Welke organisaties vallen onder de nieuwe NIS2-richtlijn?

De NIS2-richtlijn heeft betrekking op organisaties die als essentieel worden beschouwd voor het functioneren van de maatschappij en de economie. Deze organisaties worden aangeduid als "leveranciers van essentiële of belangrijke diensten". Een simpele schifting is te maken op basis van onderstaande lijst met daarbij de volgende stelregel:

Onder NIS2 vallen alle organisaties met meer dan 50 medewerkers OF een jaaromzet en balanstotaal van meer dan € 10 miljoen, die vallen in een van de onderstaande branches:

Afhankelijk van de grootte, omzet en branche wordt een organisatie als ‘essentieel” of “belangrijk” aangemerkt. Essentiële entiteiten vallen onder een intensiever regime van toezicht, namelijk zowel vooraf als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht dat alleen achteraf plaatsvindt bijvoorbeeld als er aanwijzingen voor niet-naleving van de wet zijn of als er een incident heeft plaatsgevonden.

Organisaties die niet onder de NIS2-richtlijn vallen

Niet alle organisaties vallen dus onder de NIS2-richtlijn. Enkele voorbeelden van organisaties die buiten het toepassingsgebied vallen:

• Kleine en middelgrote ondernemingen die niet onder de bovenstaande branches vallen
• Niet-digitale bedrijven die geen essentiële diensten verlenen en geen digitale diensten aanbieden
• Overheidsinstanties die niet als essentieel worden beschouwd voor het functioneren van de maatschappij en de economie
• Individuele gebruikers van netwerken en informatiesystemen

Kritieke entiteit of ketenleverancier

Er zijn twee uitzonderingen op de bovenstaande inschaling. Aan de hand van een (nog uit te voeren) risicobeoordeling kunnen organisaties vanuit de verschillende betrokken ministeries alsnog als kritieke entiteit worden aangewezen. Daarbij wordt in ieder geval gekeken naar de mate waarin een organisatie een dienst verleent die onmisbaar is voor het functioneren van maatschappelijke functies en/of economische activiteiten. Indien een organisatie is aangewezen als kritieke entiteit, dan wordt de organisatie hierover geïnformeerd door het verantwoordelijke ministerie. Dit gebeurt zo snel mogelijk na de inwerkingtreding van de wet (na oktober 2024).

Daarnaast is er nog een significante opzet van de richtlijn waardoor (veel) meer organisaties onder de NIS2 vallen. De NIS2 richt zich namelijk op de gehele toevoerketen. Dus ook op organisaties die zelf niet onder de NIS2 vallen, maar wel toeleverancier zijn van organisaties die wel onder die noemer vallen. Je zult dus in kaart moet brengen of jouw ketenpartners wellicht wel in deze categorie vallen. In al dat geval moet je dus alsnog voldoen aan NIS2.

Passende maatregelen

De NIS2-richtlijn heeft tot doel de beveiliging van netwerken en informatiesystemen te verbeteren en de veerkracht van de maatschappij en de economie te waarborgen. Het is van cruciaal belang dat organisaties die onder de richtlijn vallen, passende maatregelen treffen om de beveiliging van hun netwerken en informatiesystemen te waarborgen en mogelijke cyberdreigingen het hoofd te bieden.