omvang én activiteiten van je organisatie. Deze analyse doe je op het niveau van elke entiteit (binnen de groep, indien van toepassing).
De uitdaging? Die kwalificatie kan complex zijn.
Zonder juridische beoordeling weet je niet:
- Wat de omvang van je organisatie is.
- Onder welke NIS2-activiteiten je organisatie valt.
- Welke wet op jouw organisatie van toepassing is. De NIS2-richtlijn moet immers omgezet worden in nationale wetgeving, en die kan verschillen van land tot land, dus je moet weten welke NIS2-wet op jouw organisatie van toepassing is. Mogelijks zijn dat zelfs meerdere wetten tegelijk, waardoor je de strengste toepasselijke NIS2-wet moet toepassen.
- Of je een verplichte conformiteitsbeoordeling moet uitvoeren en, als dat het geval is, op basis van welk referentiekader je die beoordeling gaat (laten) uitvoeren.
- Wanneer je welke actie moet nemen. Er geldt een overgangstermijn voor het implementeren van beveiligingsmaatregelen, maar wat je precies wanneer moet doen, hangt af van je kwalificatie.
- Hoe je gecontroleerd gaat worden. De kwalificatie van jouw organisatie bepaalt immers of je preventief geïnspecteerd kan worden door de toezichthoudende autoriteit, dan wel of dat enkel kan na een incident of bij andere objectieve indicatoren dat je de NIS2-wet niet naleeft.
- Welke sancties er dreigen bij niet-naleving. De maximale hoogte van de administatieve geldboete is afhankelijk van je kwalificatie. Maar het gaat niet alleen over boetes. Als je een essentiële entiteit bent, kan zelfs de CEO uit zijn/haar functie ontzet worden.
En wie verkeerd begint, riskeert middelen te verspillen.
Plan dus een juridische pre-scan vóór je begint aan technische of organisatorische acties. Gebruik hiervoor een checklist op .
Essentieel of belangrijk? De onderschatte impact van het belang van je kwalificatie
De basis (en start) van elke NIS2-aanpak ligt bij je kwalificatie: ben je een essentiële of een belangrijke entiteit?
NIS2-omvangberekening: vergeet de cijfers van je partners niet mee te tellen!
Veel organisaties maken een eerste fout bij het bepalen van hun omvang, namelijk door het niet consolideren van de cijfers als dat vereist is. Dat gaat over cijfers zoals VTE’s, jaarlijks balanstotaal en jaalijkse omzet. De Europese Commissie legt op dat je ook deze cijfers van verbonden en partnerorganisaties in bepaalde mate moet meenemen in de berekening (en dus ook partner- en dochterbedrijven horen hierbij).
Zonder consolidatie van de juiste cijfers kun je onterecht besluiten dat je een ‘belangrijke’ entiteit bent, terwijl je in werkelijkheid als ‘essentieel’ moet worden beschouwd. Dat heeft grote gevolgen voor de rest van je traject en voor de aansprakelijkheid van de bestuursorganen.
NIS2-categorieën: meer dan je denkt
Vaak denken mensen bij NIS2 meteen aan de meest kritieke sectoren zoals gezondheidszorg of energie.
In realiteit zien we dat er ook veel minder voor de hand liggende NIS2-categorieën zijn zoals, clouddienstaanbieders, managed service providers, en online platformen die een impact kunnen hebben op je kwalificatie.
Let op: één organisatie kan meerdere petten dragen. Een ziekenhuis met een IT-afdeling die ook (als deelactivitieit) digitale diensten levert aan andere zorginstellingen, kan ook als aanbieder van beheerde diensten (MSP) gekwalificeerd worden. Voor je kwalificatie speelt het geen rol of het om een hoofd- of deelactiviteit gaat. Deelactiviteiten tellen ook volledig mee.
Zonder die juridische analyse mis je het volledige plaatje. Zo bestaat het risico dat je bepaalde zaken over het hoofd ziet die wél relevant zijn.
Bekijk dus zeker alle categorieën uit de NIS2-bijlagen en beoordeel of je daar mogelijk onder valt. In de praktijk vereist zo’n beoordeling vaak een zeer goed beeld op wat je organisatie precies doet. Maar bij de meeste organisaties ontbreekt dat algemeen overzicht en is het dus nodig om dit te onderzoeken, bijvoorbeeld door te spreken met enkele sleutelpersonen binnen de organisatie.
De uitvoeringsverordening: van toepassing of niet?
Naast de NIS2-richtlijn is er ook een uitvoeringsverordening, die extra technische en organisatorische maatregelen oplegt aan specifieke categorieën van NIS2-entiteiten, en die bepaalt wanneer een incident een “significant” incident is dat je moet melden aan de toezichthoudende autoriteit.
Die uitvoeringsverordening geldt bijvoorbeeld voor:
- Clouddienstaanbieders
- Aanbieders van beheerde diensten (MSP’s) die (IT-)diensten aan andere bedrijven verlenen
- Digitale diensten met een breed bereik
Op het eerste gezicht lijkt die verordening misschien niet op jouw organisatie van toepassing, bijvoorbeeld omdat je organisatie geen clouddienst of beheerde dienst verstrekt als hoofdactiviteit. Maar zodra je clouddiensten of beheerde diensten aanbiedt aan andere organisaties, kom je er mogelijk toch onder te vallen (zoals het voorbeeld van het ziekenhuis dat IT-diensten levert aan andere instellingen). Het maakt immers niet uit voor de kwalificatie onder de NIS2-richtlijn dat de clouddienst of beheerde dienst slechts een deelactiviteit is.
Toezicht en deadlines: wat staat je te wachten?
