Met de inwerkingtreding van de NIS2-richtlijn en de implementatie daarvan in de Nederlandse Cyberbeveiligingswet (Cbw) worden organisaties verplicht hun digitale weerbaarheid structureel te organiseren. Voor organisaties met complexe bedrijfsmodellen – zoals concerns, holdings, franchiseorganisaties en internationale groepen – is naleving extra uitdagend.

Om deze organisaties te ondersteunen heeft de overheid een specifieke Handreiking voor organisaties met complexe bedrijfsmodellen gepubliceerd. De handreiking biedt hulp bij het bepalen of deze organisaties onder de Cyberbeveiligingswet vallen óf dat zij onder de nationale wetgeving van een andere Europese lidstaat vallen. Deze handreiking geeft praktische richting aan vragen zoals, wie waarvoor verantwoordelijk is en welke stappen moeten worden gezet.

Wat verstaat de handreiking onder een complex bedrijfsmodel?

Volgens de handreiking is er sprake van een complex bedrijfsmodel wanneer:

  • meerdere juridische entiteiten betrokken zijn bij essentiële of belangrijke diensten;

  • IT-systemen en beveiliging centraal of gedeeld zijn georganiseerd;

  • taken zijn uitbesteed aan groepsmaatschappijen of externe dienstverleners;

  • er internationale structuren aanwezig zijn.

De kern is dat iedere afzonderlijke entiteit zelfstandig aan de NIS2-richtlijn moet voldoen, ook als processen centraal zijn ingericht.

De handreiking: 2 stappen

De handreiking beschrijft een stapsgewijze aanpak. Deze stappen zijn cruciaal voor organisaties met meerdere entiteiten en gedeelde verantwoordelijkheden. Vervolgens worden er in de handreiking 5 casussen doorlopen. Daarin worden verschillende structuren besproken. Zoals de situatie van een organisatie met meerdere entiteiten in verschillende EU-lidstaten, met de hoofdvestiging in Nederland of juist in een ander EU-lidstaat, een organisatie met meerdere entiteiten in zowel EU-lidstaten als landen buiten de EU, etc.

Stap 1: Identificeer welke entiteiten onder NIS2 vallen

Organisaties moeten vaststellen:

  • welke entiteiten kwalificeren als essentiële of belangrijke entiteit;

  • welke diensten zij leveren;

  • in welke sector zij actief zijn.

Dit vereist een juridische analyse per entiteit, niet alleen op concernniveau.

Een holding kan bijvoorbeeld zelf onder NIS2 vallen, maar ook verantwoordelijk zijn voor dochterondernemingen die kritieke diensten leveren.

Stap 2: Bepaal onder welke nationale wetgeving de organisatie valt

Zodra is vastgesteld dat de organisatie kan worden aangemerkt als een essentiële entiteit óf een belangrijke entiteit, kan er worden bepaald of de organisatie onder de Cyberbeveiligingswet valt of onder de nationale implementatiewetgeving van een andere Europese lidstaat. Hiervoor kan de jurisdictietabel worden geraadpleegd die in de handreiking is opgenomen.

Hoofdregel

Een entiteit valt onder de Cyberbeveiligingswet wanneer:

  • de vestigingsplaats zich in Nederland bevindt, én

  • de entiteit diensten verleent of activiteiten verricht in Nederland óf een andere lidstaat van de EU.

Uitzondering voor digitale dienstverleners

Digitale dienstverleners kunnen een essentiële entiteit óf een belangrijke entiteit zijn. Dit is afhankelijk van het soort entiteit en de omvang van de entiteit.
Voor digitale dienstverleners geldt de belangrijkste uitzondering op de hoofdregel, want voor deze entiteiten wordt gekeken naar de vestigingsplaats van de hoofdvestiging óf de vertegenwoordiger:

  • Bevindt de hoofdvestiging of vertegenwoordiger zich in Nederland, dan valt de entiteit onder de Cyberbeveiligingswet.

  • Bevindt de hoofdvestiging of de vertegenwoordiger zich buiten Nederland, dan valt de entiteit niet onder de Cyberbeveiligingswet, maar onder de nationale implementatiewetgeving van een andere Europese lidstaat. Die wetgeving kan inhoudelijk verschillen van de Cyberbeveiligingswet.

Het kan zijn dat meerdere jurisdictieregelingen gelijktijdig van toepassing zijn, wanneer een organisatie onder meerdere categorieën valt.

Organiseer incidentmelding en toezicht

De handreiking besteedt ook aandacht aan de meldplicht. Bij welke organisatie er melding moet worden gedaan, is afhankelijk van onder welke wetgeving de organisatie valt. Indien meerdere Cyberbeveiligingswetplichtige entiteiten binnen de organisatie door hetzelfde incident worden geraakt, moet elke entiteit die onder de Cyberbeveiligingswet valt afzonderlijk een melding doen in Nederland.

Conclusie

De handreiking voor organisaties met complexe bedrijfsmodellen biedt waardevolle praktische ondersteuning bij de toepassing van de NIS2-richtlijn en de Cyberbeveiligingswet. Voor organisaties met meerdere entiteiten, internationale structuren en gedeelde IT-voorzieningen is het essentieel om per entiteit vast te stellen of zij onder NIS2 vallen en welke nationale wetgeving van toepassing is. Door tijdig inzicht te krijgen in de juridische positie, verantwoordelijkheidsverdeling en meldplichtstructuur kunt u de cyberweerbaarheid binnen uw organisatie gericht organiseren.

Meer weten over NIS2 en de Cyberbeveiligingswet met betrekking tot uw organisatie?

Neem vandaag nog vrijblijvend contact op en bespreek uw situatie.
Klik op onderstaande button en wij nemen contact met u op. Of bel ons direct op telefoonnummer 010-2290646.

neem contact op