Ga direct naar inhoud

Wat zijn de sectoren en criteria die bepalen of een organisatie onder de NIS2-richtlijn valt?

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Welke sectoren vallen onder de NIS2-richtlijn?

De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Het aantal publieke en private organisaties dat onder de richtlijn valt wordt dus groter.

De organisaties die onder de tweede NIS-richtlijn vallen behoren tot de volgende sectoren:
 

Sectoren bijlage 1

Sectoren bijlage 2
  • Energie
  • Transport
  • Bankwezen
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Beheerders van ICT-diensten
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Vervaardiging / manufacturing

Welke criteria bepalen of een organisatie onder de NIS2-richtlijn valt?

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in een van de bovenstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
 

  1. Essentiële entiteiten
    • Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit volgens de NIS2-richtlijn.
    • Grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel)
    • Een organisatie is groot op basis van de volgende criteria:
      1. minimaal 250 werknemers of;
      2. een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.
         
  2. Belangrijke entiteiten
    • Middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II.
    • Een organisatie is middelgroot op basis van de volgende criteria:
      1. minimaal 50 werknemers of;
      2. een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Van essentiële entiteiten wordt over het algemeen aangenomen dat de uitval van hun diensten veel meer ontwrichtende impact heeft op de economie en samenleving, dan uitval bij belangrijke entiteiten. Essentiële entiteiten vallen onder een intensiever regime van toezicht, waarin zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht, dat alleen achteraf plaatsvindt. Bijvoorbeeld als er aanwijzingen voor niet-naleving van de wet zijn of als er een incident heeft plaatsgevonden.

Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn. De minister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie.

Een uitzondering zijn micro- en kleinbedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten. Deze bedrijven vallen wel direct onder de NIS2-richtlijn.

Evalueer zelf of uw organisatie onder de NIS2-richtlijn valt.

De Rijksinspectie Digitale Infrastructuur (RDI) heeft een vragenlijst ontwikkeld waarmee organisaties zelf kunnen evalueren of ze onder de NIS2-richtlijn vallen. Door de vragenlijst in te vullen, wordt ook duidelijk of de organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie. U kunt de vragenlijst hier vinden en invullen.

Wat betekent het als mijn organisatie onder de NIS2 valt?

U kunt hier meer informatie vinden over rechten en plichten die zijn beschreven in de NIS2-richtlijn en die momenteel worden omgezet naar nationale wetgeving.

Hoe kan uw organisatie zich voorbereiden op de NIS2?

U kunt hier meer informatie vinden over de wijze waarop uw organisatie zich kan voorbereiden op nieuwe wetgeving.