Wat zijn de sectoren en criteria die bepalen of een organisatie onder de NIS2-richtlijn valt?
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
Welke sectoren vallen onder de NIS2-richtlijn?
De NIS2-richtlijn, en daarmee ook de Cyberbeveiligingswet, richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Het aantal publieke en private organisaties dat onder de richtlijn valt wordt dus groter.
De organisaties die onder de NIS2-richtlijn vallen, behoren tot de volgende sectoren:
|
Zeer kritieke sectoren bijlage 1 |
Andere kritieke sectoren bijlage 2 |
|
|
Welke criteria bepalen of een organisatie onder de NIS2-richtlijn valt?
Aan de hand van in welke sector een organisatie actief is en wat de grootte van een organisatie is wordt bepaald of deze organisatie onder de NIS2-richtlijn valt, en daarmee ook onder de Cyberbeveiligingswet.
De grootte van een organisatie wordt bepaald aan de hand van twee categorieën. Hiervoor zijn de volgende criteria vastgesteld:
Een organisatie is ‘groot’ als er:
- Minimaal 250 personen werkzaam zijn OF;
- Er sprake is van een jaaromzet van meer dan 50 miljoen euro, en een balanstotaal van meer dan 43 miljoen euro
Een organisatie is ‘middelgroot’ als er:
- Minimaal 50 personen werkzaam zijn OF;
- Er sprake is van een jaaromzet van meer dan 10 miljoen euro, en een balanstotaal van meer dan 10 miljoen euro
Vervolgens wordt aan de hand van de genoemde sectoren in bijlage I en II van de Cyberbeveiligingswet bepaald of een organisatie als een ‘essentiële entiteit’ of een ‘belangrijke entiteit’ wordt beschouwd.
Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn. De vakminister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie. Daarmee kunnen ze alsnog onder de Cyberbeveiligingswet komen te vallen.
Een uitzondering geldt voor de sector Overheid, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners en verleners van domeinnaamregistratiediensten. Al deze organisaties (zowel groot, middelgroot als micro/klein), dus ongeacht hun omvang vallen direct onder de Cyberbeveiligingswet.
Essentiële entiteiten
Grote organisaties die actief zijn in een van de genoemde sectoren uit bijlage I van de Cyberbeveiligingswet kwalificeren als essentiële entiteit.
Ook zijn organisaties die als ‘Kritieke entiteit’ onder de Critical Entities Resilience Richtlijn (CER) vallen automatisch een ‘essentiële entiteit’ in de Cyberbeveiligingswet.
Een uitzondering geldt voor de sector Overheid, gekwalificeerde vertrouwensdienstverleners (QTSP), registers voor topleveldomeinnamen, verleners van domeinnaamregistratiediensten en verleners van DNS-diensten. Al deze organisaties (zowel groot, middelgroot als micro/klein) vallen direct onder de Cyberbeveiligingswet als essentiële entiteit. Ook middelgrote aanbieders van openbare elektronische communicatienetwerken en -diensten zijn essentiële entiteiten.
Belangrijke entiteiten
Middelgrote organisaties die actief zijn in een van de genoemde sectoren uit bijlage I en middelgrote en grote organisaties die actief zijn in een van de genoemde sectoren uit bijlage II van de Cyberbeveiligingswet kwalificeren als belangrijke entiteit.
Domeinnaamregistratiediensten
Entiteiten die domeinnaamregistratiediensten aanbieden vallen onder de wet, maar zijn geen essentiële of belangrijke entiteit. Zij zijn een afzonderlijke categorie, omdat voor hen bijzondere verplichtingen gelden; zij hebben geen meldplicht van incidenten en zorgplicht maar moeten een database met domeinnaamregistratiegegevens bijhouden. Hierop vindt ook toezicht plaats.
Overheidsinstanties
Een overheidsinstantie is een essentiële entiteit wanneer de entiteit voldoet aan de definitie en criteria voor een overheidsinstantie, zoals beschreven in artikel 6, onderdeel 35 van de richtlijn. Ministeries, provincies, gemeenten en waterschappen voldoen in elk geval aan deze criteria. Voor zelfstandige bestuursorganen en gemeenschappelijke regelingen is dit afhankelijk van het geval.
Overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, zijn uitgesloten van het toepassingsgebied van de Cyberbeveiligingswet.
Onderwijs
Het wetsvoorstel maakt het mogelijk om hoger onderwijsinstellingen onder de Cyberbeveiligingswet te brengen. De Minister van Onderwijs, Cultuur en Wetenschap kan dit bepalen via een ministeriele regeling.
Evalueer zelf of uw organisatie onder de NIS2-richtlijn valt.
De Rijksinspectie Digitale Infrastructuur (RDI) heeft een vragenlijst ontwikkeld waarmee organisaties zelf kunnen evalueren of ze onder de NIS2-richtlijn vallen. Door de vragenlijst in te vullen, wordt ook duidelijk of de organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie. U kunt de vragenlijst hier vinden en invullen.
Wat betekent het als mijn organisatie onder de NIS2 valt?
U kunt hier meer informatie vinden over rechten en plichten die zijn beschreven in de NIS2-richtlijn en die momenteel worden omgezet naar de Cyberbeveiligingswet.
Hoe kan uw organisatie zich voorbereiden op de NIS2?
U kunt hier meer informatie vinden over de wijze waarop uw organisatie zich kan voorbereiden op nieuwe wetgeving.