NIS2: Bent u in het toepassingsgebied?
De nieuwe Belgische cybersecurity-wet is nu van kracht.
Het regelgevingslandschap in België en de EU kan complex zijn. Op deze pagina vindt u informatie over de belangrijkste cyberbeveiligingswetgeving die van invloed kan zijn op uw organisatie, en over de kaders, normen, certificeringen en tools die u kunnen helpen om aan de regelgeving te voldoen.
Wetgeving die van invloed is op de gehele organisatie
Richtlijn 2 betreffende netwerk- en informatiebeveiliging (NIS2)
Toepassingsgebied: Organisaties die actief zijn in sectoren met een hoge kriticiteit en andere kritieke sectoren
Beschrijving: Verbetering van de cyberbeveiliging van entiteiten die cruciaal zijn voor onze economie en samenleving
Status: In werking getreden op 18 oktober 2024
Digital Operational Resilience Act (DORA)
Toepassingsgebied: Organisaties die actief zijn in de financiële sector en hun externe ICT-dienstverleners
Beschrijving: Uniforme vereisten met betrekking tot de beveiliging van netwerk- en informatiesystemen die de bedrijfsprocessen van financiële entiteiten ondersteunen
Status: Van kracht sinds 17 januari 2025
Cyber Solidarity Act (CySoA)
Toepassingsgebied: EU-lidstaten
Beschrijving: Invoering van een pan-Europese infrastructuur van veiligheidsoperatiecentra, oprichting van een noodmechanisme voor cyberbeveiliging en instelling van een Europees mechanisme voor de beoordeling van cyberbeveiligingsincidenten
Status: In werking getreden op 4 februari 2025
Wetgeving die van invloed is op producten en diensten
Cybersecurity Act (CSA)
Toepassingsgebied: ICT-producten, -diensten en -processen
Beschrijving: Verplichte en vrijwillige Europese cyberbeveiligingscertificeringen
Status: EU-verordening in werking getreden op 27 juni 2019, Belgische wet in werking getreden op 5 augustus 2022
Cyber Resilience Act (CRA)
Toepassingsgebied: Producten met digitale elementen die op de EU-markt worden aangeboden
Beschrijving: Minimale cyberbeveiligingseisen voor alle producten met digitale elementen die op de EU-markt worden aangeboden
Status: Van kracht sinds 10 december 2024; fabrikanten moeten echter vanaf 11 september 2026 voldoen aan de verplichtingen inzake het melden van kwetsbaarheden
Artificial Intelligence Act (AIA)
Toepassingsgebied: Iedereen die AI-systemen produceert, gebruikt, importeert of distribueert in de EU.
Beschrijving: Regels voor transparantie, het in de handel brengen, in gebruik nemen en gebruiken van AI-systemen; verbod op bepaalde AI-praktijken; specifieke vereisten voor AI-systemen met een hoog risico en hun exploitanten; enz.
Status: Inwerkingtreding op 1 augustus 2024, maar de verschillende bepalingen worden geleidelijk ingevoerd. Sommige regels, zoals het verbod op bepaalde AI-systemen met onaanvaardbare risico's, zijn op 2 februari 2025 van kracht geworden. Andere onderdelen, waaronder verplichtingen voor AI-systemen met een hoog risico en de regels voor AI-modellen voor algemeen gebruik, hebben latere toepassingsdata, waarbij de volledige toepasselijkheid voor de meeste onderdelen naar verwachting op 2 augustus 2026 zal plaatsvinden.
Richtlijn betreffende radioapparatuur (RED)
Toepassingsgebied: Alle radiozend- of -ontvangstapparatuur (met bepaalde uitzonderingen)
Beschrijving: Regelgevingskader voor het in de handel brengen van radioapparatuur
Status: Belangrijkste datum van inwerkingtreding: 13 juni 2016. De cruciale cyberbeveiligingseisen, zoals beschreven in artikel 3.3, onder d), e) en f), zijn echter van toepassing geworden op 1 augustus 2025.
European Digital Identity Regulation (eIDAS2)
Toepassingsgebied: Elektronische identificatiesystemen, Europese digitale identiteitsportefeuilles, vertrouwensdienstverleners
Beschrijving: Actualisering van de eIDAS-verordening van 2014 om de invoering van een Europese digitale identiteitsportefeuille mogelijk te maken
Status: In werking getreden op 20 mei 2024