Niet alleen is het belangrijk om te weten wat de NIS2 inhoudt, maar ook of uw organisatie ermee te maken krijgt. De NIS2-richtlijn richt zich op sectoren die eerder al onder de NIS-richtlijn vielen, maar ook op een aantal nieuwe sectoren. Daarin heeft de overheid een verdeling gemaakt in Zeer kritieke sectoren en Andere kritieke sectoren. Maar tot welke sector behoort u en is dat de enige criteria om aan de NIS2-richtlijn te moeten voldoen?
Er is meer
Niet alleen de sector waarin een organisatie actief is, maar ook de grootte ervan bepaalt of een organisatie onder de NIS2-richtlijn komt te vallen. Daarvoor zijn twee categorieën in het leven geroepen met duidelijke criteria:
Een grote organisatie heeft:
- Minimaal 250 personen in dienst
OF
- Een jaaromzet van meer dan 50 miljoen euro, en een balanstotaal van meer de 43 miljoen euro
Een middelgrote organisatie heeft:
- Minimaal 50 personen in dienst
OF
- Een jaaromzet van meer dan 10 miljoen euro en een balanstotaal van meer dan 10 miljoen euro
Aan de behulp van bovenstaande criteria wordt vervolgens gekeken in welke sector een organisatie valt. Zoals eerder genoemd zijn er twee sectoren die bepalen of u zich aan de richtlijn moet houden:
Zeer kritieke sectoren | Andere kritieke sectoren |
| Energie | Digitale aanbieders |
| Transport | Post- en koeriersdiensten |
| Bankwezen | Afvalstoffenbeheer |
| Infrastructuur financiële markt | Levensmiddelen |
| Gezondheidszorg | Chemische stoffen |
| Drinkwater | Onderzoek |
| Digitale infrastructuur | Vervaardiging / manufacturing |
| Beheerders van ICT-diensten | |
| Afvalwater | |
| Overheidsdiensten | |
| Lokale overheden | |
| Ruimtevaart |
Hoe zit dat met micro- en kleinbedrijven?
Heeft u een kleinbedrijf? Dan valt u in principe niet onder de NIS2-richtlijn. Ook met een microbedrijf is dit de regel. Toch kan daar nog een wijziging in komen. Het is namelijk zo dat de vakminister (minister die verantwoordelijk is voor een bepaalde sector) ervoor kan kiezen om een micro- of kleinbedrijf alsnog onder de richtlijn te laten vallen op basis van een risicobeoordeling.
En er zijn nog een aantal uitzonderingen. Zo vallen de sector Overheid, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners en verleners van domeinnaamregistratiediensten hoe dan ook onder de NIS2-richtlijn. Voor deze organisaties geldt dat het niet uitmaakt wat de omvang is en hoe dan ook onder de Cyberbeveiligingswet komen te vallen. (Bron: NCTV)
Zoals u merkt, staat het al vast welke organisaties sowieso te maken krijgen met de NIS2-richtlijn, maar nog niet welke organisaties erbuiten vallen. Dit komt doordat de richtlijn nog vertaald wordt naar de Nederlandse wetgeving en vakministers nog mogen bepalen of een micro- of kleinbedrijf wel of niet onder de richtlijn valt.
Mocht het voor u onduidelijk zijn of u te maken krijgt met de NIS2, dan kunt u voor meer informatie gerust contact opnemen met een van onze medewerkers via 0251-278990 of via info@dseit.nl.