Skip to content
Beveiliging calendar_today Bijgewerkt: 7 april 2026 schedule 4 min leestijd

GDPRWise en NIS2 - Cybersecuritywetgeving voor Bedrijven

De NIS2-richtlijn stelt nieuwe cybersecurityeisen aan bedrijven in de EU. GDPRWise Enterprise heeft een volledige NIS2-actielijst en sjablonen ingebouwd die bovenop je GDPR-werk bouwen.

summarize Kernpunten
  • check_circle NIS2 is een Europese richtlijn die bedrijven verplicht om hun cybersecurity te verbeteren
  • check_circle De richtlijn raakt meer bedrijven dan NIS1: ook middelgrote bedrijven in de toeleveringsketen kunnen eronder vallen
  • check_circle Er is significante overlap tussen GDPR en NIS2 op het gebied van beveiligingsmaatregelen en incidentmelding
  • check_circle GDPRWise Enterprise heeft een volledige NIS2-actielijst en sjablonen ingebouwd - je GDPR-werk telt automatisch mee
  • check_circle De actielijst volgt het Belgische CyberFundamentals-raamwerk (niveau Basic), een goede basis voor elke KMO die cyber en privacy serieus neemt

Een nieuwe cybersecuritywet naast de GDPR

De NIS2-richtlijn (Network and Information Security Directive 2) is een Europese wet die bedrijven verplicht om hun cybersecurity op orde te brengen. Waar de GDPR zich richt op persoonsgegevens, kijkt NIS2 breder naar de beveiliging van je netwerken, systemen en diensten.

De richtlijn is sinds oktober 2024 van kracht en wordt door EU-lidstaten omgezet in nationale wetgeving. Voor bedrijven die al onder de GDPR werken, is het goed nieuws dat er veel overlap is.

Wie valt onder NIS2?

Volgens de Belgische NIS2-wet val je direct onder NIS2 als je aan drie criteria tegelijk voldoet:

  1. Je levert een dienst uit Bijlage I of Bijlage II van de NIS2-wet (zie sectoren hieronder)
  2. Je bent minstens een middelgrote onderneming: 50+ voltijdse werknemers, of jaaromzet en balanstotaal boven 10 miljoen euro
  3. Je hebt een vestiging in Belgie

Sectoren

Bijlage I - zeer kritieke sectoren: energie, transport, banken, financiele marktinfrastructuur, gezondheid, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer, overheidsdiensten, ruimtevaart.

Bijlage II - andere kritieke sectoren: post- en koeriersdiensten, afvalbeheer, chemische productie, voedselproductie en -distributie, maakindustrie, digitale dienstverleners, onderzoek.

Binnen deze sectoren verdeelt de wet entiteiten in essentieel (regelmatig toezicht) en belangrijk (toezicht na incident of klacht). De cybersecurity-eisen zijn voor beide groepen gelijk.

Ongeacht je omvang

Sommige aanbieders vallen automatisch onder NIS2, ook onder de 50-werknemersdrempel: gekwalificeerde vertrouwensdienstverleners, DNS-dienstverleners, aanbieders van openbare elektronische communicatienetwerken, en organisaties die formeel als kritieke entiteit zijn aangewezen.

De toeleveringsketen - waarom ook kleinere KMO’s moeten opletten

Val je niet zelf onder NIS2, maar ben je leverancier van een bedrijf dat er wel onder valt? Dan kan je klant contractueel eisen dat je passende cybersecurity-maatregelen neemt. Het CCB raadt concreet aan dat niet-NIS2-leveranciers minstens het Basic-niveau van het CyberFundamentals-raamwerk halen - exact waar GDPRWise je mee helpt.

Zelf nagaan of je onder NIS2 valt

Het CCB stelt een NIS2 Scope Assessment Tool en Quickstart-gids ter beschikking. De registratietermijn was 18 maart 2025 (18 december 2024 voor digitale dienstverleners). Een conformiteitsbeoordeling via het CyberFundamentals-raamwerk is vereist tegen 18 april 2026.

Wat eist NIS2?

