Hoe bepaalt u of uw organisatie onder de NIS2-vereiste valt

Hoe bepaalt u of uw organisatie onder de NIS2-vereiste valt

Toen ENISA in oktober 2024 haar meest recente dreigingslandschaprapport publiceerde, werd een stijging van 400% in cyberaanvallen op kritieke infrastructuur in de EU benadrukt. Deze toename valt samen met de implementatiedeadline van de NIS2-richtlijn, waardoor veel organisaties haastig proberen hun nalevingsverplichtingen te bepalen. De Europese Commissie schat dat meer dan 160.000 entiteiten nu onder de uitgebreide reikwijdte vallen—een dramatische toename ten opzichte van de oorspronkelijke dekking van de NIS-richtlijn.

Begrijpen of uw organisatie onder de NIS2-nalevingsvereisten valt, is niet eenvoudig. Het complexe classificatiesysteem van de richtlijn combineert het aantal werknemers, omzetdrempels en sectorspecifieke criteria die per lidstaat verschillen. Een verkeerde inschatting van deze beoordeling heeft grote gevolgen: essentiële entiteiten riskeren administratieve boetes tot €10 miljoen of 2% van de wereldwijde omzet, terwijl belangrijke entiteiten boetes tot €7 miljoen of 1,4% van de omzet kunnen krijgen.

Deze analyse ontleedt de specifieke criteria, berekeningsmethoden en regelgevende nuances die bepalen of NIS2 van toepassing is. We bekijken praktijkvoorbeelden, grensoverschrijdende complicaties en de praktische stappen die compliance-teams moeten nemen voordat de handhavingsfase daadwerkelijk begint.

Samenvatting

Wat is het belangrijkste punt? NIS2-naleving hangt af van drie onderling verbonden factoren: de omvang van uw organisatie (werknemers en omzet), de sectoren waarin u actief bent en uw geografische aanwezigheid in EU-lidstaten. De richtlijn hanteert een gelaagde benadering waarbij essentiële entiteiten strengere vereisten hebben dan belangrijke entiteiten.

Waarom is dit belangrijk? Een verkeerde classificatie van uw NIS2-status kan leiden tot miljoenenboetes en operationele verstoringen. Nu nationale autoriteiten beginnen met handhaving, hebben organisaties duidelijke richtlijnen nodig om de reikwijdte te bepalen, verrassingen te voorkomen en passende cyberbeveiligingsmaatregelen te implementeren.

Belangrijkste inzichten

  1. Het aantal werknemers bepaalt of organisaties aan NIS2 moeten voldoen

    Organisaties met 50+ werknemers in essentiële sectoren of 250+ in belangrijke sectoren vallen automatisch onder de NIS2-reikwijdte, ongeacht de omzet.

  2. Entiteiten die in meerdere sectoren actief zijn, moeten voldoen aan de strengste toepasselijke vereisten

    Bedrijven die actief zijn in meerdere NIS2-sectoren moeten voldoen aan de meest stringente vereisten die van toepassing zijn op hun primaire bedrijfsactiviteiten.

  3. Grensoverschrijdende activiteiten vereisen contact met meerdere autoriteiten

    Organisaties die actief zijn in meerdere EU-lidstaten moeten zich registreren bij elke relevante nationale autoriteit en kunnen te maken krijgen met uiteenlopende implementatiebenaderingen.

  4. Omzetdrempels zijn afhankelijk van sectorclassificatie en groepsomzet

    Jaarlijkse omzetdrempels verschillen per sector: €10 miljoen voor essentiële diensten, €50 miljoen voor belangrijke entiteiten, berekend op basis van geconsolideerde groepscijfers.

  5. Toezicht en sancties verschillen per sectorbenaming

    Essentiële entiteiten krijgen strenger toezicht en zwaardere sancties dan belangrijke entiteiten, met sectorspecifieke vereisten die worden bepaald door de autoriteiten van de lidstaten.

Begrip van werknemer-drempels die NIS2-verplichtingen activeren

De NIS2-richtlijn stelt duidelijke werknemer-drempels vast, maar de berekeningsmethode verrast organisaties vaak. Nationale bevoegde autoriteiten gebruiken het gemiddelde aantal werknemers over het voorgaande boekjaar, inclusief voltijdsequivalenten voor deeltijders en tijdelijk personeel.

Essentiële entiteiten: de 50-werknemersdrempel

Organisaties die essentiële diensten leveren—energie, transport, bankwezen, financiële marktinfrastructuur, zorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening en overheidsadministratie—vallen onder de laagste drempel. Elke entiteit met 50 of meer werknemers kwalificeert automatisch, ongeacht de omzet.

