Welke organisaties vallen onder de Cyberbeveiligingswet? | Nationaal Coördinator Terrorismebestrijding en Veiligheid

De Cyberbeveiligingswet richt zich op kritieke organisaties en sectoren waarbij uitval van hun diensten kan zorgen voor maatschappelijke en economische ontwrichting. Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Zelfevaluatietool

Organisaties kunnen met de zelfevaluatietool een eerste beoordeling doen of ze onder de Cyberbeveiligingswet vallen en hoe ze worden gekwalificeerd (essentieel of belangrijk).

Welke sectoren vallen onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet richt zich op sectoren die onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Onder de wet vallen zeer kritieke sectoren (beeld links): energie, vervoer, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheer van ICT-diensten, afvalwater, overheid en ruimtevaart. Andere kritieke sectoren (beeld rechts) zijn: digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging.

Voor entiteiten die domeinregistratiediensten verlenen geldt dat zij niet zijn vermeld in de Cyberbeveiligingswet, maar enkele verplichtingen (bijvoorbeeld registratie) wel op hen toepassing zijn.

Welke criteria bepalen of organisaties onder de wet vallen?

De sector en de daaronder vallende soort en de grootte van die organisatie bepaalt of deze organisatie onder de Cyberbeveiligingswet valt. De grootte van een organisatie wordt bepaald aan de hand van twee categorieën. Hiervoor zijn de volgende criteria vastgesteld:

Criteria voor de grootte van een organisatie onder de NIS2-wet — Beeld: © NCTV

Vervolgens wordt aan de hand van de soort entiteit binnen een sector van de cyberbeveiligingswet bepaald of een organisatie als een ‘essentiële entiteit’ of een ‘belangrijke entiteit’ wordt beschouwd.

Micro- en kleinbedrijven vallen in principe niet onder de Cyberbeveiligingswet. De vakminister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie. Daarmee kunnen ze alsnog onder de Cyberbeveiligingswet komen te vallen.

De organisaties die kwalificeren als een soort entiteit (zowel groot, middelgroot als micro/klein), dus ongeacht hun omvang, vallen direct onder de Cyberbeveiligingswet: overheid, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen en DNS-dienstverleners.

Essentiële entiteiten

Soorten organisaties die actief zijn in een van de genoemde sectoren uit bijlage 1 van de Cyberbeveiligingswet kwalificeren als essentiële entiteit. Ook zijn organisaties die als ‘kritieke entiteit’ onder de Critical Entities Resilience Richtlijn (CER) vallen automatisch een ‘essentiële entiteit’ in de Cyberbeveiligingswet.

De volgende sectoren en soorten entiteiten vallen direct onder de Cyberbeveiligingswet als essentiële entiteit, ongeacht hun grootte: overheid, gekwalificeerde vertrouwensdienstverleners (QTSP), registers voor topleveldomeinnamen en verleners van DNS-diensten. Ook middelgrote aanbieders van openbare elektronische communicatienetwerken en -diensten zijn essentiële entiteiten.

Belangrijke entiteiten

Middelgrote organisaties die actief zijn in een van de genoemde sectoren uit bijlage 1 van de Cyberbeveiligingswet en middelgrote en grote organisaties die actief zijn in een van de genoemde sectoren uit bijlage 2 van de Cyberbeveiligingswet kwalificeren als belangrijke entiteit.

Er zijn verschillen tussen organisaties die essentieel zijn, en organisaties die belangrijk zijn. Essentiële entiteiten krijgen proactief toezicht. Dit wil zeggen dat er toezicht gehouden wordt op het naleven van de verplichtingen, ook wanneer er geen sprake is van eventuele incidenten.

Belangrijke entiteiten krijgen meer reactief toezicht. Dat wil zeggen toezicht dat achteraf plaatsvindt, bijvoorbeeld als er aanwijzingen zijn voor het niet naleven van de wet, of als er een incident heeft plaatsgevonden. In alle gevallen kan de toezichthouder beveiligingsaudits en –scans uitvoeren en informatie verzoeken die nodig is om de risicobeheersmaatregelen van de betrokken entiteit te beoordelen.

Verschil essentiële en belangrijke entiteiten
Essentieel	Belangrijk
Organisaties met minimaal 250 werknemers (fte). Of:	Organisaties met minimaal 50-249 werknemers (fte). Of:
Organisaties met een jaaromzet van meer dan 50 miljoen euro én een balanstotaal van meer dan 43 miljoen euro.	Organisaties met een jaaromzet van meer dan 10 miljoen euro (en minder dan 50 miljoen euro) en een balanstotaal van meer dan 10 miljoen euro (en minder dan 43 miljoen euro)
Organisaties die op grond van de Wet weerbaarheid kritieke entiteiten zijn aangewezen als kritieke entiteit. Deze wet gaat over de fysieke weerbaarheid van organisaties.	Organisaties die horen bij de sectoren in bijlage 2 van de NIS2-richtlijn.

Domeinnaamregistratiediensten

Hoewel entiteiten die domeinregistratiediensten aanbieden onder de Cyberbeveiligingswet niet als essentieel of belangrijk zijn aangemerkt, gelden er wel verplichtingen uit de Cyberbeveiligingswet. Zij hebben geen meldplicht van incidenten en zorgplicht, maar wel een registratieplicht. Daarnaast moeten zij een database met domeinregistratiegegevens bijhouden. Hierop vindt ook toezicht plaats.

Overheidsinstanties

Een overheidsinstantie is een essentiële entiteit wanneer de entiteit voldoet aan de definitie en criteria voor een overheidsinstantie, zoals beschreven in artikel 1 van de Cyberbeveilingswet. Ministeries, provincies, gemeenten en waterschappen voldoen in elk geval aan deze criteria. Voor zelfstandige bestuursorganen en gemeenschappelijke regelingen is dit afhankelijk van het geval. Overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, zijn uitgesloten van het toepassingsgebied van de Cyberbeveiligingswet. Het gaat hierbij in ieder geval om het ministerie van Defensie, de inlichtingen- en veiligheidsdiensten, het Openbaar Ministerie, de politie en de veiligheidsregio's.

Onderwijs

In Nederland is het mogelijk om hoger onderwijsinstellingen als essentiële of belangrijke entiteit onder de Cyberbeveiligingswet te laten vallen. De Minister van Onderwijs, Cultuur en Wetenschap kan dit bepalen via een ministeriële regeling of bij ministerieel besluit.

Lees meer

Zie voor meer informatie het ingediende wetsvoorstel voor de Cyberbeveiligingswet en het concept van de algemene maatregel van bestuur.

Zelfevaluatietool

Welke sectoren vallen onder de Cyberbeveiligingswet?

Welke criteria bepalen of organisaties onder de wet vallen?

Onderscheid tussen essentiële en belangrijke entiteiten

Lees meer