Koperen hangslot beveiligt kettingen rond miniatuur kritieke infrastructuur: koeltoren, waterklep en ziekenhuis

Welke sectoren vallen onder NIS2?

in

De NIS2-richtlijn is van toepassing op achttien sectoren die de Europese Unie als essentieel of belangrijk beschouwt voor het functioneren van de samenleving en economie. Deze sectoren zijn onderverdeeld in elf essentiële sectoren (zoals energie, gezondheidszorg en digitale infrastructuur) en zeven belangrijke sectoren (waaronder de chemische industrie en de levensmiddelensector). Of jouw organisatie onder NIS2 valt, hangt af van zowel de sector als de omvang van je bedrijf.

Wat is de NIS2-richtlijn en waarom is deze belangrijk voor jouw sector?

De NIS2-richtlijn is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 en heeft als doel de cyberweerbaarheid binnen de Europese Unie aanzienlijk te versterken. Deze vernieuwde wetgeving breidt het toepassingsgebied fors uit naar meer sectoren en organisaties, omdat cyberdreigingen steeds geavanceerder worden en de onderlinge afhankelijkheid tussen organisaties toeneemt.

De richtlijn treedt per 1 juli 2026 in werking in Nederland. Dit betekent dat organisaties die binnen de scope vallen, voor deze datum hun cyberbeveiligingsmaatregelen op orde moeten hebben. De urgentie neemt toe naarmate de deadline nadert, en veel organisaties zoeken actief naar informatie over wat zij moeten doen om aan de eisen te voldoen.

Een belangrijk verschil met de vorige richtlijn is de expliciete bestuurlijke verantwoordelijkheid. Bestuurders worden persoonlijk aansprakelijk voor non-compliance met cybersecurityrisicomanagementmaatregelen. Zij moeten aantonen dat zij voldoende kennis en vaardigheden hebben om de gevolgen van informatiebeveiligingsrisico’s te beoordelen. Regelmatige scholing voor bestuur en werknemers wordt verplicht.

Welke essentiële sectoren vallen onder NIS2?

Bijlage I van de NIS2-richtlijn definieert elf essentiële sectoren die als kritiek worden beschouwd voor het functioneren van de samenleving. Deze sectoren krijgen een strenger toezichtregime vanwege hun cruciale rol in de maatschappelijke infrastructuur.

De essentiële sectoren omvatten:

  • Energie: elektriciteits-, gas- en oliebedrijven, warmteleveranciers en exploitanten van laadpalen
  • Vervoer: luchtvaart, spoorwegen, scheepvaart en wegvervoer, inclusief logistieke dienstverleners
  • Bankwezen: kredietinstellingen en financiële dienstverleners
  • Financiële marktinfrastructuur: exploitanten van handelsplatformen en centrale tegenpartijen
  • Gezondheidszorg: ziekenhuizen, laboratoria, fabrikanten van medische hulpmiddelen en farmaceutische bedrijven
  • Drinkwater: leveranciers en distributeurs van drinkwater
  • Afvalwater: organisaties die afvalwater inzamelen, lozen of behandelen
  • Digitale infrastructuur: datacenters, cloudproviders, DNS-dienstverleners en elektronische communicatienetwerken
  • ICT-dienstverlening B2B: managed service providers en managed security service providers
  • Overheid: centrale overheden en regionale overheden met kritieke functies
  • Ruimtevaart: exploitanten van grondinfrastructuur voor ruimtevaartdiensten

Deze sectoren worden als essentieel beschouwd omdat uitval of verstoring directe en ernstige gevolgen kan hebben voor de openbare veiligheid, volksgezondheid of economische stabiliteit.

Welke belangrijke sectoren moeten ook voldoen aan NIS2?

Naast de essentiële sectoren definieert Bijlage II van de NIS2-richtlijn zeven belangrijke sectoren. Organisaties in deze sectoren moeten eveneens aan de NIS2-verplichtingen voldoen, maar vallen onder een lichter toezichtregime.

De belangrijke sectoren zijn:

  • Post- en koeriersdiensten: aanbieders van postdiensten en pakketbezorging
  • Afvalbeheer: bedrijven die afval inzamelen, verwerken of recyclen
  • Chemische industrie: producenten en distributeurs van chemische stoffen
  • Levensmiddelen: groothandelaren, distributeurs en producenten van voedingsmiddelen
  • Vervaardiging: fabrikanten van medische hulpmiddelen, computers, elektronica, machines en motorvoertuigen
  • Digitale aanbieders: online marktplaatsen, zoekmachines en sociale netwerkplatforms
  • Onderzoek: onderzoeksorganisaties met kritieke onderzoeksresultaten

Het verschil in toezicht tussen essentiële en belangrijke entiteiten zit vooral in de intensiteit. Essentiële entiteiten worden proactief gecontroleerd, terwijl belangrijke entiteiten reactief worden gecontroleerd, bijvoorbeeld na een incident of melding.

Hoe weet je of jouw organisatie onder NIS2 valt?

Of jouw organisatie onder NIS2 valt, hangt af van twee criteria: de sector waarin je actief bent én de omvang van je organisatie. De richtlijn hanteert duidelijke drempelwaarden om te bepalen welke organisaties binnen het toepassingsgebied vallen.

