De NIS2-richtlijn richt zich op kritieke organisaties en sectoren waarbij uitval van hun diensten kunnen zorgen voor maatschappelijke en economische ontwrichting. Zie Bijlage 1 en 2 van de richtlijn voor een gedetailleerd overzicht van deze sectoren. De organisaties die onder de Cyberbeveiligingswet vallen behoren tot:
Sectoren bijlage 1.
Zeer kritieke sectoren
|
Sectoren bijlage 2.
Andere kritieke sectoren
|
Energie |
Digitale aanbieders |
Transport |
Post- en koeriersdiensten |
Infrastructuur financiële markt
|
Afvalstoffenbeheer |
Gezondheidszorg |
Levensmiddelen |
Drinkwater |
Chemische stoffen |
Digitale infrastructuur |
Onderzoek |
Afvalwater |
Vervaardiging/manufacturing |
Overheidsdiensten |
|
Ruimtevaart |
|
Beheerders van ICT Diensten |
|
Bankwezen
|
|
Organisaties vallen automatisch onder de Cyberbeveiligingswet als zij actief zijn in een van de eerder genoemde sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
- Essentiële entiteiten
- Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit.
- Grote organisaties die actief zijn in een sector uit bijlage I.
- Een organisatie is groot op basis van de volgende criteria:
- minimaal 250 werknemers of;
- een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.
- Belangrijke entiteiten
- Middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II.
- Een organisatie is middelgroot op basis van de volgende criteria:
- minimaal 50 werknemers of;
- een jaaromzet en balanstotaal van meer dan 10 miljoen euro.
Micro- en kleinbedrijven vallen in principe niet onder de Cyberbeveiligingswet. De minister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie.
Een uitzondering zijn micro- en kleinbedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten. Deze bedrijven vallen wel direct onder de Cyberbeveiligingswet.