De Belgische NIS2-wet (Wet van 26 april 2024) stelt maximale administratieve boetes vast op 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en 7 miljoen euro of 1,4% voor belangrijke entiteiten, afhankelijk van welk bedrag hoger is. Het Centre for Cybersecurity Belgium (CCB) handhaaft deze via een gestructureerde procedure die inspecties ter plaatse, ad-hocaudits en bindende instructies omvat. Nu de CyberFundamentals (CyFun)-verificatiedeadline van 18 april 2026 is verstreken, is de handhaving van theorie naar operationele realiteit gegaan.
België was een van de eerste EU-lidstaten die de NIS2-richtlijn heeft omgezet in nationale wetgeving en de CCB is overgestapt van een adviserende rol naar actief toezicht. Toch is de meeste openbare informatie over NIS2-boetes afkomstig van advocatenkantoren zoals Stibbe, Eubelius en Lydian die de wettekst interpreteren, waardoor er een kloof ontstaat tussen het regelgevingskader en wat een CISO bij een Belgische fabrikant met 200 werknemers moet weten. In deze bijdrage wordt besproken wat de boetes zijn, wie ze oplegt, hoe de handhavingsprocedure werkt en waar de CCB zich waarschijnlijk als eerste op zal richten.
Welke boetes kunnen Belgische organisaties oplopen onder NIS2?
De Belgische NIS2-wet maakt gebruik van een tweeledige structuur. Essentiële entiteiten krijgen de hoogste boetes opgelegd, terwijl voor belangrijke entiteiten lagere maar nog steeds aanzienlijke maxima gelden. In beide gevallen is de toepasselijke boete het hoogste van het vaste bedrag of het op de omzet gebaseerde percentage.
| Type entiteit | Vast maximum | Op omzet gebaseerd maximum | Toepasselijke boete |
|---|---|---|---|
| Essentiële entiteit | EUR 10.000.000 | 2% van de wereldwijde jaaromzet | De hoogste van de twee |
| Belangrijke entiteit | 7.000.000 EUR | 1,4% van de wereldwijde jaaromzet | Welke hoger is |
Bron: Wet van 26 april 2024, titel 4, hoofdstuk 2
Voor de context: een Belgisch middenbedrijf met een jaaromzet van 150 miljoen euro wordt geconfronteerd met een maximum van 3 miljoen euro onder de 2%-regel voor essentiële entiteiten, of 2,1 miljoen euro onder de 1,4%-regel voor belangrijke entiteiten. Beide bedragen zijn hoger dan het jaarlijkse IT-beveiligingsbudget van de meeste organisaties in die groottecategorie.
Dit zijn administratieve boetes, geen strafrechtelijke sancties. Ze worden opgelegd door het CCB, niet door een rechtbank. De wet staat het CCB echter ook toe om zaken door te verwijzen naar de openbare aanklager als er een vermoeden is van crimineel gedrag.
België heeft er bewust voor gekozen om overheidsdiensten in de “sector openbaar bestuur” uit te sluiten van financiële sancties. In plaats daarvan vaardigt het CCB bindende instructies uit. Maar een openbare entiteit die onder NIS2 valt via een andere sector, zoals een gemeentelijk ziekenhuis dat geclassificeerd is als een entiteit voor gezondheidszorg, kan nog steeds beboet worden zoals elke particuliere organisatie.
Bancaire en financiële markteenheden zijn ook uitgesloten van de Belgische NIS2-wet. Zij vallen onder de Wet Digitale Operationele Weerbaarheid (DORA), met de Nationale Bank van België (NBB) en FSMA als relevante toezichthouders.
Wie handhaaft NIS2 eigenlijk in België?
Het CCB is de enige nationale bevoegde instantie voor NIS2 in België. Het Koninklijk Besluit van 9 juni 2024 heeft deze aanwijzing geformaliseerd en de conformiteitsbeoordelingsprocedures vastgelegd.
In de praktijk bestaat de handhaving uit drie lagen.
De inspectiedienst van het CCB houdt rechtstreeks toezicht. Voor essentiële entiteiten betekent dit proactieve (ex-ante) audits en verplichte regelmatige conformiteitsbeoordelingen. Voor belangrijke entiteiten is het toezicht voornamelijk reactief (ex-post), wat betekent dat inspecties worden uitgelokt door incidenten of bewijzen van niet-naleving.
