Bent u in scope? Een praktische gids voor NIS2 Essentiële versus Belangrijke Entiteiten

De NIS2-richtlijn verbreedt de reikwijdte van Europese entiteiten die hun cyberbeveiligingshouding moeten versterken aanzienlijk. Voor CISO’s, IT-leiders en Compliance Officers is het definitief vaststellen of uw organisatie onder NIS2 valt – en zo ja, in welke categorie – de cruciale eerste stap naar compliance. Een verkeerde interpretatie van uw status kan leiden tot zware sancties, operationele verstoringen en reputatieschade.

Deze gids doorbreekt de complexiteit van NIS2 en biedt een helder, bruikbaar kader voor zelfbeoordeling. NIS2 gaat verder dan de traditionele focus op Exploitanten van Essentiële Diensten (EED’s) van de oorspronkelijke NIS-richtlijn. Het omvat nu een breder scala aan sectoren en digitale dienstverleners, met expliciete criteria voor classificatie. Het begrijpen van deze onderscheidingen gaat niet alleen over het vermijden van boetes; het gaat over het proactief versterken van uw cyberweerbaarheid in een steeds meer verbonden en bedreigd digitaal landschap.

Het kernprincipe: Proportionaliteit in cyberbeveiliging

In de kern past NIS2 een principe van proportionaliteit toe op cyberbeveiligingsverplichtingen. Hoewel alle in-scope entiteiten robuuste maatregelen voor cyberbeveiligingsrisicobeheer moeten implementeren, verschilt het niveau van toezicht en de potentiële sancties op basis van de kritische aard van een organisatie voor de economie en de samenleving. De richtlijn categoriseert entiteiten in twee hoofdtypen: “Essentiële entiteiten” en “Belangrijke entiteiten”.

Het is van vitaal belang te begrijpen dat dit onderscheid primair van invloed is op toezicht en handhaving, niet op de inhoud van de vereiste beveiligingsmaatregelen. Zowel Essentiële als Belangrijke entiteiten moeten een uitgebreide reeks maatregelen voor cyberbeveiligingsrisicobeheer nemen. Deze omvatten onder meer beleid inzake risicoanalyse en informatiesysteembeveiliging, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen en het gebruik van meervoudige authenticatie.

De belangrijkste verschillen liggen in:

  • Toezicht: Essentiële entiteiten worden geconfronteerd met strenger, proactief toezicht door nationale autoriteiten, inclusief regelmatige audits en inspecties. Belangrijke entiteiten zijn onderworpen aan lichter, reactief toezicht, waarbij autoriteiten primair ingrijpen na een incident of bij bewijs van niet-naleving.
  • Sancties: Hoewel beide worden geconfronteerd met substantiële sancties voor niet-naleving, zijn de maximale boetes voor Essentiële entiteiten hoger.

Definitie van “Essentiële entiteiten” (Bijlage I) met sectorvoorbeelden

Essentiële entiteiten zijn organisaties die actief zijn in hoogkritieke sectoren waar een verstoring van de diensten aanzienlijke grensoverschrijdende of maatschappelijke gevolgen zou hebben. Deze entiteiten zijn opgenomen in Bijlage I van de NIS2-richtlijn en zijn onderworpen aan het strengste toezichtsregime. Het zijn doorgaans grotere organisaties, maar specifieke criteria kunnen ook kleinere entiteiten in deze categorie plaatsen volgens nationale wetgeving.

De belangrijkste kenmerken van Essentiële entiteiten zijn:

  • Hoge afhankelijkheid van andere kritieke sectoren van hun diensten.
  • Potentieel voor wijdverspreide verstoring die de openbare veiligheid, beveiliging of economische stabiliteit beïnvloedt.
  • Proactieve en uitgebreide toezichtsbevoegdheden uitgeoefend door nationale bevoegde autoriteiten (in Nederland het NCSC).

Sectoren die zijn geclassificeerd onder Bijlage I (Essentiële entiteiten) omvatten:

