Valt mijn bedrijf onder NIS2 of niet?
Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
support/compliance-en-wetgeving/nis2-valt-mijn-bedrijf-eronderstappen: 5
Probeer dit eerst zelf
- Check de sector. Energie, transport, drinkwater, afvalwater, bankwezen, financiele markten, zorg, overheid, post, digitale infrastructuur, ICT-beheerdiensten, ruimtevaart, voedselproductie en -distributie, chemie, productie van kritieke goederen, digitale aanbieders en onderzoek staan in bijlagen I en II van de richtlijn.
- Tel je medewerkers en omzet. Onder de drempel van 50 fte of 10 miljoen euro omzet val je niet rechtstreeks, tenzij je als enige in NL die dienst levert.
- Werk je voor een klant die er wel onder valt? Dan komt NIS2 indirect via hun leveranciersmanagement op je af, contractueel.
- Twijfel? RDI heeft een NIS2-zelfevaluatie online staan, dat is de officiele bron. Doe die eerst, dan weet je zeker of je essentiele of belangrijke entiteit bent.
- Schrijf het antwoord op met datum en bron. Als de wet of jouw omzet verandert, herhaal je deze check.
Wanneer ons inschakelen
Onduidelijke sector-classificatie of je levert aan meerdere essentiele entiteiten tegelijk? Dan is een juridische check beter dan zelf gokken.
Zie ook
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
- Wat is een verwerkersregister en hoe maak ik er een?Een lijst per verwerking: welke gegevens, voor welk doel, hoelang, met welke partijen gedeeld. Verplicht onder AVG art. 30; de uitzondering voor organisaties onder 250 fte vervalt zodra je structureel of risicovol verwerkt, wat voor MKB met klantdata vrijwel altijd zo is.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.