Conformiteitsbeoordelingsinstanties (OBI’s) voeren de eigenlijke CyFun-verificatieaudits uit. Dit zijn particuliere organisaties die door BELAC zijn geaccrediteerd en door het CCB specifiek zijn gemachtigd voor NIS2-audits. Niet elke door BELAC geaccrediteerde instelling is erkend voor alle CyFun-niveaus. De Grote Vier (Deloitte België, KPMG België, PwC België, EY België) behandelen grote multinationals, terwijl gespecialiseerde bedrijven zoals Bureau Veritas België en Vincotte organisaties in het middensegment bedienen.
Sectorale inspectiediensten werken samen met het CCB in specifieke sectoren. Het BIPT (Belgisch Instituut voor Postdiensten en Telecommunicatie) houdt zich bezig met leveranciers van digitale infrastructuur. De NBB onderhoudt contacten met de financiële sector, ook al vallen de banken zelf onder DORA en niet onder NIS2.
Wat CCB doet als verificatie mislukt of als er zich incidenten voordoen
Het handhavingsproces volgt een bepaalde procedurele volgorde. Het CCB kan geen boetes opleggen zonder de organisatie eerst de kans te geven om te reageren.
Het proces begint met detectie. De inspectiedienst van het CCB, een CAB tijdens een verplichte audit of een incidentrapport kan een onderzoek starten. Het CCB heeft de wettelijke bevoegdheid om on-site inspecties uit te voeren, monitoring en beveiligingsscans op afstand uit te voeren, documentatie op te eisen (toegangslogboeken, configuratiebestanden, auditrapporten, intern beleid) en ad-hocaudits te laten uitvoeren als er gerede twijfel bestaat over naleving.
Alle NIS2-entiteiten zijn wettelijk verplicht om mee te werken aan deze onderzoeken. Weigering om mee te werken is op zichzelf al een overtreding die onmiddellijke sancties tot gevolg kan hebben.
Als het CCB besluit om tot handhaving over te gaan, moet het de entiteit schriftelijk op de hoogte stellen van zijn voornemen om een sanctie op te leggen, met een gedetailleerde motivering. De entiteit heeft dan de mogelijkheid om haar verweer te presenteren, hetzij schriftelijk of tijdens een hoorzitting. Pas na bestudering van dit antwoord neemt het CCB een definitieve beslissing.
Volgens titel 4, hoofdstuk 2 van de wet moet het CCB verschillende factoren afwegen bij het bepalen van de hoogte van de sanctie: de aard en ernst van de schending, de duur ervan, of er sprake was van nalatigheid of opzet, welke maatregelen de entiteit heeft genomen om de schade te beperken, eerdere schendingen en de mate van medewerking aan het onderzoek.
Een beroep wordt ingediend bij de Raad van State. Het indienen van een beroep schort de sanctie niet automatisch op, tenzij de entiteit een specifiek schorsingsbevel krijgt.
Naast boetes heeft het CCB een reeks administratieve instrumenten. Het kan corrigerende instructies geven met verplichte deadlines. Het kan CyFun-certificeringen opschorten of intrekken, waardoor organisaties kunnen worden uitgesloten van openbare aanbestedingen. Het kan de naam en de aard van de overtreding openbaar maken. En in ernstige gevallen van herhaalde niet-naleving door essentiële entiteiten kan de CCB een rechtbank verzoeken om personen tijdelijk te schorsen van het uitoefenen van managementfuncties.
Hoe de Belgische NIS2-boetes zich verhouden binnen de EU
De Belgische maximumboetes volgen de minimumeisen van de NIS2 -richtlijn. Verschillende EU-lidstaten hebben vergelijkbare maxima aangenomen, hoewel de aanpak voor de handhaving verschilt.
| Land | Autoriteit | Maximale boete (essentieel) | Maximale boete (belangrijk) | Opmerkelijke aanpak |
|---|---|---|---|---|
| België | CCB | EUR 10M / 2% | EUR 7M / 1,4% | CyFun-audits via geaccrediteerde CAB’s; proactief toezicht op essentiële entiteiten |
| Nederland | RDI / NCSC | EUR 10M / 2% | EUR 7M / 1,4% | Cyberbeveiligingswet geactiveerd Q1 2026; sectorspecifieke toezichthouders |
| Duitsland | BSI | Tot EUR 20M / 2% | EUR 7M / 1,4% | Hogere vaste maxima voor bepaalde overtredingen; gedifferentieerde classificatie |
| Frankrijk | ANSSI | EUR 10M / 2% | EUR 7M / 1,4% | Sterke staatstraditie via “Operators of Vital Importance”. |
| Luxemburg | ILR | EUR 10M / 2% | EUR 7M / 1,4% | Kleinere entiteitpopulatie; geconcentreerd toezicht |
Bronnen: ECSO NIS2 Transposition Tracker (2026), nationale omzettingsteksten.
