NIS2 (Richtlijn (EU) 2022/2555) verdeelt organisaties die onder de richtlijn vallen in twee regimes: 'essentieel' en 'belangrijk'. Dezelfde verplichtingen inzake risicobeheer en incidentmelding gelden voor beide categorieën, maar de toezicht- en sanctieregimes verschillen. Deze pagina beschrijft artikel 3 (de omvangsgrensregel), de omvangsonafhankelijke uitzonderingen en de toezichtssplitsing tussen artikel 32 (essentieel, ex-ante) en artikel 33 (belangrijk, ex-post).
De basisregel — artikel 3(1) en (2)
Artikel 3(1) classificeert als essentiële entiteiten de entiteiten van een type als bedoeld in Bijlage I die de plafonds voor middelgrote ondernemingen uit artikel 2(1) van de bijlage bij Aanbeveling 2003/361/EG van de Commissie overschrijden, plus een aantal omvangsonafhankelijke categorieën opgesomd in punten (b) tot en met (i) van artikel 3(1).
Artikel 3(2) classificeert als belangrijke entiteiten de entiteiten van een type als bedoeld in Bijlage I of Bijlage II die niet kwalificeren als essentiële entiteiten overeenkomstig lid 1 van artikel 3.
In de praktijk betekent dit: neem de sector (Bijlage I of II) en pas vervolgens de omvangsgrens uit Aanbeveling 2003/361/EG toe (de kmo-definitie: een middelgrote onderneming heeft minder dan 250 medewerkers en een jaaromzet van maximaal EUR 50 miljoen of een balanstotaal van maximaal EUR 43 miljoen). Boven de middelgrote grens én in Bijlage I → essentieel. Al het overige in Bijlage I of II dat ten minste middelgroot is → belangrijk.
Bijlage I — sectoren van hoge kritikaliteit
Bijlage I vermeldt de sectoren van hoge kritikaliteit, waaronder:
- Energie — elektriciteit, stadsverwarming en -koeling, olie, gas, waterstof.
- Vervoer — lucht, spoor, water, weg.
- Bankwezen.
- Financiëlemarktinfrastructuren.
- Volksgezondheid — zorgaanbieders, EU-referentielaboratoria, O&O van geneesmiddelen, fabrikanten van farmaceutische preparaten en medische hulpmiddelen die als kritiek worden beschouwd tijdens een volksgezondheidsnoodsituatie.
- Drinkwater.
- Afvalwater.
- Digitale infrastructuur — IXP's, DNS-dienstaanbieders, TLD-naamsregisters, aanbieders van cloudcomputingdiensten, aanbieders van datacenterdiensten, aanbieders van content-delivery-netwerkdiensten, verleners van vertrouwensdiensten, aanbieders van openbare elektronische-communicatienetwerken, aanbieders van openbaar beschikbare elektronische-communicatiediensten.
- ICT-dienstenbeheer (B2B) — beheerde dienstverleners en beheerde beveiligingsdienstverleners.
- Overheidsinstanties van de centrale overheid en, naar keuze, op regionaal niveau.
- Ruimtevaart.
Bijlage II — overige kritieke sectoren
Bijlage II vermeldt overige kritieke sectoren, waaronder:
- Post- en koeriersdiensten.
- Afvalbeheer.
- Vervaardiging, productie en distributie van chemische stoffen.
- Productie, verwerking en distributie van levensmiddelen.
- Productie — vervaardiging van medische hulpmiddelen en in-vitrodiagnostische medische hulpmiddelen; vervaardiging van computers, elektronische producten en optische producten; vervaardiging van elektrische apparatuur; vervaardiging van machines en apparaten, n.e.g.; vervaardiging van motorvoertuigen, aanhangwagens en opleggers; vervaardiging van overige transportmiddelen.
- Digitale aanbieders — aanbieders van onlinemarktplaatsen, onlinesoekmachines en platformen voor sociale netwerken.
- Onderzoeksorganisaties.
Bijlage II-entiteiten die de grens van de middelgrote onderneming bereiken of overschrijden, vallen standaard onder de categorie belangrijk, tenzij een omvangsonafhankelijke grond in artikel 3(1) hen naar essentieel tilt.
De omvangsonafhankelijke uitzonderingen — artikel 3(1)(b)–(i)
Artikel 3(1) classificeert ook de volgende entiteiten als essentieel, ongeacht hun omvang:
- gekwalificeerde verleners van vertrouwensdiensten en TLD-naamsregisters, alsook DNS-dienstaanbieders, ongeacht hun omvang;
- aanbieders van openbare elektronische-communicatienetwerken of van openbaar beschikbare elektronische-communicatiediensten die kwalificeren als middelgrote onderneming overeenkomstig artikel 2 van de bijlage bij Aanbeveling 2003/361/EG;
- overheidsinstanties van de centrale overheid als gedefinieerd door een lidstaat overeenkomstig het nationale recht;
- elke andere entiteit van een type als bedoeld in Bijlage I of II die door een lidstaat wordt aangemerkt als essentiële entiteit overeenkomstig artikel 2(2)(b) tot en met (e);
- als kritieke entiteiten aangemerkte entiteiten op grond van Richtlijn (EU) 2022/2557 (CER-richtlijn);
- entiteiten die diensten voor domeinnaamregistratie aanbieden, indien de lidstaat daartoe besluit.