De omvangscriteria zijn als volgt:

  • Middelgrote organisaties: minimaal 50 werknemers óf een jaaromzet van meer dan 10 miljoen euro
  • Grote organisaties: minimaal 250 werknemers óf een jaaromzet van meer dan 50 miljoen euro

Er zijn uitzonderingen waarbij kleinere organisaties toch onder NIS2 kunnen vallen. Dit geldt voor aanbieders van DNS-diensten, TLD-naamregisters en aanbieders van elektronische communicatienetwerken en vertrouwensdiensten, ongeacht hun omvang.

Om te bepalen of jouw organisatie binnen de scope valt, doorloop je de volgende stappen:

  1. Controleer of je activiteiten vallen binnen een van de achttien sectoren
  2. Beoordeel of je organisatie voldoet aan de omvangscriteria
  3. Ga na of je als uitzonderingscategorie wordt aangemerkt
  4. Bepaal of je als essentiële of belangrijke entiteit wordt geclassificeerd

Wat zijn de belangrijkste NIS2-verplichtingen per sector?

De kernverplichtingen onder NIS2 gelden voor alle sectoren, ongeacht of een organisatie als essentieel of belangrijk wordt geclassificeerd. Het verschil zit vooral in de intensiteit van toezicht en de hoogte van mogelijke sancties bij non-compliance.

De belangrijkste verplichtingen omvatten:

  • Risicobeheermaatregelen: het implementeren van passende technische en organisatorische maatregelen om cybersecurityrisico’s te beheersen
  • Incidentmelding: significante incidenten binnen 24 uur melden aan de bevoegde autoriteit, gevolgd door een gedetailleerde rapportage
  • Supply chain security: het beoordelen en beheersen van risico’s in de toeleveringsketen
  • Business continuity: het opstellen en testen van continuïteitsplannen
  • Crisismanagement: procedures voor het omgaan met cybersecurityincidenten

Het bestuur stelt het beveiligingsbeleid vast, herziet dit periodiek en borgt dat personeel op de hoogte is en handelt in overeenstemming met het beleid. Organisaties moeten voor 1 juli 2026 compliant zijn om boetes en andere sancties te voorkomen.

Hoe bereid je jouw organisatie voor op NIS2-compliance?

Een gedegen voorbereiding op NIS2 vraagt om een gestructureerde aanpak. Gezien de complexiteit van de implementatie en de naderende deadline is het verstandig om tijdig te starten. Een nulmeting vormt daarbij een belangrijke eerste stap om te beoordelen hoe goed jouw organisatie voorbereid is op de nieuwe eisen.

De volgende stappen helpen bij een pragmatische voorbereiding:

  • Gapanalyse uitvoeren: breng in kaart waar je organisatie staat ten opzichte van de NIS2-vereisten
  • Inventarisatie van IT-middelen: maak een overzicht van alle IT-middelen die nodig zijn voor je dienstverlening
  • Risicobeoordeling opstellen: identificeer en beoordeel cybersecurityrisico’s voor je organisatie
  • Beveiligingsmaatregelen implementeren: neem passende maatregelen op basis van de geïdentificeerde risico’s
  • Incidentresponsprocedures ontwikkelen: stel procedures op voor het detecteren, melden en afhandelen van incidenten
  • Documentatie op orde brengen: zorg voor aantoonbare naleving door adequate vastlegging

Betrek de volledige organisatie bij de implementatie. In de praktijk zijn vooral IT-medewerkers bezig met cybersecurity, maar organisaties die zich echt willen wapenen tegen hackers, moeten een stap extra zetten. Alle medewerkers moeten zich bewust zijn van de gevaren en weten hoe ze een hack kunnen voorkomen.

Hoe helpt Hoek en Blok IT bij NIS2-compliance voor jouw sector?

Hoek en Blok IT ondersteunt organisaties in alle NIS2-sectoren bij het bereiken van compliance. Met NOREA-gecertificeerde EDP-auditors en een pragmatische aanpak helpt het bureau bij zowel de technische als organisatorische aspecten van NIS2-implementatie.

De dienstverlening omvat:

  • NIS2-nulmeting: een scan van je IT-infrastructuur, processen en beveiligingsbeleid om de huidige status te bepalen
  • IT-audits en gapanalyses: identificatie van verbeterpunten ten opzichte van NIS2-vereisten
  • Securityassessments en penetratietests: technische toetsing van je beveiliging door ethical hackers
  • ISAE 3000/3402-verklaringen: ondersteuning bij het verkrijgen van assuranceverklaringen
  • IT Security Officer as-a-Service: doorlopende ondersteuning voor compliancebewaking en -verbetering
  • Awarenesscampagnes: vergroten van het beveiligingsbewustzijn binnen je organisatie

Wil je weten hoe jouw organisatie ervoor staat en welke stappen nodig zijn voor NIS2-compliance? Neem contact op voor een vrijblijvend adviesgesprek en ontdek hoe je pragmatisch en betaalbaar aan de slag kunt met de voorbereidingen.