België onderscheidt zich niet door zijn boetebedragen, die standaard zijn, maar door het gestructureerde CyFun-kader dat de handhaving koppelt aan een concrete, controleerbare basislijn. Waar andere lidstaten het bewijs van naleving abstract laten, creëert de Belgische CAB-gebaseerde verificatie een duidelijk pass/fail mechanisme dat zowel organisaties als regelgevers een gedeeld referentiepunt geeft.
Voor Belgische organisaties die zich afvragen hoe NIS2-boetes zich verhouden tot GDPR: één enkele inbreuk op gegevens bij een NIS2-entiteit kan leiden tot dubbele meldingsverplichtingen. Je moet een melding doen bij de Gegevensbeschermingsautoriteit (GBA) voor de impact op persoonsgegevens en bij de CCB voor de impact op netwerkbeveiliging. Beide instanties kunnen boetes opleggen voor hetzelfde incident, hoewel de wet vereist dat de sancties proportioneel blijven en zich niet onredelijk opstapelen.
Eerste NIS2-handhavingssignalen in 2026
De Belgische NIS2-handhaving bevindt zich in het eerste jaar. De CCB heeft medio 2026 nog geen individuele sancties gepubliceerd, wat in overeenstemming is met de coöperatieve aanpak tijdens de eerste implementatie. Het jaarverslag van 2025 bevestigde dat de CCB zich tijdens de eerste cyclus eerder richtte op opleiding en ondersteuning dan op bestraffing.
Die coöperatieve toon heeft grenzen. Het wettelijke kader is volledig operationeel. Verschillende signalen wijzen erop dat de handhavingsactiviteit toeneemt.
Eind 2025 had België ongeveer 1 500 essentiële entiteiten en 2 500 belangrijke entiteiten geregistreerd op het Safeonweb@Work-portaal. De CCB schatte de totale populatie binnen het toepassingsgebied op ongeveer 4.000 entiteiten. De naleving van de registratievoorschriften was bijna voltooid. De verschuiving gaat nu naar inhoudelijke naleving: bewijzen dat beveiligingscontroles echt werken.
De CAB-auditcapaciteit stond begin 2026 onder druk. De CCB erkende dit knelpunt en gaf een zekere mate van operationele flexibiliteit aan voor entiteiten die konden aantonen dat ze verificatie hadden aangevraagd vóór de deadline van april 2026, maar wachtten op de beschikbaarheid van het CAB. Flexibiliteit is echter geen immuniteit. Een entiteit die niet kan aantonen dat ze het proces in gang heeft gezet, heeft dit voordeel niet.
Onderzoeken naar aanleiding van incidenten zijn de meest waarschijnlijke weg naar vroegtijdige handhaving. Uit de gegevens van het CCB over 2025 blijkt dat het aantal meldingen van incidenten met bijna 70% is gestegen ten opzichte van 2024, deels als gevolg van de strengere NIS2-rapportageverplichtingen. Elk significant incident bij een geregistreerde entiteit creëert een potentieel handhavingsincident als uit het onderzoek blijkt dat er basismaatregelen ontbraken.
Waar CCB zich het eerst op zal richten
Er zijn drie factoren die samen bepalen waar de CCB zijn handhavingsaandacht op richt: sectorrisico, incidentgeschiedenis en nalevingsvolwassenheid.
Gezondheidszorg is de meest zichtbare prioriteit. De ransomware-aanval op het ziekenhuis AZ Monica in januari 2026 legde drie weken lang IT-systemen lam, zorgde ervoor dat operaties moesten worden geannuleerd, dat hulpdiensten moesten worden omgeleid en dat patiënten door de hele provincie moesten worden overgebracht. Ziekenhuizen worden door de Belgische wet geclassificeerd als essentiële entiteiten. Wanneer zich een incident van deze omvang voordoet en de daaropvolgende inspectie onthult dat basiscontroles van CyFun zoals offline back-ups, netwerksegmentatie of multi-factorauthenticatie ontbraken, is de weg van inspectie naar sanctie kort.