De kernverplichtingen:

  • Risicobeoordeling - identificeer en beoordeel de risico’s voor je netwerk- en informatiesystemen
  • Beveiligingsmaatregelen - neem passende maatregelen op basis van die risicobeoordeling
  • Incidentmelding - meld significante incidenten binnen 24 uur (early warning) en lever binnen 72 uur een volledig rapport
  • Bedrijfscontinuiteit - zorg voor back-ups, herstelplannen en crisismanagement
  • Toeleveringsketenbeveiliging - beoordeel de beveiligingsrisico’s van je leveranciers
  • Bestuurlijke verantwoordelijkheid - het management is persoonlijk verantwoordelijk voor cybersecurity

De overlap met GDPR

Als je je GDPR-compliance op orde hebt, heb je al een stevige basis:

VereisteGDPRNIS2
RisicobeoordelingJa (DPIA)Ja
BeveiligingsmaatregelenJa (art. 32)Ja
Incidentmelding72 uur (datalek)24 uur (early warning)
DocumentatieVerwerkingsregisterBeveiligingsbeleid
LeveranciersbeheerVerwerkersovereenkomstenToeleveringsketen review

Hoe helpt GDPRWise?

GDPRWise Enterprise heeft een volledige NIS2-actielijst en sjablonen ingebouwd. Je begint niet vanaf nul: elke GDPR-actie die je al deed telt automatisch mee voor NIS2.

Gebaseerd op het Belgische CyberFundamentals-raamwerk

Onze NIS2-actielijst volgt het CyberFundamentals-raamwerk van het Centrum voor Cybersecurity Belgie (CCB). Dat raamwerk kent vier niveaus - Small, Basic, Important en Essential - en onze actielijst sluit aan op het Basic-niveau.

Het Basic-niveau is bedoeld voor elke organisatie die zich wil wapenen tegen de meest voorkomende cyberrisico’s met algemeen beschikbare technologie. In de praktijk past dat bij de meeste KMO’s. Je hoeft niet formeel onder NIS2 te vallen om er baat bij te hebben: elke KMO die cyber en privacy serieus neemt zou minstens dit basisniveau moeten hanteren.

Het raamwerk is internationaal gefundeerd en sluit aan op NIST CSF, ISO 27001/27002, IEC 62443 en CIS Critical Security Controls.

Je GDPR-werk hergebruikt

Je hoeft niet twee keer hetzelfde werk te doen. GDPRWise toont precies welke controles al dubbel tellen:

  • Je derdendossier documenteert je leveranciers en hun beveiligingsmaatregelen - direct bruikbaar voor de NIS2-eis rond toeleveringsketenbeveiliging
  • Je beveiligingschecklist toont welke technische en organisatorische maatregelen je hebt genomen
  • Je datalekprocedure vormt de basis voor je NIS2-incidentmeldproces
  • Je verwerkingsregister bevat de inventarisatie van systemen en gegevensstromen

NIS2-specifieke acties en sjablonen

Waar NIS2 verder gaat dan GDPR, voegen we acties en sjablonen toe:

  • Risicobeoordelingssjabloon - een gestructureerd document om je netwerk- en informatiesysteemrisico’s in kaart te brengen
  • Informatiebeveiligingsbeleid - een formeel beleid dat aan NIS2-eisen voldoet
  • Bedrijfscontinuiteitsplan - sjabloon voor back-up, herstel en crisismanagement
  • Incidentmeldprocedure - afgestemd op de NIS2-termijnen (24u early warning, 72u rapport)
  • Bestuurlijke verantwoordelijkheid - documentatie voor management approval en training
  • Periodieke controles - 2FA-reviews, toegangsbeheer, datarententie, afgestemd op NIS2

Zichtbare progressie

Je compliance-score groeit van Basis naar Gevorderd naar NIS2 - Robuust. Je ziet in een oogopslag waar je staat en wat nog moet gebeuren.

Waar zit NIS2 in GDPRWise?

NIS2-functies zitten in het Enterprise-plan, of zijn los beschikbaar als add-on op Peace of Mind. Neem contact op als je wilt weten of NIS2 op jouw organisatie van toepassing is.

auto_awesome Klaar voor NIS2?

Start met de gratis scan om je GDPR-basis op orde te krijgen. Upgrade naar Enterprise voor de volledige NIS2-actielijst en sjablonen.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.