NIS2 kritieke sectoren: de volledige lijst

18 sectoren onder de loep

De NIS2-richtlijn breidt het toepassingsgebied drastisch uit ten opzichte van de oorspronkelijke NIS-richtlijn. Van 7 sectoren gaat het naar 18 sectoren, verdeeld over twee categorieën: essentieel en belangrijk. Voor organisaties in Nederland betekent dit dat duizenden bedrijven voor het eerst onder strenge cybersecurity-wetgeving vallen.

Essentiële entiteiten: Bijlage I

De sectoren met de hoogste classificatie kennen het strengste toezicht en de zwaarste sancties (tot 10 miljoen euro of 2% omzet).

1. Energie

| Subsector | Voorbeelden | |---|---| | Elektriciteit | Netbeheerders, energieleveranciers, laadpuntexploitanten | | Olie | Raffinaderijen, pijpleidingbeheerders | | Gas | Gasopslagbedrijven, LNG-terminals, distributienetbeheerders | | Waterstof | Producenten en distributiebedrijven | | Stadsverwarming | Warmtenetbeheerders |

2. Vervoer

Luchtvaart, spoorvervoer, scheepvaart en wegvervoer — van luchthavens tot verkeersmanagementsystemen.

3. Bankwezen

Kredietinstellingen die onder de Kapitaalvereistenverordening vallen. DNB is hier toezichthouder.

4. Financiëlemarktinfrastructuren

Exploitanten van handelsplatformen en centrale tegenpartijen.

5. Gezondheidszorg

Ziekenhuizen, laboratoria, fabrikanten van medische hulpmiddelen, farmaceutische bedrijven en groothandelaars.

6. Drinkwater

Leveranciers en distributeurs van drinkwater. In Nederland een sector met hoge maatschappelijke impact.

7. Afvalwater

Bedrijven die stedelijk afvalwater, huishoudelijk afvalwater of industrieel afvalwater inzamelen, afvoeren of behandelen.

8. Digitale infrastructuur

| Type | Voorbeelden | |---|---| | Internetknooppunten (IXP's) | AMS-IX en vergelijkbare knooppunten | | DNS-dienstverleners | Beheerders van DNS-infrastructuur | | TLD-naamregisters | SIDN (.nl-domein) | | Cloudcomputingdiensten | IaaS, PaaS, SaaS-aanbieders | | Datacenterdiensten | Colocatie en managed hosting | | CDN-aanbieders | Content delivery networks | | Vertrouwensdiensten | Certificaatuitgevers (CA's), elektronische handtekeningen | | Telecom | Aanbieders van openbare elektronische-communicatienetwerken |

9. ICT-dienstbeheer (B2B)

Managed service providers (MSP's) en managed security service providers (MSSP's).

10. Overheid

Centrale overheid en regionale overheden (exclusief rechterlijke macht, parlementen en centrale banken).

11. Ruimtevaart

Exploitanten van grondinfrastructuur voor ruimtevaartdiensten.

Belangrijke entiteiten: Bijlage II

Deze sectoren vallen onder lichter toezicht maar kennen nog steeds boetes tot 7 miljoen euro of 1,4% omzet.

12. Post- en koeriersdiensten

Aanbieders van postdiensten, inclusief koeriersdiensten.

13. Afvalbeheer

Bedrijven die afval inzamelen, vervoeren, verwerken of recyclen.

14. Vervaardiging, productie en distributie van chemische stoffen

De volledige chemieketen, van productie tot distributie.

15. Levensmiddelenproductie, -verwerking en -distributie

De voedselketen, inclusief groothandel en industriële productie.

16. Vervaardiging

Specifieke productiesectoren:

• Medische hulpmiddelen en in-vitrodiagnostiek
• Computerapparatuur, elektronische en optische producten
• Elektrische apparatuur
• Machines en apparaten
• Motorvoertuigen, aanhangers en opleggers
• Overige transportmiddelen

17. Digitale aanbieders

| Type | Voorbeelden | |---|---| | Online marktplaatsen | Bol.com, Amazon.nl (als gevestigd in NL) | | Online zoekmachines | Zoekmachinediensten | | Platforms voor sociale netwerken | Social media platforms |

18. Onderzoek

Onderzoeksorganisaties (universiteiten en onderzoeksinstituten wanneer zij onderzoeksresultaten rechtstreeks beschikbaar stellen).

Drempelwaarden: valt u eronder?

De size-cap regel bepaalt of uw organisatie binnen scope valt:

| Criterium | Essentieel | Belangrijk | |---|---|---| | Medewerkers | > 250 OF | > 50 OF | | Jaaromzet | > 50 miljoen euro OF | > 10 miljoen euro OF | | Balanstotaal | > 43 miljoen euro | > 10 miljoen euro |

Uitzonderingen: sommige organisaties vallen ongeacht hun omvang onder NIS2:

• Vertrouwensdienstverleners
• TLD-registers en DNS-dienstverleners
• Telecomaanbieders
• Overheidsentiteiten
• Enige aanbieder van een kritieke dienst in een lidstaat

De supply chain factor

Zelfs als uw organisatie niet direct onder NIS2 valt, kunt u indirect geraakt worden. Essentiële en belangrijke entiteiten zijn verplicht hun toeleveringsketen te beveiligen. Dit vertaalt zich in:

• Contractuele beveiligingseisen voor leveranciers
• Verplichte security audits van toeleveranciers
• Eisen aan certificering (ISO 27001, SOC 2)
• Recht op inspectie van beveiligingsmaatregelen

Zelfcheck: 5 vragen

1. Opereert uw organisatie in een van de 18 genoemde sectoren?
2. Overschrijdt u de drempelwaarden (medewerkers/omzet)?
3. Levert u producten of diensten aan organisaties in deze sectoren?
4. Verwerkt u data of systemen die kritiek zijn voor uw klanten?
5. Heeft uw organisatie een specifieke aanwijzing ontvangen van een toezichthouder?

Als u op minstens één vraag "ja" antwoordt, is NIS2 relevant voor uw organisatie.

Toezicht in Nederland

De handhaving van NIS2 is in Nederland verdeeld over meerdere toezichthouders, afhankelijk van de sector:

| Sector | Toezichthouder | |---|---| | Telecom en digitale infrastructuur | Rijksinspectie Digitale Infrastructuur (RDI) | | Financiële sector | De Nederlandsche Bank (DNB) en AFM | | Gezondheidszorg | Inspectie Gezondheidszorg en Jeugd (IGJ) | | Energie | Autoriteit Consument en Markt (ACM) | | Digitale dienstverleners | RDI | | Overheid | NCSC |

Het NCSC fungeert als het nationale coördinatiecentrum en werkt samen met de sectorale toezichthouders. Organisaties doen er goed aan om nu al contact te leggen met de relevante toezichthouder en de beschikbare zelfevaluatietools te gebruiken om hun huidige beveiligingsniveau te toetsen aan de NIS2-eisen.

Het Digital Trust Center (DTC) biedt specifieke ondersteuning voor het MKB en niet-vitale bedrijven die indirect door NIS2 worden geraakt via de toeleveringsketen.

Volgende stappen

Begin met een assessment van uw huidige beveiligingsniveau ten opzichte van de NIS2-eisen. Het NCSC biedt richtsnoeren en handreikingen specifiek voor Nederlandse organisaties.

Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.