Lokale overheden hebben te maken met een genuanceerd beeld. Gemeenten en provincies kwalificeren niet altijd standaard als essentiële entiteiten, maar velen vallen onder NIS2 door sectorspecifieke activiteiten zoals afvalbeheer, transport of drinkwatervoorziening. Het Vlaams Centrum voor Digitale Veiligheid (VCDV) heeft als doel gesteld dat lokale overheden CyFun Basic moeten bereiken tegen eind 2025, met volledige verificatie tegen april 2027. Entiteiten die deze mijlpalen niet hebben gehaald, lopen een groter risico op ex-post sancties na incidenten.
Productie- en industriële entiteiten vormen een groeiend segment. Velen kwalificeren als belangrijke entiteiten door sectoren zoals chemische productie, voedselproductie of productie van kritieke producten. Organisaties met OT-omgevingen worden nauwlettend in de gaten gehouden omdat agentloze apparaten op platte netwerksegmenten nog steeds een veelvoorkomende controlebevinding zijn en een direct doelwit van de NIS2-netwerksegmentatievereisten.
Handhaving van de toeleveringsketen is het minst zichtbare maar potentieel meest impactvolle kanaal. Artikel 21.2(d) van de Belgische wet verplicht NIS2-entiteiten om hun toeleveringsketen te beveiligen. Grote essentiële entiteiten nemen in toenemende mate CyFun-nalevingsvereisten op in contracten met leveranciers. Een IT-dienstverlener in het middensegment van de markt die geen CyFun-attest heeft, kan contracten verliezen voordat het CCB ooit een inspecteur stuurt.
Hoe een controlespoor eruit ziet dat handhaving voorkomt
De handhavingscapaciteit van het CCB is reëel, maar dat geldt ook voor zijn uitgesproken voorkeur voor coöperatieve naleving. Organisaties die een gedocumenteerde, oprechte nalevingsinspanning kunnen aantonen, staan op een fundamenteel ander terrein dan organisaties die helemaal geen bewijs kunnen voorleggen.
Het bewijs dat een CAB-auditor of CCB-inspecteur verwacht te zien, komt rechtstreeks overeen met de 11 minimummaatregelen in artikel 21 van de Belgische NIS2-wet. Tot de belangrijkste gebieden behoren logboeken voor toegangscontrole waaruit blijkt dat per gebruiker en apparaat de minst geprivilegieerde rechten worden gehandhaafd, records voor incidentdetectie en -respons met tijdstempels die de vensters voor vroegtijdige waarschuwing van 24 uur en kennisgeving van 72 uur ondersteunen, apparaatposturecontroles voor NIS2 die aantonen dat alleen eindpunten die aan de eisen voldoen toegang krijgen, bewijs van netwerksegmentatie inclusief isolatie per apparaat voor agentloze apparatuur, versleutelingsdocumentatie voor gegevens in doorvoer via alle externe verbindingen en risicobeoordelingen van de toeleveringsketen met gedocumenteerde beveiligingseisen voor servicepartners.
De rode draad is aantoonbaarheid. Een beleidsdocument dat beschrijft wat er zou moeten gebeuren is zwakker bewijs dan een platformlog dat laat zien wat er is gebeurd. Dit is waar een geconsolideerde beveiligingsarchitectuur een meetbaar verschil maakt voor het handhavingsrisico.
Het SASE-platform van Jimber genereert dit bewijs vanuit één console. Toegangslogs, beleidshandhavingsrecords, apparaatstatusresultaten, versleutelingsstatus en segmentatieconfiguraties worden allemaal vastgelegd in één audit trail. Voor teams in het middensegment van de markt die zich voorbereiden op hun eerste NIS2 compliance checklist review, verandert deze consolidatie het verzamelen van bewijsmateriaal van een project van meerdere weken in een standaard operationele output. Organisaties die hun CyFun zelfevaluatie al hebben voltooid, kunnen dezelfde platformgegevens gebruiken om eventuele hiaten te dichten die auditors signaleren.
Veelgestelde vragen
Wat is de maximale NIS2-boete voor een Belgische essentiële entiteit?
Het maximum is EUR 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor een essentiële entiteit met een wereldwijde omzet van 500 miljoen euro levert de berekening op basis van de omzet 10 miljoen euro op, wat overeenkomt met het vaste maximum. De wet past in alle gevallen het hoogste van de twee bedragen toe. Deze bedragen zijn vastgelegd in titel 4, hoofdstuk 2 van de wet van 26 april 2024.
Kan CCB individuele bestuurders persoonlijk beboeten?
