Welke organisaties vallen onder de nieuwe NIS2-richtlijn?
NIS2 wordt in oktober 2024 van kracht en er is dus nog 12 maanden te gaan om te zorgen dat jouw organisatie er klaar voor is! In dit blog antwoord op de belangrijke vraag welke organisaties onder de NIS2-richtlijn vallen en welke organisaties daar niet onder vallen.
De NIS2-richtlijn heeft betrekking op organisaties die als essentieel worden beschouwd voor het functioneren van de maatschappij en de economie. Deze organisaties worden aangeduid als "leveranciers van essentiële of belangrijke diensten". Een simpele schifting is te maken op basis van onderstaande lijst met daarbij de volgende stelregel:
Onder NIS2 vallen alle organisaties met meer dan 50 medewerkers OF een jaaromzet en balanstotaal van meer dan € 10 miljoen, die vallen in een van de onderstaande branches:
- Waste management
- Waste water
- Banking
- ICT service administrators
- Chemicals
- Digital infrastructure
- Digital providers
- Drinking water
- Energy
- Health care
- Financial market infrastructure
- Foodstuffs
- Research
- Government services
- Postal and courier services
- Space travel
- Transportation
- Trust services
- Manufacturing
Afhankelijk van de grootte, omzet en branche wordt een organisatie als ‘essentieel” of “belangrijk” aangemerkt. Essentiële entiteiten vallen onder een intensiever regime van toezicht namelijk zowel vooraf als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht dat alleen achteraf plaatsvindt bijvoorbeeld als er aanwijzingen voor niet-naleving van de wet zijn of als er een incident heeft plaatsgevonden.,
Organisaties die niet onder de NIS2-richtlijn vallen
Niet alle organisaties vallen dus onder de NIS2-richtlijn. Enkele voorbeelden van organisaties die buiten het toepassingsgebied vallen:
- Small and medium-sized enterprises that do not fall under the above sectors
- Non-digital companies that do not provide essential services and do not offer digital services
- Government agencies not considered essential to the functioning of society and the economy
- Individual users of networks and information systems
Kritieke entiteit of ketenleverancier
Er zijn twee uitzonderingen op de bovenstaande inschaling. Aan de hand van een (nog uit te voeren) risicobeoordeling kunnen organisaties vanuit de verschillende betrokken ministeries alsnog als kritieke entiteit worden aangewezen. Daarbij wordt in ieder geval gekeken naar de mate waarin een organisatie een dienst verleent die onmisbaar is voor het functioneren van maatschappelijke functies en/of economische activiteiten. Indien een organisatie is aangewezen als kritieke entiteit, dan wordt de organisatie hierover geïnformeerd door het verantwoordelijke ministerie. Dit gebeurt zo snel mogelijk na de inwerkingtreding van de wet (na oktober 2024).
Daarnaast is er nog een significante opzet van de richtlijn waardoor (veel) meer organisaties onder de NIS2 vallen. De NIS2 richt zich namelijk op de gehele toevoerketen. Dus ook op organisaties die zelf niet onder de NIS2 vallen, maar wel toeleverancier zijn van organisaties die wel onder die noemer vallen. Je zult dus in kaart moet brengen of jouw ketenpartners wellicht wel in deze categorie vallen. In al dat geval moet je dus alsnog voldoen aan NIS2.
Passende maatregelen
The NIS2 Directive aims to improve the security of networks and information systems and to ensure the resilience of society and the economy. It is crucial that organisations covered by the Directive take appropriate measures to ensure the security of their networks and information systems and to address potential cyber threats.
Wil je weten of je onder NIS2 valt, en zo ja, onder welke categorie? Doe hieronder de online NIS2-test
Start de test!