Gelden de nieuwe richtlijnen voor u?
De volgende sectoren krijgen te maken met de nieuwe NIS2-richtlijnen:
Als uw bedrijf tot een van de bovenstaande sectoren behoort én uw organisatie voldoet aan de gestelde criteria, dan wordt uw onderneming gezien als een essentiële of belangrijke entiteit en is de NIS2 regelgeving op termijn voor u van toepassing.
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als u actief bent in een van de bovenstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
Essentiële entiteiten
- Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit volgens de NIS2-richtlijn.
- Grote organisaties die actief zijn in een sector zoals genoemd in bijlage 1 van de NIS2-richtlijn. De volgende criteria hiervoor is: minimaal 250 werknemers of meer dan 50 miljoen euro jaaromzet en een balanstotaal van meer dan 43 miljoen euro.
Belangrijke entiteiten
- Middelgrote organisaties die actief zijn in een sector bijlage 1 en 2. Een organisatie is middelgroot op basis van de volgende criteria: minimaal 50 werknemers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro.
Essentiële entiteiten vallen onder een intensiever regime van toezicht, waarin zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht, dat achteraf plaatsvindt. Bijvoorbeeld als er aanwijzingen voor niet-naleving van de wet zijn of als er een incident heeft plaatsgevonden.
Micro- en kleinbedrijven vallen nog niet onder de NIS2-richtlijn. De minister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.
Leveren aan organisaties die aan NIS2-richtlijnen moeten voldoen
Wanneer u leverancier bent van een bedrijf wat onder het toepassingsgebied van de NIS2 valt, moet u óók maatregelen treffen. De bedrijven aan wie u als ondernemer levert en die onder het toepassingsgebied van NIS2 vallen, moeten namelijk kunnen aantonen dat hun leveranciers ook cyberveilig zijn. Zo zorgt u ervoor dat de organisaties waaraan u levert geen risico's lopen.
“Oók organisaties die zelf niet onder het toepassingsgebied van NIS2 vallen, maar wél leveren aan organisaties die onder het toepassingsgebied van NIS2 vallen, moeten kunnen aantonen dat ze actief werken aan hun digitale veiligheid.”
Als u als leverancier binnen deze categorie valt, biedt het NIS2-keurmerk een duidelijk raamwerk van specifieke richtlijnen en ondersteuningen waardoor duidelijk wordt aan welke nieuwe eisen u moet voldoen. Dit is één van de manieren waarmee u op termijn aan uw opdrachtgevers, die moeten voldoen aan de NIS2-wetgeving, kunt aantonen dat u als toeleverancier de juiste veiligheidsmaatregelen hebt getroffen op het gebied van cybersecurity.
Sommige bedrijven die onder het toepassingsgebied van NIS2 vallen stellen nog aanvullende eisen waaraan hun leveranciers moeten voldoen. Ga als leverancier op tijd het gesprek aan met uw afnemers, zodat u weet wat er van u wordt verwacht.
Bron: Digitale Overheid