In oktober 2024 moet de Europese NIS2-richtlijn voor cybersecurity zijn opgenomen in de Nederlandse wet. De NIS2-richtlijn dwingt organisaties in tal van sectoren om maatregelen te treffen die de cybersecurity naar een hoger niveau tillen. Ook de IT-sector wordt geraakt.

Van NIS1 naar NIS2

De Europese Network & Information Security Directive (NIS2) is de opvolger van de NIS1-richtlijn. De NIS1 was de eerste richtlijn, die gericht is op een versterking van de digitale en economische weerbaarheid van Europese lidstaten.

in Nederland is de NIS1 ook wel bekend als de NIB, die is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

Waar de NIS1 van toepassing is op grote overheden en ‘vitale’ bedrijven, heeft de NIS2-richtlijn een veel breder toepassingsgebied. Ook worden er strenge, aanvullende eisen gesteld.

Op deze sectoren is de NIS2-richtlijn van toepassing

Onder de NIS2-richtlijn vallen veel meer sectoren, dan onder de NIS1-richtlijn. De IT-sector wordt zeker ook geraakt door de nieuwe richtlijn. Zo vallen ‘beheerders van ICT-diensten’ en de ‘digitale infrastuur’ onder de sectoren waarop de NIS2 van toepassing is.

Hieronder vindt u een overzicht van alle sectoren die onder de NIS2-richtlijn vallen.

Let op!

Organisaties binnen deze sectoren vallen automatisch onder de NIS2-richtlijn als ze ook als ‘essentieel’ of ‘belangrijk’ kunnen worden aangemerkt.

Hoe weet u of een organisatie ‘essentieel’ of ‘belangrijk’ is?

Daarvoor zijn criteria opgesteld. Deze vindt u hieronder.

Criteria ‘essentiële’ organisaties

Hieronder vallen organisaties die:

  • door de CER-richtlijn zijn aangewezen als kritieke entiteit.

  • als groot bestempeld worden door de NIS2-richtlijn én binnen een sector uit bijlage I van de NIS2-richtlijn vallen (zie tabel).

Criteria ‘belangrijke’ organisaties

Hieronder vallen organisaties die:

  • als middelgroot bestempeld worden door NIS2-richtijn én binnen een sector uit bijlage I van de NIS2-richtlijn vallen (zie tabel).

  • als middelgroot of groot bestempeld worden door de NIS2-richtlijn én binnen een sector uit bijlage II van de NIS2-richtlijn vallen (zie tabel).

Definitie grote en middelgrote organisatie

De definitie van een grote organisatie volgens de NIS2:

  • minimaal 250 werknemers of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

De definitie van een middelgrote organisatie volgens de NIS2:

  • minimaal 50 werknemers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Checken of u onder NIS2-richtlijn valt?

De Rijksinspectie Digitale Infrastructuur (RDI) heeft een vragenlijst ontwikkeld waarmee organisaties zelf kunnen evalueren of ze onder de NIS2-richtlijn vallen.

Door middel van deze zelf-evaluatie kunt u bepalen of de NIS2-richtlijn van toepassing is op uw organisatie, of uw organisatie ‘essentieel’ of ‘belangrijk’ is en of uw organisatie onder Nederlands toezicht valt.

Let op: ook indirecte impact mogelijk!

Levert u producten of diensten aan een organisatie die aan de NIS2-richtlijn moet voldoen?

Dan is het waarschijnlijk dat uw klant de eisen uit deze richtlijn aan u door vertaald. Mocht u zelf dus niet onder de richtlijn vallen, dan is het wel verstandig om te inventariseren of uw klanten mogelijk wel moeten voldoen aan de nieuwe eisen. Bereidt uw organisatie hier dan ook tijdig op voor.

Volgende week: deze verplichtingen brengt de NIS2-richtlijn met zich mee

In de blog volgende week zoomen we in op de verplichtingen die de NIS2-richtlijn voorschrijft. Van meldplicht tot zorgplicht: we laten u zien welke consequenties de nieuwe richtlijn met zich meebrengt.

Zeker weten dat u niks mist?

Meldt u zich dan aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.