De Cyberbeveiligingswet deelt organisaties in twee categorieën: essentiële entiteiten (Bijlage 1) en belangrijke entiteiten (Bijlage 2). Het verschil bepaalt de zwaarte van het toezicht en de maximale boete. In dit artikel vindt u de complete lijst van alle 17 sectoren.
Bijlage 1 — Essentiële sectoren (11 sectoren)
Organisaties in deze sectoren vallen onder het strengste regime met proactief toezicht en boetes tot €10 miljoen.
1. Energie
Elektriciteit, aardgas, olie, waterstof, stadsverwarming en -koeling. Dit omvat energieproducenten, netbeheerders, leveranciers en opslagfaciliteiten.
2. Transport
Luchtvaart, spoorvervoer, scheepvaart en wegvervoer. Denk aan luchtvaartmaatschappijen, luchthavens, spoorwegbeheerders, havens en verkeersleiding.
3. Bankwezen
Kredietinstellingen zoals gedefinieerd in de Verordening kapitaalvereisten.
4. Infrastructuur financiële markten
Exploitanten van handelsplatformen en centrale tegenpartijen.
5. Gezondheidszorg
Zorgaanbieders, EU-referentielaboratoria, onderzoeks- en ontwikkelingsactiviteiten op het gebied van geneesmiddelen, en fabrikanten van medische hulpmiddelen die als kritiek worden beschouwd bij een noodsituatie op het gebied van volksgezondheid.
6. Drinkwater
Leveranciers en distributeurs van water voor menselijke consumptie.
7. