NIS2 (Richtlijn (EU) 2022/2555) heeft de cyberbeveiligingslat verhoogd voor middelgrote en grote entiteiten die actief zijn in kritieke en belangrijke sectoren. HR-tech-aanbieders worden doorgaans aangemerkt als aanbieders van digitale diensten; hun klanten kunnen onder het toepassingsgebied vallen via hun eigen sectorclassificatie, en beide partijen erven toeleveringsketenverplichtingen op grond van artikel 21(2)(d).
Basisprincipes van het toepassingsgebied
NIS2 maakt onderscheid tussen essentiële en belangrijke entiteiten. Entiteiten van een type dat is opgenomen in Bijlage I en die de drempelwaarden voor middelgrote ondernemingen overschrijden, zijn essentieel; entiteiten die zijn opgenomen in Bijlage I of Bijlage II en die niet kwalificeren als essentieel, zijn belangrijk. De omvangsgrenssregel sluit micro- en kleine ondernemingen uit (minder dan 50 medewerkers ÉN minder dan EUR 10 miljoen jaaromzet of balanstotaal), met een lijst van uitzonderingen voor entiteiten waarvan de verstoring systeemrisico's zou veroorzaken ongeacht hun omvang.
Positie van HR-tech
- HR-tech SaaS-aanbieders vallen doorgaans onder Bijlage II punt 6 (digitale aanbieders) wanneer zij boven de omvangsdrempel zitten — aangemerkt als belangrijke entiteiten.
- Klanten kunnen onder het toepassingsgebied vallen via hun eigen sector (bankwezen, energie, overheid, vervaardiging van kritieke producten, post, levensmiddelen, gezondheid, enz.) — in dat geval moeten zij NIS2-toeleveringsketenrisicobeheer toepassen op hun HR-tech-leverancier.
- Klanten buiten het toepassingsgebied kunnen contractueel toch toeleveringsketenverplichtingen ontvangen, omdat hun in-scope partners het risico van derden moeten beheren.
Cyberbeveiligingsrisicobeheermaatregelen artikel 21
Artikel 21(2) NIS2 vereist ten minste: beleid inzake risicoanalyse en beveiliging van informatiesystemen, incidentafhandeling, bedrijfscontinuïteit en crisismanagement, beveiliging van de toeleveringsketen, beveiliging bij aankoop, ontwikkeling en onderhoud, beleid om de effectiviteit te beoordelen, basisregels voor cyberhygiëne en opleiding, beleid inzake cryptografie, toegangscontrole, meervoudige authenticatie en beveiligde communicatie.
Incidentmelding — de 24/72-uurstermijn
- Binnen 24 uur nadat men een significant incident gewaar is geworden: vroege waarschuwing aan het CSIRT of de bevoegde autoriteit.
- Binnen 72 uur: incidentmelding met initiële beoordeling, ernst en impact.
- Binnen één maand: eindverslag met grondoorzaak, mitigatie en grensoverschrijdende impact.
Overlap met de EU AI Act
Verschillende verplichtingen uit de EU AI Act worden vervuld door hetzelfde bewijs als voor NIS2. Stel één set van beheersmaatregelen in en koppel die aan beide regimes.
- Risicobeheer: het risicobeheersysteem van artikel 9 van de AI Act voor hoog-risico-AI correspondeert met artikel 21(2)(a) NIS2.
- Cyberbeveiliging van het AI-systeem: artikel 15 van de AI Act (nauwkeurigheid, robuustheid, cyberbeveiliging) correspondeert met artikel 21(2)(e) en (i) NIS2.
- Beveiliging van de toeleveringsketen: de verplichtingen uit artikel 21(2)(d) NIS2 worden de hefboom waarmee klanten van HR-tech-aanbieders bewijs op grond van de AI Act kunnen eisen.
- Incidentmelding: de melding van ernstige incidenten voor hoog-risico-systemen op grond van artikel 73 van de AI Act loopt parallel aan de incidentmelding op grond van artikel 23 NIS2 — afzonderlijke autoriteiten, afzonderlijke termijnen, vaak overlappende feiten.
Sancties
Op grond van artikel 34 NIS2 riskeren essentiële entiteiten administratieve boetes van ten hoogste ten minste EUR 10 miljoen of, indien hoger, 2% van de totale wereldwijde jaaromzet. Belangrijke entiteiten: ten hoogste ten minste EUR 7 miljoen of, indien hoger, 1,4% van de omzet op grond van NIS2. Nationale implementaties kunnen hogere maxima vaststellen.
Wat als eerste te regelen
- Bevestig de in-scope-status (sector + omvang).
- Registreer bij de nationale bevoegde autoriteit (deadline verschilt per lidstaat).
- Keur een schriftelijk cyberbeveiligingsrisicobeheerbeleid goed en dateer het, waarbij artikel 21(2)(a)-(j) wordt gedekt.
- Voeg NIS2-toeleveringsketenbepalingen toe aan HR-tech-contracten (art. 21(2)(d)) en verzoek om een lijst van subverwerkers/subleveranciers en beveiligingsattestaties.
- Voer een tabletop-incidentmeldingsoefening uit op basis van de 24/72-uur/1-maandstijdlijn.
Gerelateerde EU-gidsen
- Vereisten voor AI-inventarisatie
- EU AI Act voor recruitment-AI
- Gebruiksverantwoordelijke versus aanbieder
- Boetes onder de EU AI Act
Bronnen
- Richtlijn (EU) 2022/2555 (NIS2), artikelen 2, 3, 21, 23, 34 — EUR-Lex: https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Verordening (EU) 2024/1689 (EU AI Act), artikelen 9, 15, 73 — EUR-Lex: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
Noot: NIS2 is een richtlijn, dus nationale omzettingswetten kunnen hogere boetes, een ruimer sectoraal toepassingsgebied en eerdere registratiedeadlines vaststellen. PowerQuant levert bewijssjablonen en inventarissen — geen juridisch advies.
PowerQuant Module 1
Één inventaris en één set beheersmaatregelen die u kunt koppelen aan zowel de EU AI Act als NIS2. Geleverd binnen 5 werkdagen. Vaste prijs, geen abonnement.