De Network and Information Security richtlijn (Hierna: de “NIS2”) is met ingang van 17 oktober 2024 geldend Europees recht. De lidstaten hadden hun wetgeving per die datum in overeenstemming moeten brengen met de inhoud van de richtlijn, maar dat is in Nederland niet gebeurd. De richtlijn zal naar schatting in Q3 2025 worden geïmplementeerd in de vorm van de Cyberbeveiligingswet (Hierna: “Cbw”).[1]

Hierbij zij opgemerkt dat voor een entiteit die op dit moment onder de werkingssfeer van de Wet beveiliging netwerk- en informatiesystemen (hierna: “Wbni”) valt, de Wbni voor die entiteiten blijft gelden, totdat de Cbw in werking is getreden en (daarmee) de Wbni komt te vervallen. De Wbni zal verder buiten beschouwing worden gelaten in deze analyse.

Om onder de werkingssfeer van de NIS2/Cbw te vallen, moet de desbetreffende entiteit worden aangemerkt als “essentieel”, dan wel “belangrijk”.

 Om te worden gekwalificeerd als "essentieel", moet de entiteit:

• Actief zijn in een sector als genoemd in bijlage I van NIS 2; en

• Een “grote” organisatie zijn: 250 personen of meer, of een jaaromzet van meer dan EUR 50 miljoen en een balanstotaal boven EUR 43 miljoen.

Om te worden gekwalificeerd als “belangrijk”, moet de entiteit:

• Actief zijn in een sector als genoemd in bijlage I van NIS 2; en

• Een “middelgrote” organisatie zijn: ondernemingen waar tussen de 50 en 250 personen werkzaam zijn, met een jaaromzet van tussen de 10 miljoen euro en de 50 miljoen euro, en een jaarlijks balanstotaal van niet meer dan 43 miljoen euro

OF:

• Actief zijn in een sector genoemd in bijlage II van NIS 2; en

• Een grote of middelgrote organisatie zijn op basis van bovengenoemde criteria.

  
  

Los van bovenstaande kan een entiteit ook door een ministerie worden aangewezen als essentieel of belangrijk.

Heeft u advies nodig over of de Cbw van toepassing is op uw organisatie en/of welke (compliance)eisen dat met zich meebrengt? Neem dan contact op met een van onze specialisten.

[1] Zie: https://www.ncsc.nl/actueel/nieuws/2024/oktober/9/uitvoering-overgangsperiode-nis2-richtlijn -naar-cyberbeveiligingswet#:~:text=Op%2017%20oktober%202024%20treedt,%2C%20de% 20Cyberbeveiligingswet%20(Cbw).