NIS2 en complexe bedrijfsmodellen: zo bepaal je onder welke wet jouw organisatie valt

De Europese NIS2-richtlijn verandert de manier waarop organisaties binnen de Europese Unie omgaan met digitale veiligheid. Voor organisaties die over meerdere landen, entiteiten of bedrijfsonderdelen verspreid zijn, kan het bepalen van de juiste verantwoordelijkheden een uitdaging zijn.

Geschreven door: Jacco Wildeman

Daarom is er nu een Handreiking voor organisaties met complexe bedrijfsmodellen van de NCTV. Een document dat helpt om overzicht te creëren en helderheid te krijgen over de toepassing van de Cyberbeveiligingswet (de Nederlandse implementatie van NIS2).

De essentie: weten wat geldt voor jou

De eerste stap is vaststellen of jouw organisatie een essentiële of belangrijke entiteit is.
De Cyberbeveiligingswet (Cbw) verdeelt organisaties op basis van sector, omvang en maatschappelijke impact. Denk aan sectoren als energie, zorg, digitale infrastructuur, transport, financiële markten of afvalbeheer.

• • • Essentiële entiteiten staan onder proactief toezicht – zij worden actief gecontroleerd op naleving.
    • Belangrijke entiteiten vallen onder reactief toezicht – controles vinden plaats na incidenten of signalen.

De handreiking bevat een helder stappenplan en stroomschema waarmee organisaties snel kunnen bepalen onder welke categorie ze vallen. Zo ontstaat de basis voor een veilige, conforme en toekomstbestendige IT-omgeving.

Nationale wetgeving: waar ligt jouw verantwoordelijkheid?

Na het bepalen onder welke type entiteit je valt, volgt de tweede stap: onder welke nationale wetgeving valt jouw organisatie?

De hoofdregel is eenvoudig: Bevindt jouw organisatie zich in Nederland en verricht je diensten binnen de Europese Unie, dan val je onder de Nederlandse Cyberbeveiligingswet.

Voor digitale dienstverleners (zoals cloudproviders, datacenters en security service providers) geldt een nuance: de wet van toepassing is die van het land waar de hoofdvestiging of vertegenwoordiger is gevestigd. Zo zal een internationale organisatie met een hoofdkantoor in Duitsland, maar activiteiten in Nederland, onder Duitse wetgeving vallen.

NIS2 Kennisbank

Vijf herkenbare situaties

De handreiking beschrijft vijf scenario’s waarin organisaties kunnen herkennen hoe de Cyberbeveiligingswet op hen van toepassing is:

1. Volledig binnen Nederland: alle entiteiten vallen onder de Nederlandse Cyberbeveiligingswet.
2. Binnen de EU, hoofdvestiging in Nederland: buitenlandse entiteiten vallen alleen onder de Nederlandse wet als ze digitale dienstverleners zijn.
3. Binnen de EU, hoofdvestiging buiten Nederland: Nederlandse vestigingen vallen onder de Cyberbeveiligingswet, tenzij ze digitale dienstverleners zijn.
4. Mondiale organisatie, hoofdvestiging in Nederland: ook buiten-EU entiteiten vallen onder de Cyberbeveiligingswet als ze digitale dienstverleners zijn.
5. Mondiale organisatie, hoofdvestiging buiten Nederland: Nederlandse entiteiten vallen alleen onder de Cyberbeveiligingswet als ze geen digitale dienstverleners zijn.

Belangrijk om te weten: Als er sprake is van afzonderlijke IT-netwerken dan moeten alleen de IT-netwerken van de entiteiten die onder de Cyberbeveiligingswet vallen aan de eisen van de wet voldoen.

Incidenten: meldplicht en verantwoordelijkheid

Een significant incident (bijvoorbeeld een datalek, verstoring of cyberaanval) moet altijd worden gemeld bij het NCSC via het centrale meldportaal. Elke entiteit die onder de Cyberbeveiligingswet valt, is daarvoor zelf verantwoordelijk. Bij meerdere betrokken entiteiten moet ieder afzonderlijk melden. Voor entiteiten die onder buitenlandse wetgeving vallen, geldt de meldplicht in het betreffende land.

Van verplichting naar versterking

De NIS2-richtlijn en de Cyberbeveiligingswet zijn meer dan een juridische verplichting. Ze vormen een kans om de weerbaarheid en veerkracht van je organisatie structureel te versterken. Meer informatie over NIS2 is te vinden in de NIS2 Kennisbank.