Welke sectoren en organisaties vallen onder de CER-richtlijn en de NIS2-richtlijn?

Welke sectoren en organisaties vallen onder de CER-richtlijn?

De CER-richtlijn richt zich op het verhogen van de fysieke weerbaarheid van zogenaamde ‘kritieke’ entiteiten die essentiële diensten verlenen binnen de volgende sectoren: energie, drinkwater, transport, digitale infrastructuur, levensmiddelenindustrie, gezondheidszorg, infrastructuur voor de financiële markt, afvalwater, overheidsdiensten, bankwezen en ruimtevaart.

De ministeries die verantwoordelijk zijn voor deze sectoren beoordelen aan de hand van een risicobeoordeling welke organisaties als kritieke entiteit worden aangewezen. Daarbij wordt in ieder geval gekeken naar de mate waarin een organisatie een dienst verleent die onmisbaar is voor het functioneren van maatschappelijke functies en/of economische activiteiten. Organisaties die in het verleden al eerder door de overheid zijn aangemerkt als ‘vitale aanbieder’ worden onder de CER-richtlijn in elk geval aangewezen als kritieke entiteit, als ze binnen één van de bovengenoemde sectoren actief zijn

Indien een organisatie is aangewezen als kritieke entiteit, dan wordt de organisatie hierover geïnformeerd door het verantwoordelijke ministerie. Dit gebeurt zo snel mogelijk na de inwerkingtreding van de wet (eind 2024). Na aanwijzing hebben organisaties nog 10 maanden om aan de wet te voldoen.

Welke sectoren en organisaties vallen onder de NIS2-richtlijn?

De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Het aantal publieke en private organisaties die onder de richtlijn vallen wordt dus groter.

De organisaties die onder de tweede NIS-richtlijn vallen behoren tot:

Sectoren
Sectoren bijlage 1 Sectoren bijlage 2
Energie Digitale aanbieders
Transport Post- en koeriersdiensten

Infrastructuur financiële markt

Afvalstoffenbeheer
Gezondheidszorg Levensmiddelen
Drinkwater Chemische stoffen
Digitale infrastructuur Onderzoek
Afvalwater Vervaardiging/manufacturing
Overheidsdiensten
Ruimtevaart
Beheerders van ICT Diensten

Bankwezen

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in een van de eerder genoemde sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

 1. Essentiële entiteiten
  • Dat zijn organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit. Zij zijn dan automatisch ook een essentiële entiteit volgens de NIS2-richtlijn.
  • Dat zijn grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel)
  • Een organisatie is groot op basis van de volgende criteria:
   1. minimaal 250 werknemers of;
   2. een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
     
 2. Belangrijke entiteiten
  • Dat zijn middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II.
  • Een organisatie is middelgroot op basis van de volgende criteria:
   1. minimaal 50 werknemers of;
   2. een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Van essentiële entiteiten wordt over het algemeen aangenomen dat de uitval van hun diensten veel meer ontwrichtende impact heeft op de economie en samenleving, dan uitval bij belangrijke entiteiten. Essentiële entiteiten vallen onder een intensiever regime van toezicht, namelijk zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht dat alleen achteraf plaatsvindt bijvoorbeeld als er aanwijzingen voor niet-naleving van de wet zijn of als er een incident heeft plaatsgevonden.

Micro- en kleine bedrijven vallen in principe niet onder de NIS2-richtlijn. De minister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of klein bedrijf alsnog aan te wijzen op basis van een risicobeoordeling, bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie.

Daarnaast zijn er nog micro- en kleine bedrijven die wel onder de NIS2-richtlijn vallen. Het gaat dan om bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten, vallen wél automatisch onder de NIS2-richtlijn. Overheidsinstanties uit de bovenstaande sectoren vallen ook automatisch onder NIS2-richtlijn.

Voor meer informatie of u een MKB-onderneming of (middel)grote onderneming heeft kunt u terecht op de website van het RVO.

Relevante links

Bijlage 1 - Link naar CER-richtlijn: EUR-Lex - 32022L2557 - EN - EUR-Lex (europa.eu)

Link naar CER-richtlijn (NL vertaling): L_2022333NL.01016401.xml (europa.eu)

Bijlage 2 - Link naar NIS2-richtlijn: EUR-Lex - 32022L2555 - EN - EUR-Lex (europa.eu)

Link naar NIS2-richtlijn (NL vertaling): L_2022333NL.01008001.xml (europa.eu)