Welke organisaties vallen onder de Cyberbeveiligingswet? | Nationaal Coördinator Terrorismebestrijding en Veiligheid

Bij de Cyberbeveiligingswet vallen veel organisaties van rechtswege onder de wet. Organisaties zijn zelf verantwoordelijk om te bepalen of zij onder deze wet vallen.

Zelfevaluatietool

Organisaties kunnen met de zelfevaluatietool een eerste beoordeling doen of ze onder de Cyberbeveiligingswet vallen en hoe ze worden gekwalificeerd (essentieel of belangrijk). Of doorloop onderstaande stappen.

Stap 1: Controleer of jouw organisatie behoort tot een van onderstaande de sectoren.

De Cyberbeveiligingswet is van toepassing op de onderstaande sectoren. Zie bijlage 1 en 2 van de Cyberbeveiligingswet voor een gedetailleerd overzicht van deze sectoren en daaronder vallende soorten entiteiten. Entiteiten die domeinnaamregistratiediensten verlenen staan niet vermeld in bijlage 1 of 2 van de Cyberbeveiligingswet. Op deze entiteiten zijn niet alle verplichtingen uit de Cyberbeveiligingswet van toepassing.

Stap 2: Controleer of jouw organisatie voldoet aan de omvangscriteria.

Nadat je hebt gecheckt of jouw organisatie aan te merken is als een soort entiteit genoemd in bijlage 1 of bijlage 2 van de Cyberbeveiligingswet, dient er ook gecontroleerd te worden of jouw organisatie voldoet aan de omvangscriteria om te bepalen of je onder de Cyberbeveiligingswet valt (dit wordt ook wel de size cap genoemd). Hierbij wordt gekeken naar onder andere het aantal medewerkers, de jaaromzet en het balanstotaal. De omvangscriteria alleen zijn niet altijd relevant. Aanbieders van openbare elektronische communicatienetwerken, aanbieders van openbare elektronische communicatiediensten, (gekwalificeerde) verleners van vertrouwensdiensten, aanbieders van registers voor topleveldomeinnamen, DNS-dienstverleners, verleners van domeinnaamregistratiediensten en overheidsorganisaties vallen altijd onder de Cyberbeveiligingswet, ongeacht hun omvang.

Criteria voor de grootte van een organisatie onder de NIS2-wet — Beeld: © NCTV

Stap 3: Bepaal aan de hand van het stroomschema of jouw organisatie een essentiële entiteit óf een belangrijke entiteit is

Wanneer duidelijk is dat jouw organisatie onder Bijlage 1 of Bijlage 2 van de Cyberbeveiligingswet valt én wat de omvang van jouw organisatie is (groot, middelgroot, klein), kan met behulp van stroomschema bijlage 1 en stroomschema bijlage 2 worden vastgesteld of jouw organisatie kwalificeert als een essentiële entiteit óf een belangrijke entiteit. Dit onderscheid is belangrijk, omdat het invloed heeft op de manier waarop toezicht wordt gehouden:

Essentiële entiteiten staan onder proactief toezicht: de naleving van verplichtingen wordt actief gecontroleerd, ook als er geen incidenten zijn.
Belangrijke entiteiten vallen onder reactief toezicht: controles vinden vooral achteraf plaats, bijvoorbeeld naar aanleiding van signalen van niet-naleving of na een incident. Zoals in het stroomschema op de volgende pagina te zien is, zijn ook hier enkele uitzonderingen van toepassing.

Essentiële entiteiten

Grote organisaties die behoren tot een soort entiteit in een van de genoemde sectoren in bijlage 1 van de Cyberbeveiligingswet kwalificeren als essentiële entiteit.

De volgende soorten entiteiten vallen ongeacht hun grootte als essentiële entiteit onder de Cyberbeveiligingswet: centrale en decentrale overheden, gekwalificeerde vertrouwensdienstverleners, aanbieders van registers voor topleveldomeinnamen en verleners van DNS-diensten.

Ook middelgrote organisaties, die aanbieder van openbare elektronische communicatienetwerken of -diensten zijn, zijn essentiële entiteiten.

Belangrijke entiteiten

Middelgrote organisaties die behoren tot een soort entiteit in een van de genoemde sectoren in bijlage 1 van de Cyberbeveiligingswet en niet op grond van het bovenstaande essentiële entiteit zijn, en middelgrote en grote organisaties die behoren tot een soort entiteiten in een van de genoemde sectoren in bijlage 2 van de Cyberbeveiligingswet kwalificeren als belangrijke entiteit. Ook aanbieders van openbare elektronische communicatienetwerken of -diensten en verleners van vertrouwensdiensten, die een kleine of micro organisatie zijn, zijn belangrijke entiteit.

Overheidsinstanties

Binnen de subsector centrale overheid zijn ministeries, inclusief daartoe behorende dienstonderdelen, en zelfstandige bestuursorganen, essentiële entiteiten. Binnen de subsector decentrale overheid zijn de provincies, gemeenten en waterschappen, en openbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties in de zin van de Wet gemeenschappelijke regelingen, essentiële entiteiten. Voor deze instanties geldt dat hun grootte niet relevant is voor de kwalificatie als essentiële entiteit. Ook geldt dat zij uiteraard moeten voldoen aan de definitie van overheidsinstantie uit artikel 1 van de Cyberbeveiligingswet.

Overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, zijn uitgesloten van het toepassingsgebied van de Cyberbeveiligingswet. Het gaat hierbij in ieder geval om het ministerie van Defensie, de inlichtingen- en veiligheidsdiensten, het openbaar ministerie, de politie en de veiligheidsregio's.

Onderwijs

De Minister van Onderwijs, Cultuur en Wetenschap maakt gebruik van de mogelijkheid om hoger onderwijsinstellingen door een aanwijzing onder de reikwijdte van de Cyberbeveiligingswet te brengen.

Lees meer

Zie voor meer informatie het ingediende wetsvoorstel voor de Cyberbeveiligingswet en het concept van de algemene maatregel van bestuur.