De NIS2-richtlijn: Voor wie? Waarom?
Dit artikel maakt deel uit van een artikelenreeks over de omzetting van de NIS2-richtlijn in België. De andere artikels kunnen hier worden geraadpleegd.
VOOR WIE?
De NIS2-richtlijn is gericht op organisaties van een bepaalde omvang die diensten verlenen in kritieke sectoren die zijn opgenomen in de bijlagen I en II van de richtlijn. De omvang ("size cap") en de geleverde dienst zijn de twee belangrijkste criteria om te bepalen of de NIS2-richtlijn van toepassing is op een organisatie.
De omvang (Size cap)
De omvang van een entiteit wordt berekend op basis van bijlage I van Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 (de "Aanbeveling").
Behoudens enkele uitzonderingen moet een organisatie ten minste als een middelgrote onderneming in de zin van de aanbeveling worden beschouwd voor de toepassing van de NIS2-richtlijn. Een middelgrote onderneming heeft het equivalent aan ten minste 50 voltijdse werknemers en/of een jaaromzet (of jaarlijks balanstotaal) van meer dan 10 miljoen euro.
De aanbeveling bepaalt in het bijzonder dat de berekening van de omvang van een organisatie die deel uitmaakt van een groep (partner- of verbonden ondernemingen) een consolidatie van de gegevens van de verschillende onderdelen van deze groep inhoudt.
Hoe deze aanbeveling werkt, wordt in detail uitgelegd in de "Gebruikersgids bij de definitie van kmo's" van de Europese Commissie.
Er zijn echter twee belangrijke bijzonderheden met betrekking tot de toepassing van de aanbeveling in de context van de richtlijn:
- De consolidatie van gegevens van de verschillende onderdelen binnen een groep kan onder bepaalde omstandigheden vervallen wanneer de netwerk- en informatiesystemen van de betrokken organisatie onafhankelijk zijn van die van verbonden of partnerondernemingen.
- Het aantal werknemers en de financiële cijfers van een overheidsinstantie die controle uitoefent op een betrokken organisatie mogen niet in aanmerking worden genomen bij het bepalen van de omvang van deze organisatie.
De geleverde dienst
De organisatie moet een dienst verlenen die vermeld staat in bijlage I of II van de richtlijn (zelfs als deze dienst slechts een bijkomstig onderdeel van haar activiteiten is):
Zeer kritieke sektoren (bijlage I) |
Andere kritieke sectoren (bijlage II) |
|
|
Twee categorieën
De NIS2-richtlijn maakt een verschil tussen "essentiële" en "belangrijke" entiteiten. Dit verschil wordt in principe gemaakt op basis van de omvang van de entiteit en de verleende dienst:
- Behoudens bepaalde uitzonderingen is een organisatie die een grote onderneming is in de zin van de aanbeveling en die ten minste één van de in bijlage I genoemde diensten verleent, een essentiële entiteit;
- Behoudens bepaalde uitzonderingen is een organisatie die een middelgrote onderneming is in de zin van de aanbeveling en die ten minste één van de in bijlage I vermelde diensten verleent, een belangrijke entiteit;
- Een organisatie die een grote onderneming of een middelgrote onderneming is in de zin van de Aanbeveling en die ten minste één van de in bijlage II vermelde diensten verleent, is een belangrijke entiteit.
Het verschil tussen essentiële en belangrijke entiteiten ligt voornamelijk in de controle- en sanctiemechanismen. Essentiële entiteiten worden regelmatiger en strenger gecontroleerd dan belangrijke entiteiten.
Voor een beter overzicht van het toepassingsgebied van de richtlijn, verwijzen we je graag naar onze visual.
WAAROM?
Netwerk- en informatiesystemen zijn als gevolg van de digitale transformatie en het netwerken van de maatschappij een centraal onderdeel van ons dagelijks leven geworden. Veel kritieke sociale en economische activiteiten zijn nu afhankelijk van hun goede werking.
Deze ontwikkeling heeft geleid tot een steeds grotere verscheidenheid aan cyberbedreigingen en cyberincidenten. Deze vormen een reële bedreiging voor de openbare veiligheid van het publiek, bedrijven en overheden. Tegenwoordig veroorzaakt een cyberincident waarschijnlijk een ernstige operationele verstoringen in kritieke sectoren, waarbij personen of bedrijven worden getroffen en significante materiële, fysieke of morele schade wordt aangericht.
Alle burgers, bedrijven en overheden moeten zich daarom bewust zijn van het belang van preventieve bescherming tegen cyberbedreigingen en cyberincidenten.