De NIS2-wet
Toepassingsgebied
Om onder de NIS2-wet te vallen, moet een organisatie in principe:
- In de Europese Unie een dienst verlenen die is opgenomen in bijlagen I en II van de NIS2-wet; en
- De omvangsdrempels voorzien in de Aanbeveling EU 2003/361 van de Commissie van 6 mei 2003 overschrijden, namelijk ten minste 50 arbeidsjaareenheden (AJE) of meer dan € 10 miljoen euro jaaromzet/jaarlijks balanstotaal hebben (zie de gebruikersgids bij de definitie van kmo's ).
Deze criteria worden in de delen hieronder verder toegelicht.
1. De geleverde dienst
De organisatie moet een dienst verlenen die vermeld staat in bijlage I of II van de richtlijn (zelfs als deze dienst slechts een bijkomstig onderdeel van haar activiteiten is):
Zeer kritieke sectoren (bijlage I) | Andere kritieke sectoren (bijlage II) |
|
|
Iedere dienst die onder de NIS2-wet valt, is gedefinieerd in bijlagen I en II, of in artikel 8. De bijlagen kunnen worden geraadpleegd op Justel (onderaan de pagina, vóór het gedeelte over de de parlementaire werkzaamheden).
2. De omvangsdrempels
De omvang van een entiteit wordt berekend op basis van de regels in de bijlage bij de Aanbeveling EU 2003/361 van de Commissie van 6 mei 2003 (de « Aanbeveling »).
Behoudens uitzondering, moet een organisatie ten minste als een middelgrote onderneming in de zin van de Aanbeveling worden beschouwd om de NIS2-wet te kunnen toepassen:
- Een middelgrote onderneming heeft een aantal werkzame personen dat ten minste gelijk is aan 50 arbeidsjaareenheden (AJE) en/of een totale jaaromzet (of jaarlijks balanstotaal) van meer dan 10 miljoen euro.
- Een grote onderneming heeft een aantal werkzame personen dat ten minste gelijk is aan 250 AJE*, of een totale jaaromzet van meer dan 50 miljoen euro of een jaarlijks balanstotaal van meer dan 43 miljoen euro.
* De AJE’s komen overeen met het aantal personen dat het gehele desbetreffende jaar voltijds in de betrokken onderneming of voor rekening van deze onderneming heeft gewerkt. Het werk van personen die niet het gehele jaar hebben gewerkt, deeltijdwerk ongeacht de duur ervan en seizoenarbeid worden in breuken van AJE uitgedrukt.
De Aanbeveling bepaalt in dit verband dat voor de berekening van de omvang van een organisatie die deel uitmaakt van een groep (partnerondernemingen of verbonden ondernemingen) de gegevens van de verschillende onderdelen van deze groep moeten worden samengevoegd.
De werking van deze aanbeveling wordt in detail uitgelegd in de « Gebruikersgids bij de definitie van kmo's » van de Europese Commissie.
Er zijn echter twee belangrijke uitzonderingen met betrekking tot de toepassing van de Aanbeveling in de context van de wet:
- De consolidatie van de gegevens van de verschillende onderdelen binnen een groep kan onder bepaalde omstandigheden buiten beschouwing worden gelaten wanneer er sprake is van onafhankelijkheid, met name wat betreft de netwerk- en informatiesystemen van de betrokken organisatie ten opzichte van die van verbonden of partnerondernemingen.
- Het aantal werknemers en de financiële bedragen van een overheidsorgaan dat zeggenschap heeft over een betrokken organisatie, mogen niet in aanmerking worden genomen bij de bepaling van de omvang van deze organisatie.
3. De soorten entiteiten
De NIS2-wet maakt een onderscheid tussen “essentiële” en “belangrijke” entiteiten. Dit onderscheid wordt in principe gemaakt op basis van de omvang van de entiteit en de uitgeoefende activiteit:
- Behoudens uitzondering, is een organisatie die een grote onderneming is in de zin van de Aanbeveling en die ten minste één van de in bijlage I genoemde activiteiten uitoefent, een essentiële entiteit;
- Behoudens uitzondering, is een organisatie die een middelgrote onderneming is in de zin van de Aanbeveling en die ten minste één van de in bijlage I vermelde activiteiten uitoefent, een belangrijke entiteit;
- Is een organisatie die een grote of middelgrote onderneming is in de zin van de Aanbeveling en die ten minste één van de in bijlage II vermelde activiteiten uitoefent, een belangrijke entiteit.
Het verschil tussen essentiële en belangrijke entiteiten ligt voornamelijk in de controle- en sanctiemechanismen. Essentiële entiteiten worden regelmatiger en strenger gecontroleerd dan belangrijke entiteiten.
Er zijn echter enkele uitzonderingen. In bepaalde sectoren worden entiteiten als ‘essentieel’ gecategoriseerd, ongeacht hun omvang:
- gekwalificeerde aanbieders van vertrouwensdiensten;
- registers van topleveldomeinnamen;
- DNS-dienstverleners;
- Aanbieders van openbare elektronische-communicatienetwerken of openbare elektronische-communicatiediensten die minstens middelgrote ondernemingen zijn;
- overheidsinstanties die afhangen van de Federale Staat;
- entiteiten die op nationaal niveau als kritiek zijn aangemerkt in het kader van de CER-richtlijn.
Daarnaast zullen de nationale autoriteiten ook entiteiten specifiek als “essentieel” of “belangrijk” kunnen aanmerken, bijvoorbeeld wanneer zij de enige aanbieder zijn van een dienst of wanneer een verstoring van de geleverde dienst een belangrijke impact zou kunnen hebben op de openbare veiligheid, de openbare beveiliging of de volksgezondheid.
Voor een uitgebreider overzicht van het volledig toepassingsgebied van de wet, verwijzen we naar onze visuele samenvatting van het toepassingsgebied.
4. De link met België
In principe is de Belgische wet van toepassing op entiteiten die in België gevestigd zijn. Er zijn echter uitzonderingen op deze territoriale bevoegdheidsregel:
- aanbieders van openbare elektronischecommunicatienetwerken of aanbieders van openbare elektronischecommunicatiediensten, vallen onder de jurisdictie van delidstaat waar zij hun diensten aanbieden;
- DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsmede aanbieders van onlinemarktplaatsen, van onlinezoekmachines of van platforms voor socialenetwerkdiensten, vallen onder de jurisdictie van delidstaat waar zij hun hoofdvestiging in de Unie hebben ;
- overheidsinstanties vallen onder de jurisdictie van delidstaat die ze heeft opgericht.