NIS2 richtlijnen

wanneer ben ik NIS2 gebonden?

⚖️ Wie valt onder de NIS2-richtlijn?

De NIS2-richtlijn (EU 2022/2555) is gericht op organisaties die een essentiële of belangrijke rol spelen in de samenleving of economie, en waarvan een incident grote maatschappelijke gevolgen kan hebben.

De richtlijn maakt onderscheid tussen twee categorieën:

1. Essentiële entiteiten (Essential Entities)

Dit zijn organisaties die kritieke infrastructuur beheren. Zij staan onder strenge toezichtverplichtingen.

Sectoren (volgens bijlage I van NIS2):

  • Energie: elektriciteit, gas, olie, waterstof

  • Drinkwater & afvalwaterbeheer

  • Transport: luchtvaart, spoor, maritiem, weg, openbaar vervoer

  • Digitale infrastructuur: datacenters, cloudproviders, DNS, internetknooppunten

  • Financiële sector: banken, beleggingsinstellingen, financiële marktinfrastructuren

  • Gezondheidszorg: ziekenhuizen, laboratoria, apotheken, e-healthsystemen

  • Openbare sector: rijksoverheid, provincies, gemeenten (voor bepaalde processen)

  • Ruimtevaart: exploitanten van satellietsystemen en grondstations

Voorbeeld:
Een regionale netbeheerder, ziekenhuis, waterbedrijf of overheids-IT-dienstverlener.

2. Belangrijke entiteiten (Important Entities)

Deze organisaties zijn niet per se "kritiek" voor nationale veiligheid, maar wel sociaal of economisch belangrijk. Ze krijgen een lichter toezichtregime, maar dezelfde beveiligings- en meldplicht.

Sectoren (volgens bijlage II van NIS2):

  • Post- en koeriersdiensten

  • Afvalbeheer (niet-gevaarlijk)

  • Voedselproductie en -distributie

  • Chemische industrie en fabrikanten

  • Productie van kritieke goederen (medisch, elektronica, machines, voertuigen)

  • ICT-dienstverleners en beheerde serviceproviders (MSP/MSSP)

  • Digitale diensten: webhosting, SaaS, online marktplaatsen

  • Onderzoeksinstellingen en universiteiten

  • Leveranciers aan essentiële entiteiten (ketenverantwoordelijkheid)

Voorbeeld:
Een ICT-dienstverlener die netwerken of software beheert voor een ziekenhuis of nutsbedrijf, of een cloudprovider die overheidsdata host.

Grootte-criteria

De richtlijn is automatisch van toepassing op middelgrote en grote organisaties, dat wil zeggen:

Categorie Aantal medewerkers, Jaaromzet of balanstotaal
Middelgroot ≥ 50 ≥ €10 miljoen
Groot ≥ 250 ≥ €50 miljoen

👉 Kleinere organisaties kunnen toch onder NIS2 vallen als ze:

  • een cruciale dienst leveren aan een essentiële entiteit (ketenafhankelijkheid);

  • een strategische of monopolistische positie hebben;

  • een groot risico vormen voor nationale veiligheid of openbare orde.

Wat betekent dit in de praktijk?

Als jouw organisatie:

  • kritieke of ondersteunende diensten levert,

  • digitale infrastructuur of clouddiensten beheert, of

  • afhankelijk is van IT/OT-systemen die maatschappelijke impact kunnen hebben,

… dan is de kans groot dat NIS2 op jou van toepassing is.

Hoe helpt IT Asset Management hierbij?

Om te bepalen of en hoe jouw organisatie voldoet aan NIS2, is ITAM onmisbaar:

  • je kunt aantonen welke systemen en software binnen scope vallen;

  • je weet waar de risico's liggen (oude software, onbekende leveranciers);

  • en je kunt compliance-rapportages leveren bij inspecties.

Samenvattend overzicht

Type organisatie Voorbeelden Toezichtniveau

  1. Essentiële entiteiten Netbeheerders, ziekenhuizen, drinkwaterbedrijven, digitale infrastructuur Hoog toezicht

  1. Belangrijke entiteiten ICT-dienstverleners, universiteiten, voedselproducenten, afvalverwerkers Lichter toezicht
  2. Toeleveranciers Leveranciers aan bovenstaande sectoren (bijv. software- of onderhoudspartners) Indirect toezicht via ketenverantwoordelijkheid