De Europese NIS2-richtlijn is sinds begin 2023 in werking en zet organisaties in Nederland en de hele EU aan tot betere beveiliging van hun netwerken en informatiesystemen. Maar voor wie geldt deze nieuwe wetgeving nu precies?
Essentiële en belangrijke entiteiten
De richtlijn maakt een onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Beide groepen vallen onder de verplichtingen van NIS2, maar met verschillen in toezicht en handhaving.
Je wordt als essentiële entiteit beschouwd als je:
- actief bent in een kritieke sector zoals energie, vervoer, gezondheidszorg, drinkwater of overheidsdiensten (zie bijlage I van de richtlijn), én
- een grote onderneming bent: minstens 250 medewerkers en een jaaromzet van meer dan 50 miljoen euro of een balanstotaal van meer dan 43 miljoen euro.
Belangrijke entiteiten zijn meestal middelgrote tot grote ondernemingen die actief zijn in sectoren als:
- ICT-diensten (zoals cloud en hosting),
- productie van chemische stoffen of elektronica,
- post- en koeriersdiensten,
- de voedingsindustrie,
- of afvalbeheer (zoals beschreven in bijlage II van de richtlijn).
Twijfel je of jouw organisatie onder de NIS2-verplichtingen valt? Dan is het verstandig om je zo snel mogelijk te verdiepen in NIS 2 en de impact ervan op jouw sector.
Meer dan compliance: een investering in cybersecurity
De implementatie van NIS2 draait niet alleen om wetgeving, maar ook om het verhogen van de weerbaarheid tegen digitale dreigingen. Organisaties worden gestimuleerd om werk te maken van cybersecurity op het niveau van beleid, risicoanalyse, incidentbeheer en ketenbeveiliging.