NIS2 voor kleine organisaties - Ben je vrijgesteld of juist kwetsbaar

In de NIS2 richtlijn wordt de EU Aanbeveling 2003/361/EG veelvuldig aangehaald om de positie van kleine, middelgrote en micro-ondernemingen te bepalen. De eerste keer is dat in ov. 7 NIS2 om criteria vast te stellen over een ‘size-cap’-regel. Hierin wordt verwezen naar art. 2 lid 1 van de bijlage van Aanbeveling 2003/361/EG. Wanneer een organisatie minimaal 51 personen in dienst heeft en minimaal een jaaromzet of jaarlijkse balanstotaal van meer dan € 10 miljoen. Ook moet de organisatie in de toepasselijke sectoren actief zijn en de soorten diensten of activiteiten verrichten die onder NIS2 vallen.

In de basis geeft dit voor middelgrote ondernemingen houvast om de toepasselijkheid van NIS2 verder te kunnen bepalen. Maar dan…

Voor bepaalde kleine en micro-ondernemingen moeten lidstaten op basis van specifieke criteria zelf bepalen of zij binnen het toepassingsgebied van NIS2 gaan vallen. Voor Nederland moet vervolgens de Cyberbeveiligingswet-concept (Cbw-concept) gelezen worden. In art. 12 Cbw-concept worden aanbieders van openbare elektronische communicatienetwerken en verleners van vertrouwensdiensten aangemerkt als een belangrijke entiteit, wanneer zij niet als essentiele entiteit zijn aan te merken. Ook wanneer deze als kleine of micro-onderneming aan te merken is.

Wanneer internationaal gewerkt wordt zal een organisatie eerst moeten bepalen welke omgezette wet van toepassing is en dus gevolgd moet worden. De Cbw-concept (art. 4) volgt art. 26 NIS2 als het gaat om het bepalen van de toepasselijkheid van de Cbw-concept voor een onderneming. Voor internationaal opererende organisaties is het verstandig eerst te bepalen welke vestigingen mogelijk als hoofdvestiging in de zin van NIS2 aangemerkt kunnen worden. Vervolgens is het raadzaam de betreffende omgezette wetten door te nemen om te kunnen vaststellen welke vestiging als hoofdvestiging wordt aangemerkt.

Ook in ov. 16 NIS2 wordt de Aanbeveling 2003/361/EG vermeld. Dit heeft betrekking op partner- of andere ondernemingen die verbonden zijn met een essentiële of belangrijke entiteit. Wanneer het onevenredig zou zijn, kunnen lidstaten, indien van toepassing, rekening houden met de mate van onafhankelijkheid tussen de entiteit en de verbonden onderneming. Deze ondernemingen zouden dat buiten de toepasselijkheid van NIS2 gelaten kunnen worden.

In art. 2 lid 2 NIS2 worden type organisaties aangemerkt waarop NIS2 vantoepassing is, ongeacht hun omvang. Deze organisaties zijn:

• aanbieders van openbare elektronischecommunicatienetwerken of van openbare elektronischecommunicatiediensten;
• aanbieders van vertrouwensdiensten;
• registers voor topleveldomeinnamen en verleners van domeinnaamregistratiediensten;
• de entiteit in een lidstaat de enige aanbieder is van een dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten;
• verstoring van de door de entiteit verleende dienst aanzienlijke gevolgen kan hebben voor de openbare veiligheid, de openbare beveiliging of de volksgezondheid;
• verstoring van de door de entiteit verleende dienst een aanzienlijk systeemrisico met zich kan brengen, met name voor sectoren waar een dergelijke verstoring een grensoverschrijdende impact kan hebben;
• de entiteit kritiek is vanwege het specifieke belang ervan op nationaal of regionaal niveau voor de specifieke sector of het specifieke type dienst, of voor andere onderling afhankelijke sectoren in de lidstaat;
• Entiteit van de centrale overheid zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht;
• Entiteit op regionaal niveau zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht, die, na een risicobeoordeling, diensten verleent waarvan de verstoring aanzienlijke gevolgen kan hebben voor kritieke maatschappelijke of economische activiteiten;
• entiteiten die worden aangemerkt als een kritieke entiteit uit hoofde van Richtlijn (EU) 2022/2557, ongeacht hun omvang;
• Entiteiten die domeinnaamregistratiediensten verrichten.

In art. 3 lid b NIS2 wordt ook speciale aandacht besteed aan de toepasselijkheid van NIS2 voor gekwalificeerde aanbieders van vertrouwensdiensten en registers voor topleveldomeinnamen alsook DNS- dienstverleners als essentiële entiteit. Dus ook wanneer je een ‘eenpitter’ bent, is NIS2 op jouw organisatie van toepassing. Voor de overige hierboven vermelde organisaties zal, voor zover door Nederland nog niet gedaan, bekend worden of zij als essentieel of belangrijk beschouwd moeten worden.

Het is dan ook niet even makkelijk om voor iedere organisatie direct de toepasselijkheid vast te stellen. Vooral vanwege aanvullende overwegingen en uitzonderingen. Ook wordt dit voor internationale organisaties bemoeilijkt vanwege de omzetting van deze Richtlijn door iedere lidstaat. Elk lidstaat geeft een iets andere invulling aan de uitzonderingen. Zorg dan ook dat je de omgezette wetten zelf doorneemt. Vervolgens kan jurisdictie, toepasselijkheid en type entiteit bepaald worden. Val je als kleinere organisatie onder een essentiele of belangrijke entiteit. Dan is het goed te bepalen of NIS2 ook op jouw onderneming van toepassing is.

Voor organisaties die uitgesloten zijn van NIS2 moeten lidstaten hen ondersteunen om gelijkwaardige maatregelen te nemen om hun risico’s te beheren die het (gevoelige) karakter van hun organisatie weerspiegelt, zoals ov. 13 NIS2 aangeeft. Ieder lidstaat, zo ook Nederland, zal hier een eigen invulling aan gaan geven.

Aandacht voor cybersecurity is altijd een goede zaak. Of NIS2 nu wel of niet van toepassing is, iedere organisatie heeft een eigen verantwoordelijkheid de zaken op orde te hebben en te houden.