De CCB legt zelf boetes op aan de entiteit, niet direct aan individuen. De wet voorziet echter in persoonlijke aansprakelijkheid voor bestuursleden die verzuimen om maatregelen op het gebied van cyberbeveiliging goed te keuren en er toezicht op te houden. Bij herhaalde niet-naleving door essentiële entiteiten kan de CCB een rechtbank verzoeken om personen tijdelijk uit bestuursfuncties te schorsen. Aansprakelijkheidsclaims van aandeelhouders of derden kunnen ook volgen als de nalatigheid van een bestuurslid tot schade heeft geleid, zoals gedetailleerd beschreven in de analyse van NIS2 bestuursaansprakelijkheid in België.
Hoe vaak voert CCB proactieve audits uit?
Essentiële entiteiten worden onderworpen aan verplichte regelmatige conformiteitsbeoordelingen. De wet specificeert geen vaste frequentie, maar het CyFun-kader impliceert een driejarige auditcyclus voor essentiële entiteiten. Belangrijke entiteiten staan onder reactief toezicht en worden niet onderworpen aan proactieve audits, tenzij incidenten of bewijzen van niet-naleving aanleiding geven tot een onderzoek. Belangrijke entiteiten kunnen vrijwillig een controle ondergaan om een wettelijk “vermoeden van conformiteit” te krijgen.
Wat gebeurt er als mijn organisatie de CyFun verificatie deadline heeft gemist?
De deadline van april 2026 verplichtte entiteiten om hun CyFun-zelfbeoordeling of ISO 27001-documentatie in te dienen bij de CCB. Het missen van deze deadline is op zichzelf al een niet-naleving. De CCB heeft echter operationele flexibiliteit aangegeven voor entiteiten die het proces op tijd in gang hebben gezet, maar te maken hebben met capaciteitsbeperkingen van het CAB. Organisaties die geen actie hebben ondernomen en geen nalevingsinspanningen kunnen aantonen, lopen het grootste handhavingsrisico. De prioritaire actie is het onmiddellijk documenteren van de vooruitgang te goeder trouw en het plannen van een verbintenis met een OBO.
Kan er tegen NIS2-boetes beroep worden aangetekend in België?
Ja. Tegen elke sanctiebeslissing van het CCB kan beroep worden aangetekend bij de Raad van State. Het indienen van een beroep schort de sanctie niet automatisch op. De entiteit moet een aparte motie tot opschorting indienen, die de Raad van State al dan niet kan toewijzen op basis van de urgentie en de gegrondheid van de zaak.
Worden NIS2-boetes gedekt door een cyberverzekering in België?
Dit is een gebied in ontwikkeling. De meeste standaard cyberverzekeringspolissen dekken de kosten van de reactie op een incident en de onderbreking van de bedrijfsvoering. Dekking voor administratieve boetes is juridisch problematisch onder Belgisch recht, vooral wanneer de boete het gevolg is van nalatigheid. Polissen voor bestuurders en functionarissen (D&O) kunnen een gedeeltelijke bescherming bieden voor persoonlijke aansprakelijkheid, maar de dekking verschilt van verzekeraar tot verzekeraar. Raadpleeg uw makelaar en juridisch adviseur voor een definitief antwoord op basis van uw polis.
Hoe verhouden NIS2-boetes zich tot GDPR-boetes voor hetzelfde incident?
Een datalek bij een NIS2-entiteit leidt tot dubbele rapportage: aan de Gegevensbeschermingsautoriteit (GBA) onder GDPR en aan het CCB onder NIS2. Beide autoriteiten kunnen boetes opleggen. GDPR-boetes voor ernstige overtredingen kunnen oplopen tot EUR 20 miljoen of 4% van de wereldwijde omzet. Boetes onder NIS2 bedragen maximaal EUR 10 miljoen of 2%. De wet bepaalt dat sancties proportioneel moeten blijven, maar twee afzonderlijke boetes voor hetzelfde incident is een reële mogelijkheid. De NIS2-tijdlijnen voor het melden van incidenten voegen een parallelle reeks deadlines toe naast de GDPR-kennisgeving van 72 uur.
De handhavingsfase van NIS2 in België is niet langer hypothetisch, maar het is geen klif. Het CCB heeft een procedureel degelijk kader uitgebouwd dat aantoonbare nalevingsinspanningen beloont en nietsdoen bestraft. Voor organisaties die nog niet begonnen zijn, is de kloof tussen “werken aan naleving” en “niets doen” belangrijker dan wat dan ook. Boek een demo met Jimber om te zien hoe een enkele SASE console het auditbewijs produceert dat je CyFun verificatie vereist, of begin met de NIS2 compliance checklist om je huidige positie in kaart te brengen.