Lidstaten kunnen entiteiten verder aanwijzen op grond van artikel 2(2), ongeacht hun omvang, bijvoorbeeld wanneer de entiteit de enige aanbieder in een lidstaat is van een dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten.
Toezichtregime — essentieel versus belangrijk
- Essentiële entiteiten — artikel 32 ex-ante-toezicht. Bevoegde autoriteiten kunnen inspecties ter plaatse en toezicht op afstand uitvoeren, waaronder steekproeven, regelmatige en gerichte beveiligingsaudits, ad-hocaudits, beveiligingsscans, verzoeken om informatie die nodig is voor de beoordeling van cyberbeveiligingsmaatregelen, en verzoeken om toegang tot gegevens, documenten en informatie.
- Belangrijke entiteiten — artikel 33 ex-post-toezicht. Bevoegde autoriteiten oefenen toezicht uit wanneer er bewijs, aanwijzingen of informatie bestaat dat een belangrijke entiteit niet in overeenstemming met de richtlijn handelt. De instrumenten zijn vergelijkbaar met artikel 32, maar worden achteraf ingezet.
Sancties — artikel 34
- Essentiële entiteiten — artikel 34(4): administratieve boetes van ten hoogste ten minste EUR 10 000 000 of van ten hoogste ten minste 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort, naargelang welk bedrag hoger is.
- Belangrijke entiteiten — artikel 34(5): administratieve boetes van ten hoogste ten minste EUR 7 000 000 of van ten hoogste ten minste 1,4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de belangrijke entiteit behoort, naargelang welk bedrag hoger is.
- Aansprakelijkheid van het hoger management — artikel 20. Bestuursorganen van essentiële en belangrijke entiteiten moeten de genomen cyberbeveiligingsrisicobeheermaatregelen ter naleving van artikel 21 goedkeuren, toezicht houden op de uitvoering ervan en kunnen aansprakelijk worden gesteld voor inbreuken overeenkomstig artikel 32(6) en artikel 33(5). Leden van het bestuursorgaan zijn verplicht een opleiding te volgen en dienen soortgelijke opleidingen op regelmatige basis voor hun medewerkers te stimuleren.
Dezelfde verplichtingen, verschillend toezicht
Zowel essentiële als belangrijke entiteiten zijn onderworpen aan dezelfde materiële verplichtingen: cyberbeveiligingsrisicobeheermaatregelen op grond van artikel 21 en incidentmelding op grond van artikel 23 (de 24-uur vroege waarschuwing, 72-uur incidentmelding, één maand eindverslag). Het verschil ligt in de manier waarop de bevoegde autoriteit op hen kan ingrijpen.
Veelvoorkomende misvattingen
- "Belangrijk betekent vrijblijvend." Belangrijke entiteiten vallen volledig onder de richtlijn. Zij zijn onderworpen aan ex-post-toezicht in plaats van routinematige ex-ante-audits.
- "Minder dan 50 medewerkers betekent buiten het toepassingsgebied." Verschillende categorieën in artikel 3(1) (gekwalificeerde verleners van vertrouwensdiensten, TLD-registers, DNS-aanbieders, centrale overheidsinstanties, aangewezen op grond van artikel 2(2)) zijn omvangsonafhankelijk.
- "NIS2 geldt alleen voor entiteiten die in de EU zijn gevestigd." Artikel 26 regelt jurisdictie en territorialiteit — DNS-aanbieders, TLD-registers, cloud, datacenters, CDN, beheerde dienstverleners, aanbieders van onlinemarktplaatsen, zoekmachines en sociale netwerken worden geacht te vallen onder de jurisdictie van de lidstaat waar zij hun hoofdvestiging in de Unie hebben en moeten mogelijk een vertegenwoordiger aanwijzen wanneer dat niet het geval is.
- "Alleen de IT-afdeling is aansprakelijk." Artikel 20(1) maakt het bestuursorgaan verantwoordelijk voor de goedkeuring en het toezicht op de risicobeheermaatregelen, met persoonlijke aansprakelijkheid.
Gerelateerde EU-gidsen
- EU AI Act-tijdlijn voor gebruiksverantwoordelijken
- EU AI Act-handhaving — wie heeft toezicht en hoe
- Menselijk toezicht — artikel 14
- Registratie en logging — artikel 12
- Datagovernance en biastesting — artikel 10
Bronnen
- Richtlijn (EU) 2022/2555 (NIS2), artikelen 2, 3, 20, 21, 23, 26, 32, 33, 34; Bijlage I; Bijlage II — EUR-Lex: https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Aanbeveling 2003/361/EG van de Commissie (kmo-definitie) — EUR-Lex: https://eur-lex.europa.eu/eli/reco/2003/361/oj
- ENISA — Overzicht NIS2-richtlijn: https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new
Noot: NIS2 is een richtlijn: het feitelijke toepassingsgebied, aanwijzingen op grond van artikel 2(2), handhavingsinstanties en boetedrempels zijn afhankelijk van de nationale omzetting door de lidstaat. Raadpleeg uw nationale NIS-autoriteit en uw omzettingswet voordat u op deze regel vertrouwt voor nalevingsbeslissingen.
PowerQuant Module 1
AI-inventaris plus een NIS2-toepassingsgebiedclassificatiedossier — sector Bijlage I of II, omvangstoets artikel 3, vaststelling essentieel/belangrijk — nuttig waar de AI Act en NIS2 overlappen voor hetzelfde HR-tech- of platformsysteem. Geleverd binnen 5 werkdagen. Vaste prijs, geen abonnement.