4. Voor wie is dit van belang?
Het toepassingsgebied van de NIS2-richtlijn heeft betrekking op cyberbeveiligingsregels die beperkt zijn tot bepaalde entiteiten (die diensten verlenen die essentieel zijn voor de instandhouding van kritieke maatschappelijke of economische activiteiten). De NIS2-richtlijn stelt immers maatregelen vast voor een hoog gezamenlijk niveau van cyberbeveiliging in de EU voor bepaalde entiteiten die als “essentieel” of “belangrijk” worden aangemerkt vanwege de diensten die zij verlenen en hun omvang.
Terwijl de vorige richtlijn voorzag in een nationale procedure voor de identificatie van aanbieders van essentiële diensten, gebruikt de NIS2-richtlijn de activiteit die wordt uitgevoerd binnen een van de bijlagen ervan en de omvang van de entiteit als criteria om te bepalen of deze al dan niet binnen het toepassingsgebied valt.
Het gaat om entiteiten die essentiële diensten verlenen die vermeld zijn bij de “zeer kritieke sectoren” van bijlage I of bij de “andere kritieke sectoren” van bijlage II, die in aanmerking komen als middelgrote ondernemingen uit hoofde van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG [8], of de in lid 1 van dat artikel vastgestelde plafonds voor middelgrote ondernemingen overschrijden, en die hun diensten verlenen of hun activiteiten verrichten in de Unie.
De Europese Unie werkt nu heel duidelijk met een systeem van een sizecap voor 18 sectoren, met name 11 sectoren in bijlage I en 7 sectoren in bijlage II (zie Tabel hieronder). Dus wat betreft bijlage I, de belangrijke entiteiten, geldt dat zodra men ten minste 50 werknemers heeft of een jaarlijkse omzet draait ten belope van meer dan 10 miljoen euro, de desbetreffende entiteit als een belangrijke entiteit wordt beschouwd. Zodra het aantal werknemers ten minste 250 bedraagt en de jaarlijkse omzet hoger is dan 50 miljoen euro, behoort de desbetreffende entiteit tot de essentiële entiteiten (zie schema in figuur hieronder).
De verplichtingen van de NIS2-richtlijn zijn dus alleen van toepassing op een beperkt aantal entiteiten die deel uitmaken van kritieke sectoren en diensten van algemeen belang leveren voor de bevolking en ondernemingen, of kritiek zijn voor het economisch potentieel van ons land.
Het Centrum voor Cybersecurity België (CCB) [9] heeft berekend dat België ongeveer 800 essentiële entiteiten en 1.600 belangrijke entiteiten telt. In totaal zouden dus 2.400 entiteiten onder het toepassingsgebied van deze wetgeving moeten vallen, met inbegrip van overheidsinstanties.
[8] Aanbeveling 2003/361 van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen.
[9] CCB: https://ccb.belgium.be
Tabel. Kritische sectoren van de entiteiten betrokken bij de NIS2-richtlijnOndernemingen, beheerders, producenten, operators, spelers, exploitanten, entiteiten, bedrijven, leveranciers, dienstverleners, laboratoria, enz. in de volgende sectoren en subsectoren: |
Zeer kritieke sectoren (Bijlage I van de richtlijn)1. Energie: elektriciteit, stadsverwarming en koeling, aardolie, aardgas, waterstof |
Andere kritieke sectoren (Bijlage II van de richtlijn)1. Post- en koeriersdiensten |
Nota: Bijlagen I en II geven meer details en kunnen hiervoor dus geraadpleegd worden |
Figuur. Gebruik dit beslissingsdiagram om uit te zoeken of de NIS2-richtlijn op uw bedrijf van toepassing is.
Bron: CNPP