Lidstaten behouden echter de bevoegdheid om kleinere entiteiten op te nemen als deze als kritiek voor nationale veiligheid of economische stabiliteit worden beschouwd. Zo heeft het Duitse BSI aangegeven bepaalde entiteiten met minder dan 50 werknemers in de energiesector aan te wijzen op basis van hun rol in het elektriciteitsnet.

Belangrijke entiteiten: de 250-werknemersdrempel

Belangrijke entiteiten—waaronder postdiensten, afvalbeheer, productie van kritieke producten, digitale aanbieders en onderzoeksorganisaties—moeten minimaal 250 mensen in dienst hebben om onder de verplichte reikwijdte te vallen. Deze drempel sluit aan bij de EU-definitie van een middelgroot bedrijf, wat zorgt voor consistentie binnen de regelgeving.

Tweetbare insight: NIS2-werknemersdrempels zijn niet alleen het aantal medewerkers—ze omvatten ook aannemers, uitzendkrachten en FTE’s berekend over 12 maanden. #NIS2Compliance

Omzetberekeningen: navigeren door financiële drempels

Omzetdrempels werken samen met het aantal werknemers en creëren een systeem met dubbele criteria dat organisaties op basis van beide factoren omvat. De berekeningen gebruiken geconsolideerde groepscijfers, niet de omzet van afzonderlijke dochterondernemingen—een detail dat de reikwijdte voor multinationals aanzienlijk vergroot.

Omzetdrempels voor essentiële diensten

Essentiële entiteiten moeten een jaarlijkse omzet van meer dan €10 miljoen hebben. Deze relatief lage drempel weerspiegelt de intentie van de richtlijn om ook kleinere regionale spelers in kritieke sectoren te omvatten. Een gemeentelijk waterbedrijf met 45 werknemers maar €12 miljoen omzet valt bijvoorbeeld toch onder NIS2.

De Europese Bankautoriteit heeft verduidelijkt dat financiële instellingen netto bankinkomsten moeten gebruiken in plaats van traditionele omzetcijfers, terwijl energiebedrijven zowel gereguleerde als niet-gereguleerde inkomstenstromen moeten meenemen.

Belangrijke entiteiten: de €50 miljoen-grens

Belangrijke entiteiten hebben een drempel van €50 miljoen, wat meer ruimte geeft aan middelgrote bedrijven. Deze berekening omvat echter ook transacties binnen de groep, waardoor organisaties onverwacht boven de drempel kunnen uitkomen.

Producenten hebben hierover hun zorgen geuit bij de Europese Commissie. Een Duitse toeleverancier van auto-onderdelen ontdekte dat hun €45 miljoen externe omzet opliep tot €52 miljoen door verkopen aan dochterondernemingen van het moederbedrijf mee te rekenen.

Tweetbare insight: NIS2-omzetberekeningen omvatten transacties binnen de groep—uw werkelijke drempel kan hoger uitvallen dan externe verkopen suggereren.

Sectorclassificaties: essentiële versus belangrijke entiteiten

Het onderscheid tussen essentiële en belangrijke entiteiten gaat verder dan semantiek—het bepaalt de intensiteit van regelgeving, blootstelling aan sancties en het toezichtmodel.

Essentiële sectoren: streng toezicht

Essentiële entiteiten opereren in sectoren waar verstoring aanzienlijke impact kan hebben op maatschappelijke functies of economische activiteiten. Deze organisaties krijgen:

  • Direct toezicht door nationale bevoegde autoriteiten
  • Verplichte melding van beveiligingsincidenten binnen 24 uur
  • Periodieke beveiligingsaudits en beoordelingen
  • Hogere administratieve sancties (tot €10 miljoen of 2% van de wereldwijde omzet)

De energiesector is hiervan een goed voorbeeld. Netbeheerders kwalificeren, ongeacht hun omvang, automatisch als essentiële entiteiten vanwege hun rol in het beheer van het elektriciteitsnet.

Belangrijke entiteiten: proportionele vereisten

Belangrijke entiteiten ondersteunen essentiële diensten, maar leveren deze niet direct. Zij vallen onder lichtere regelgeving met:

  • Zelfevaluatie en vrijwillige meldingsmechanismen
  • 72-uurs meldingsplicht bij incidenten
  • Risicogebaseerde toezichtbenaderingen
  • Lagere boeteplafonds (€7 miljoen of 1,4% van de wereldwijde omzet)

Digitale dienstverleners illustreren de complexiteit van deze categorie. Cloudinfrastructuuraanbieders kwalificeren als essentiële entiteiten, terwijl software-as-a-servicebedrijven doorgaans onder de classificatie van belangrijke entiteiten vallen.