De manier waarop je gecontroleerd wordt, hangt af van je kwalificatie.
- Essentiële entiteiten krijgen zowel vooraf als achteraf controle van de toezichthouder. Zij moeten verplicht laten nagaan of ze aan de regels voldoen. De eerste belangrijke deadline daarvoor is april 2026. In de praktijk betekent dit dat de toezichthouder controles mag doen, ook als er nog geen problemen zijn geweest.
- Belangrijke entiteiten worden pas achteraf gecontroleerd, en alleen als er iets misloopt. Bijvoorbeeld na een incident of wanneer er tekenen zijn dat de regels niet gevolgd worden.
Wie zich foutief als ‘belangrijk’ kwalificeert en registreert, maar eigenlijk ‘essentieel’ is, riskeert de wettelijke deadlines niet te halen, met mogelijk zware gevolgen en achterstand.
Handhaving en boetes: wat als je verkeerd geclassificeerd bent?
De potentiële sancties onder de NIS2-richtlijn zijn niet mals.
Voor essentiële entiteiten kan de toezichthoudende autoriteit niet alleen administratieve boetes opleggen, maar ook bestuurlijke maatregelen zoals, in het ergste geval, zelfs het (tijdelijk) verwijderen van de CEO.
Voor belangrijke entiteiten kan er bijvoorbeeld ook een soort van crisismanager aangesteld worden.
Als je organisatie foutief gekwalificeerd is, bijvoorbeeld door een onjuiste berekening van de omvang, kan je alsnog behandeld worden als ‘essentiële’ entiteit, zonder dat je aan de juiste vereisten voldaan hebt.
Maak van je juridische analyse een onderbouwd dossier. Als het CCB vragen stelt of als je te maken krijgt met een incident, kun je je classificatie verantwoorden.
Concreet aan de slag: zo voer je een juridische analyse voor NIS2 uit
Wil je juridisch klaar zijn voor NIS2? Volg dan minstens deze stappen:
Stap 1: Verzamel basisgegevens
- Statuten van je organisatie
- Structuur van moeder- en dochterbedrijven en gegevens inzake inspraak (bv. aandelen)
- Financiële cijfers (jaaromzet, balanstotaal, personeelsaantallen)
- Overzicht van aangeboden diensten en sectoren (op basis van de praktijk en dus niet enkel wat in de KBO geregistreerd is)
Stap 2: Bepaal je omvang en consolideer je cijfers indien nodig
Gebruik de EC-aanbeveling van 2003/361/EG. Tel alle verbonden organisaties mee en partnerorganisaties in de mate zoals vereist door de EC-aanbeveling.
Stap 3: Bepaal onder welke NIS2-activiteit je valt
Ga na of je onder een of meerdere sectorcategorieën uit de bijlagen van de NIS2-richtlijn valt. Wees kritisch: ook indirecte activiteiten en deelactiviteiten tellen mee.
Stap 4: Bepaal welke jurisdictie van toepassing is
Op basis van je juridische analyse kan je tot de conclusie komen dat niet de Belgische NIS2-wet van toepassing is, maar bijvoorbeeld een andere nationale NIS2-wet. Of meedere NIS2-wetten tegelijk. Bepaal dan hoe je daar mee zal omgaan.
Stap 5: Analyseer je rol in de keten & kies voor de juiste leveranciers
Lever je digitale diensten aan andere organisaties? Onderzoek dan of je kwalificeert als MSP of clouddienstverlener. Als je klant bent en je valt onder de NIS2-richtlijn, zorg er dan voor dat je je toeleveringsketen beveiligt. Dat betekent dat je ook moet kijken naar de manier waarop je leveranciers selecteert, want als je een leverancier selecteert die niet NIS2-compliant is, dan maak je de contractonderhandeling alleen maar moeilijker en langduriger. De kans bestaat dan dat je vertraging oploopt, of dat je akkoord zal gaan met een suboptimaal contract qua beveiligingsgaranties, waardoor de naleving van je eigen NIS2-verplichtingen in het gedrang kan komen.
Stap 6: Documenteer je kwalificatie
Stel een intern rapport op met je conclusie en de onderbouwde motivatie. Laat dit controleren door een juridisch expert, ook als je IT-dienstverlener beweert dat hij rekening heeft gehouden met de juridische aspecten. Vertrouwen is goed, maar controle is beter.
Conclusie
Wie NIS2 correct wil implementeren, begint niet met techniek. En ook niet met awarenesscampagnes of een leveranciersaudit. Beweert je IT-dienstverlener ook de juridische aspecten voor zijn rekening te nemen? Stel dan zelf ook kritische vragen.
De enige juiste eerste stap is een juridische analyse. Die bepaalt (op een juridisch correcte manier) de omvang van je organisatie en de activiteiten die je organisatie verricht. Dat bepaalt of je een essentiële of belangrijke entiteit bent.
Vervolgens bepaal je welke jurisdictie van toepassing is. Dat is met name van belang voor internationale organisaties. Een andere NIS2-wet dan de Belgische van toepassing? Analyseer dan de situatie in het betrokken land. Mogelijks heeft dat land de NIS2-richtlijn nog niet omgezet in nationale wetgeving. Bekijk dan hoe je daar mee zal omgaan.
Als je weet welke jurisdictie van toepassing is, ga dan na of en hoe je een vermoeden van naleving van lokale NIS2-wet kan verkrijgen. In België is dat door het behalen van een ISO27001-certificaat (dat de volledige organisatie dekt) of een CyberFundamentals-certificering. In andere landen kunnen er andere regels gelden.
Zonder deze basis is je NIS2-aanpak gebouwd op drijfzand.
