Logo

Voor wie is de NIS2 (Network and Information Security) richtlijn?

Cybersecurity
0
Voor wie is de NIS2 (Network and Information Security) richtlijn?

Voor wie is de NIS2 (Network and Information Security) richtlijn?

De NIS2-richtlijn is van toepassing op een breed scala aan organisaties die als cruciaal worden beschouwd voor de economie en de samenleving binnen de Europese Unie. De richtlijn maakt een onderscheid tussen “essentiële entiteiten” (essential entities – EE) en “belangrijke entiteiten” (important entities – IE), die beide aan verplichtingen moeten voldoen, hoewel het toezicht- en handhavingsregime voor essentiële entiteiten strenger is.

De richtlijn is over het algemeen van toepassing op middelgrote en grote organisaties binnen de gespecificeerde sectoren. Kleine en micro-ondernemingen vallen er meestal buiten, tenzij ze een hoog veiligheidsrisico vormen of een sleutelrol spelen in een sector.

Hier is een overzicht van de sectoren die onder de NIS2-richtlijn vallen:

Essentiële Entiteiten (Annex I van de richtlijn):

  • Energie: Elektriciteitsbedrijven, olie- en gasbedrijven, exploitanten van warmtenetten en koelsystemen, waterstofproducenten.

  • Vervoer: Luchtvaart, spoorwegvervoer, vervoer over water, wegvervoer.

  • Bankwezen: Kredietinstellingen.

  • Financiële-marktinfrastructuren: Exploitanten van handelsplatformen, centrale tegenpartijen.

  • Gezondheidszorg: Zorgaanbieders (ziekenhuizen, privéklinieken), EU-referentielaboratoria, bedrijven die onderzoek doen naar en ontwikkelen van medische producten, fabrikanten van farmaceutische basisproducten en kritieke medische hulpmiddelen.

  • Drinkwater: Leveranciers en distributeurs van drinkwater.

  • Afvalwater: Bedrijven die stedelijk, huishoudelijk en industrieel afvalwater verzamelen, behandelen en lozen.

  • Digitale infrastructuur: Internetknooppunten (IXP’s), DNS-dienstverleners (met uitzondering van root-DNS), TLD-naamregisters (topniveaudomein), aanbieders van clouddiensten, aanbieders van datacentrumdiensten, contentdistributienetwerken (CDN’s), vertrouwensdienstverleners, aanbieders van openbare elektronische-communicatienetwerken en -diensten.

  • ICT-dienstverlening (B2B): Aanbieders van beheerde diensten (managed services), aanbieders van beheerde beveiligingsdiensten (managed security services).

  • Overheid: Centrale en regionale overheidsinstanties (specifieke uitsluitingen kunnen van toepassing zijn voor nationale veiligheid, openbare orde, defensie of rechtshandhaving).

  • Ruimtevaart: Exploitanten van grondinfrastructuur voor ruimtediensten.

Belangrijke Entiteiten (Annex II van de richtlijn):

  • Post- en koeriersdiensten.

  • Afvalbeheer.

  • Vervaardiging, productie en distributie van chemische stoffen.

  • Productie, verwerking en distributie van levensmiddelen.

Vervaardiging/Productie van:

  • Medische hulpmiddelen.

  • Computers en elektronische en optische producten.

  • Elektrische apparatuur.

  • Machines en apparaten.

  • Motorvoertuigen, aanhangwagens en opleggers.

  • Andere transportmiddelen (bv. schepen, treinen).

  • Digitale aanbieders: Aanbieders van onlinemarktplaatsen, onlinezoekmachines en socialenetwerkplatforms.

  • Onderzoeksorganisaties (indien ze als kritiek worden beschouwd of onderzoek doen dat relevant is voor de in Annex I en II genoemde sectoren).

Omvangscriteria:

  • Hoofdregel: De NIS2 is van toepassing op middelgrote en grote ondernemingen binnen de genoemde sectoren.

  • Een middelgrote onderneming heeft doorgaans minder dan 250 werknemers en een jaaromzet van maximaal €50 miljoen of een balanstotaal van maximaal €43 miljoen.

  • Een grote onderneming overschrijdt deze drempels.

Uitzonderingen voor kleine en micro-ondernemingen: In principe vallen kleine bedrijven (minder dan 50 werknemers en een jaaromzet/balanstotaal van maximaal €10 miljoen) en microbedrijven (minder dan 10 werknemers) buiten de NIS2. Echter, ongeacht hun omvang kunnen kleinere bedrijven toch onder NIS2 vallen als:

  • Ze de enige aanbieder zijn van een dienst die essentieel is voor het behoud van kritieke maatschappelijke of economische activiteiten.

  • Een verstoring van hun dienstverlening een aanzienlijk systeemrisico of grensoverschrijdende impact kan hebben.

  • Ze van cruciaal belang zijn voor andere essentiële of belangrijke entiteiten.

  • Ze door de nationale overheid alsnog worden aangewezen vanwege hun specifieke belang voor de nationale veiligheid, openbare veiligheid of volksgezondheid.

NIS2 Cybersecurity Entiteiten
Commenting is only possible when logged in.
Inloggen

Reacties

Er zijn nog geen reacties op dit artikel geplaatst.