Multi-sectoractiviteiten: omgaan met complexe classificaties

Organisaties die actief zijn in meerdere NIS2-sectoren staan voor classificatie-uitdagingen die zorgvuldige juridische analyse vereisen. De richtlijn biedt geen duidelijke richtlijnen voor entiteiten met gediversifieerde bedrijfsmodellen.

Bepaling van primaire activiteit

Nationale autoriteiten gebruiken doorgaans omzettoewijzing om de primaire sectorclassificatie te bepalen. Een telecombedrijf met aanzienlijke cloudomzet kan worden geclassificeerd onder digitale infrastructuur (essentieel) in plaats van digitale diensten (belangrijk).

Het Franse ANSSI heeft een drempel van 60% omzet vastgesteld—als meer dan 60% van de omzet uit essentiële diensten komt, krijgt de hele organisatie de classificatie essentiële entiteit. Andere lidstaten volgen deze aanpak met belangstelling.

Beoordeling op dochter- versus groepsniveau

De bedrijfsstructuur heeft grote invloed op de NIS2-classificatie. Sommige lidstaten beoordelen elke juridische entiteit afzonderlijk, terwijl anderen een analyse op groepsniveau toepassen. Deze inconsistentie zorgt voor nalevingscomplexiteit bij multinationale organisaties.

Een Europees energieconcern ontdekte dat haar dochteronderneming voor duurzame energie in Duitsland als essentiële entiteit werd aangemerkt, maar in Spanje buiten de reikwijdte viel vanwege verschillende beoordelingsmethoden.

Grensoverschrijdende activiteiten: verschillen tussen lidstaten

Organisaties die actief zijn in meerdere EU-lidstaten krijgen te maken met een lappendeken van implementatiebenaderingen, ondanks de harmonisatiedoelstellingen van de richtlijn.

Registratievereisten

Elke lidstaat onderhoudt zijn eigen NIS2-register, met afzonderlijke registratieprocedures. Het Nederlandse NCSC heeft dit gestroomlijnd via digitale portalen, terwijl Italië in sommige regio’s nog papieren indieningen vereist.

Grensoverschrijdende entiteiten moeten zich registreren bij de bevoegde autoriteit in elke lidstaat waar zij aan de classificatiecriteria voldoen. Dit kan leiden tot meerdere toezichthoudende relaties en mogelijk conflicterende vereisten.

Coördinatie van handhaving

De NIS Cooperation Group faciliteert informatie-uitwisseling tussen nationale autoriteiten, maar handhavingsbenaderingen verschillen aanzienlijk. Noord-Europese landen leggen de nadruk op samenwerking en ondersteuning bij naleving, terwijl Zuid-Europese autoriteiten eerder formele auditprocedures hanteren.

Tweetbare insight: Zelfde bedrijf, andere NIS2-behandeling—verschillen in implementatie tussen lidstaten zorgen voor nalevingscomplexiteit over de grenzen heen.

Conclusie

Het bepalen van NIS2-nalevingsvereisten vraagt om een systematische analyse van het aantal werknemers, omzetdrempels, sectorclassificaties en geografische activiteiten. De uitgebreide reikwijdte van de richtlijn omvat organisaties die voorheen buiten cyberbeveiligingsregels vielen, wat nieuwe verplichtingen creëert voor entiteiten in kritieke infrastructuursectoren.

Organisaties moeten verder kijken dan alleen drempelcontroles om hun specifieke regelgevingsrisico’s te begrijpen. Dit omvat het koppelen van bedrijfsactiviteiten aan NIS2-sectoren, het berekenen van geconsolideerde omzetcijfers en het identificeren van alle relevante rechtsbevoegdheden van lidstaten. De complexiteit neemt toe voor multinationals die in meerdere sectoren en rechtsbevoegdheden actief zijn.

Succes vereist het implementeren van robuuste cyberbeveiligingskaders die voldoen aan de risicobeheer-, incidentmeldings- en bedrijfscontinuïteitsvereisten van NIS2. Organisaties hebben uniforme beveiligingsbeleid nodig voor alle datacommunicatiekanalen, uitgebreide audittrails voor verplichte meldingen van datalekken en realtime dreigingsdetectie. Het regelgevingslandschap vraagt om oplossingen die zich kunnen aanpassen aan uiteenlopende vereisten van lidstaten, terwijl een consistente beveiligingsstatus behouden blijft.