  • Energie: Elektriciteit, stadsverwarming en -koeling, olie, gas, waterstof.
    • Voorbeelden: Elektriciteitsproducenten, transmissiesysteembeheerders, gasleveranciers, olie- en gasexploratie- en productiebedrijven.
  • Vervoer: Lucht-, spoor-, water-, wegvervoer.
    • Voorbeelden: Luchtvaartmaatschappijen, exploitanten van luchthavens, spoorwegondernemingen, havenautoriteiten, maritieme transportdiensten, verkeersmanagementautoriteiten.
  • Bankwezen: Kredietinstellingen.
    • Voorbeelden: Retailbanken, investeringsbanken.
  • Financiële marktinfrastructuren: Handelsplatformen, centrale tegenpartijen.
    • Voorbeelden: Effectenbeurzen, clearinginstellingen.
  • Gezondheid: Zorgverleners.
    • Voorbeelden: Ziekenhuizen, klinieken, farmaceutische fabrikanten, EU-referentielaboratoria.
  • Drinkwater: Leveranciers en distributeurs van drinkwater.
    • Voorbeelden: Openbare en particuliere waterleidingbedrijven.
  • Afvalwater: Verzamelaars en distributeurs van stedelijk afvalwater.
    • Voorbeelden: Afvalwaterzuiveringsinstallaties, exploitanten van rioleringssystemen.
  • Digitale infrastructuur: DNS-dienstverleners, TLD-naamregisters, cloudcomputingsdienstverleners, datacenterdienstverleners, contentdistributienetwerken, vertrouwensdienstverleners, elektronische communicatienetwerken en elektronisch geleverde openbare communicatiediensten.
    • Voorbeelden: Grote internetproviders (ISP’s), cloud-hyperscalers, grote datacenteroperators, domeinnaamregistratoren.
  • ICT-dienstbeheer (B2B): Managed service providers (MSP’s), managed security service providers (MSSP’s).
    • Voorbeelden: Bedrijven die uitbesteding van IT-infrastructuurbeheer, cyberbeveiligingsmonitoringdiensten leveren.
  • Openbaar bestuur: Centraal openbaar bestuur, regionaal openbaar bestuur.
    • Voorbeelden: Ministeries, regionale bestuursorganen. (Exclusief rechterlijke, wetgevende en centrale banken).
  • Ruimte: Exploitanten van grondgebaseerde infrastructuur.
    • Voorbeelden: Satellietexploitanten, grondstations controlecentra.

Niet-naleving voor Essentiële entiteiten kan leiden tot administratieve boetes van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Definitie van “Belangrijke entiteiten” (Bijlage II) met sectorvoorbeelden

Belangrijke entiteiten opereren in andere kritieke sectoren waar een verstoring, hoewel significant, mogelijk niet dezelfde onmiddellijke, wijdverspreide of grensoverschrijdende gevolgen heeft als die van Essentiële entiteiten. Deze zijn opgenomen in Bijlage II van de NIS2-richtlijn. Ze zijn onderworpen aan dezelfde cyberbeveiligingsrisicobeheerverplichtingen als Essentiële entiteiten, maar met een meer reactieve toezichtsbenadering.

De belangrijkste kenmerken van Belangrijke entiteiten zijn:

  • Diensten die van vitaal belang zijn voor bepaalde segmenten van de economie of de samenleving, maar misschien met gemakkelijk beschikbare alternatieven of een meer gelokaliseerde impact.
  • Reactieve toezichtsbenadering, vaak geactiveerd door incidenten of klachten.

Sectoren die zijn geclassificeerd onder Bijlage II (Belangrijke entiteiten) omvatten:

  • Post- en koeriersdiensten: Postdienstverleners.
    • Voorbeelden: Nationale postdiensten, grote particuliere koeriersbedrijven.
  • Afvalbeheer: Afvalbeheerentiteiten.
    • Voorbeelden: Grootschalige afvalinzameling-, verwerkings- en verwijderingsbedrijven.
  • Productie van bepaalde kritieke producten: Medische hulpmiddelen, computers, elektronica, optische producten, elektrische apparatuur, machines, motorvoertuigen, andere transportmiddelen.
    • Voorbeelden: Fabrikanten van kritieke medische apparatuur, auto-onderdelen, geavanceerde elektronica.
  • Productie, verwerking en distributie van levensmiddelen: Levensmiddelenbedrijven.
    • Voorbeelden: Grootschalige voedselverwerkingsbedrijven, grote voedseldistributeurs.
  • Digitale aanbieders: Online marktplaatsen, online zoekmachines, sociale netwerkplatformen.
    • Voorbeelden: Grote e-commerceplatforms, prominente zoekmachines, grote sociale mediaplatforms. (Opmerking: deze verschillen van de categorie “Digitale infrastructuur”).
  • Onderzoek: Onderzoeksinstellingen.
    • Voorbeelden: Universiteiten die kritiek onderzoek uitvoeren, gespecialiseerde onderzoeksinstellingen.

Niet-naleving voor Belangrijke entiteiten kan leiden tot administratieve boetes van maximaal 7 miljoen euro of 1,4% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

De omvangscriteria: Bent u een middelgrote of grote onderneming?

