Ga direct naar inhoud

Welke organisaties vallen onder de Cyberbeveiligingswet?

De NIS2-richtlijn richt zich op kritieke organisaties en sectoren waarbij uitval van hun diensten kan zorgen voor maatschappelijke en economische ontwrichting. Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Zelfevaluatietool

Organisaties kunnen met de zelfevaluatietool een eerste beoordeling doen of ze onder de Cyberbeveiligingswet vallen en hoe ze worden gekwalificeerd (essentieel of belangrijk).

Welke sectoren vallen onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet richt zich op sectoren die onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Onder de wet vallen zeer kritieke sectoren (beeld links): energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten lokale overheden en ruimtevaart. Andere kritieke sectoren (beeld rechts) zijn: digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging.

Entiteiten die domeinregistratiediensten aanbieden vallen ongeacht hun omvang ook onder de Cyberbeveiligingswet, maar behoren niet tot de bovenstaande kritieke sectoren. Op deze categorie zijn namelijk andersoortige verplichtingen van toepassing.

Vergroot afbeelding
Zeer kritieke sectoren
Vergroot afbeelding
Andere kritieke sectoren

Welke criteria bepalen of organisaties onder de wet vallen?

De sector waar een organisatie actief is en de grootte van die organisatie bepaalt of deze organisatie onder de NIS2-richtlijn valt, en daarmee ook onder de Cyberbeveiligingswet. De grootte van een organisatie wordt bepaald aan de hand van twee categorieën. Hiervoor zijn de volgende criteria vastgesteld:

Vergroot afbeelding Criteria die de grootte van een organisatie bepalen

Vervolgens wordt aan de hand van de genoemde kritieke sectoren van de Cyberbeveiligingswet bepaald of een organisatie als een ‘essentiële entiteit’ of een ‘belangrijke entiteit’ wordt beschouwd.

Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn. De vakminister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie. Daarmee kunnen ze alsnog onder de Cyberbeveiligingswet komen te vallen.

Organisaties in de volgende sectoren (zowel groot, middelgroot als micro/klein), dus ongeacht hun omvang, vallen direct onder de Cyberbeveiligingswet: Overheid, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen en DNS-dienstverleners.

Essentiële entiteiten

Grote organisaties die actief zijn in een van de genoemde sectoren uit bijlage I van de Cyberbeveiligingswet kwalificeren als essentiële entiteit. Ook zijn organisaties die als ‘kritieke entiteit’ onder de Critical Entities Resilience Richtlijn (CER) vallen automatisch een ‘essentiële entiteit’ in de Cyberbeveiligingswet.

De volgende sectoren vallen direct onder de Cyberbeveiligingswet als essentiële entiteit, ongeacht hun grootte: overheid, gekwalificeerde vertrouwensdienstverleners (QTSP), registers voor topleveldomeinnamen en verleners van DNS-diensten. Ook middelgrote aanbieders van openbare elektronische communicatienetwerken en -diensten zijn essentiële entiteiten.

Belangrijke entiteiten

Middelgrote organisaties die actief zijn in een van de genoemde sectoren uit bijlage 1 en middelgrote en grote organisaties die actief zijn in een van de genoemde sectoren uit bijlage 2 van de Cyberbeveiligingswet kwalificeren als belangrijke entiteit.

Domeinnaamregistratiediensten

Entiteiten die domeinnaamregistratiediensten aanbieden vallen onder de wet, maar zijn geen essentiële of belangrijke entiteit. Zij zijn een afzonderlijke categorie, omdat voor hen bijzondere verplichtingen gelden; zij hebben geen meldplicht van incidenten en zorgplicht maar moeten een database met domeinnaamregistratiegegevens bijhouden. Hierop vindt ook toezicht plaats.

Overheidsinstanties

Een overheidsinstantie is een essentiële entiteit wanneer de entiteit voldoet aan de definitie en criteria voor een overheidsinstantie, zoals beschreven in artikel 6, onderdeel 35 van de richtlijn. Ministeries, provincies, gemeenten en waterschappen voldoen in elk geval aan deze criteria. Voor zelfstandige bestuursorganen en gemeenschappelijke regelingen is dit afhankelijk van het geval. Overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, zijn uitgesloten van het toepassingsgebied van de Cyberbeveiligingswet.

Onderwijs

Het wetsvoorstel maakt het mogelijk om hoger onderwijsinstellingen onder de Cyberbeveiligingswet te brengen. De Minister van Onderwijs, Cultuur en Wetenschap kan dit bepalen via een ministeriële regeling.