Beheerders van kritieke infrastructuur moeten verouderde systemen moderniseren en de uitgebreide cyberbeveiligingsmaatregelen implementeren die NIS2 vereist. Deze transformatie vraagt om platforms die beveiligingsbeleid kunnen standaardiseren, onveranderlijke audit logs kunnen bieden en snelle incidentrespons ondersteunen—terwijl de operationele continuïteit van essentiële diensten behouden blijft.

Kiteworks ondersteunt organisaties die door NIS2 worden geraakt met veilige en conforme bestandsoverdracht

Het Kiteworks Private Data Network pakt NIS2-nalevingsuitdagingen aan via een uniform platform dat beveiligingsbeleid standaardiseert over beveiligde e-mail, Kiteworks beveiligde bestandsoverdracht, beveiligde MFT en SFTP-kanalen.

Kiteworks biedt AES-256 encryptie, rolgebaseerde toegangscontrole (RBAC) en uitgebreide audittrails die verplichte incidentmeldingen ondersteunen. Met realtime anomaliedetectie en gedetailleerde beleidsafdwinging stelt Kiteworks beheerders van kritieke infrastructuur in staat om aan NIS2-cyberbeveiligingsverplichtingen te voldoen en tegelijkertijd operationele efficiëntie te behouden. Het bewezen compliance-framework van het platform, ondersteund door ISO 27001-, FedRAMP- en SOC 2-certificeringen, geeft organisaties vertrouwen in hun nalevingspositie in diverse EU-rechtsbevoegdheden.

Meer weten over Kiteworks voor NIS2-naleving? Plan vandaag nog een aangepaste demo in.

Veelgestelde vragen

Om te bepalen of u aan NIS2 moet voldoen, controleer of uw bedrijf actief is in een kritieke of belangrijke sector (zoals energie, zorg, IT) binnen de EU of EU-klanten bedient. Heeft u 50+ werknemers of een jaarlijkse omzet boven €10 miljoen (essentieel) of €50 miljoen (belangrijk), dan valt u waarschijnlijk onder de reikwijdte. Multi-sector- en grensoverschrijdende activiteiten vergroten ook de kans op NIS2-toepassing. Controleer uw sectorclassificatie en raadpleeg nationale autoriteiten voor bevestiging.

Als essentiële entiteiten 50+ werknemers en belangrijke entiteiten 250+ werknemers hebben, zijn zij verplicht te voldoen aan de NIS2-richtlijn. Dit omvat voltijdsequivalenten berekend als een gemiddelde over het voorgaande boekjaar, inclusief tijdelijk personeel en aannemers. De toepasbaarheid van NIS2 kan ook worden beïnvloed door lidstaten die kleinere entiteiten als essentieel aanwijzen als ze van belang zijn voor de nationale veiligheid.

Om omzetdrempels voor NIS2-naleving te berekenen, gebruikt u de geconsolideerde groepsomzet: €10 miljoen voor essentiële entiteiten, €50 miljoen voor belangrijke entiteiten. Neem transacties binnen de groep en omzet van dochterondernemingen mee. Financiële instellingen gebruiken netto bankinkomsten, terwijl energiebedrijven zowel gereguleerde als niet-gereguleerde inkomsten meenemen.

Onder NIS2 krijgen essentiële entiteiten strenger toezicht met 24-uurs incidentmelding, direct toezicht en boetes tot €10 miljoen of 2% van de wereldwijde omzet. Belangrijke entiteiten hebben 72-uurs meldingsplicht, zelfevaluatie en lagere boetes van €7 miljoen of 1,4% van de omzet.

Om aan NIS2 te voldoen, ja, u moet zich registreren bij de bevoegde autoriteit in elke lidstaat waar u aan de NIS2-classificatiecriteria voldoet. Elk land onderhoudt aparte registers met verschillende procedures, van digitale portalen tot papieren indieningen.

Aanvullende bronnen

  • Samenvatting Hoe voert u een NIS 2-nalevingsbeoordeling uit
  • Video NIS 2-richtlijn: Vereisten, verplichtingen en hoe Kiteworks kan helpen met naleving
  • Blog Post Gids voor kleine bedrijven voor NIS 2-naleving
  • Blog Post NIS 2-richtlijn: Wat het betekent voor uw bedrijf
  • Blog Post NIS 2-richtlijn: Effectieve implementatiestrategieën

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Table of Content
Share
Tweet
Share
Explore Kiteworks