Naast de sectorspecifieke classificaties is NIS2 primair van toepassing op entiteiten die volgens EU-wetgeving als “middelgrote” of “grote” ondernemingen worden beschouwd. Deze omvangscriteria zijn een cruciaal filter voor het bepalen van de reikwijdte.

Volgens de EU-definitie:

  • Middelgrote onderneming: Heeft minder dan 250 werknemers EN een jaaromzet van maximaal 50 miljoen euro OF een jaarlijkse balanstotaal van maximaal 43 miljoen euro.
  • Grote onderneming: Heeft 250 of meer werknemers OF een jaaromzet van meer dan 50 miljoen euro EN een jaarlijkse balanstotaal van meer dan 43 miljoen euro.

Belangrijke uitzonderingen op de omvangscriteria:

Zelfs als een entiteit wordt beschouwd als een “micro-” of “kleine” onderneming (minder dan 50 werknemers EN jaaromzet of balanstotaal van maximaal 10 miljoen euro), kan deze toch binnen de reikwijdte van NIS2 vallen als deze aan specifieke criteria voldoet. Dit omvat:

  • De enige aanbieder zijn in een lidstaat van een dienst die essentieel is voor het in stand houden van kritieke maatschappelijke of economische activiteiten.
  • Een kritieke dienst exploiteren waarbij een verstoring een aanzienlijke systemische impact zou kunnen hebben.
  • Een overheidsinstantie zijn (op centraal of regionaal niveau).
  • Een entiteit zijn waarvan de diensten van cruciaal belang zijn vanwege hun specifieke aard, ongeacht de omvang (bv. vertrouwensdienstverleners, DNS-dienstverleners).
  • Entiteiten die deel uitmaken van een kritieke toeleveringsketen naar een Essentiële of Belangrijke entiteit.

Nationale autoriteiten in elke lidstaat (in Nederland het NCSC) hebben de discretionaire bevoegdheid om specifieke entiteiten als in-scope aan te wijzen, ongeacht hun omvang, indien hun diensten als essentieel worden beschouwd. Het is daarom cruciaal om nationale omzettingswetten en richtlijnen van nationale cyberbeveiligingsinstanties (zoals het NCSC) in uw operationele landen te monitoren.

Een grondige zelfbeoordeling, rekening houdend met zowel uw sector als uw organisatiegrootte, samen met eventuele specifieke nationale aanwijzingen, is onmisbaar voor een nauwkeurige bepaling van de NIS2-reikwijdte.

Hoe Nistra u helpt uw reikwijdte te bepalen

Het bepalen van uw exacte NIS2-classificatie kan complex zijn en omvat een gedetailleerde analyse van uw sector, omvang, operationele afhankelijkheden en nationale nuances. Fouten in deze initiële beoordeling kunnen leiden tot misplaatste inspanningen, compliance-hiaten of onnodige overhead.

Nistra’s AI-gestuurde platform vereenvoudigt deze kritieke eerste stap. Onze Gratis NIS2 Compliance Assessment begeleidt u door een gestructureerde vragenlijst, waarin de nieuwste sectordefinities van Bijlage I en Bijlage II, de EU-omvangscriteria en belangrijke uitzonderingen zijn opgenomen. Het maakt gebruik van actuele informatie over nationale omzettingen, waar beschikbaar, en biedt een duidelijke, op feiten gebaseerde bepaling of uw organisatie onder NIS2 valt en of deze is geclassificeerd als een Essentiële of Belangrijke entiteit.

Met Nistra kunt u:

  • Een definitief begrip krijgen van uw NIS2-reikwijdte en entiteitstype.
  • Specifieke criteria identificeren die uw organisatie in scope plaatsen.
  • Een op maat gemaakt overzicht ontvangen van de initiële compliance-vereisten die relevant zijn voor uw classificatie.

Elimineer giswerk en leg een solide basis voor uw NIS2-traject.

Vraag uw gratis NIS2 Compliance Assessment aan.

Citations:

Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS2-richtlijn). Publicatieblad van de Europese Unie. L 333/80. (Toegankelijk via EUR-Lex: https://eur-lex.europa.eu/eli/dir/2022/2555/oj)

Nationaal Cyber Security Centrum (NCSC). “NIS2 Richtlijn en de Cyberbeveiligingswet (Cbw).” (Raadpleeg de officiële NCSC-website voor updates: https://www.ncsc.nl/)

Europese Commissie. “Aanbeveling van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (2003/361/EG).” (Toegankelijk via EUR-Lex: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32003H0361)

Europees Agentschap voor Cyberbeveiliging (ENISA). Officiële website en publicaties. (Raadpleeg www.enisa.europa.eu voor relevante richtlijnen.)

Related Posts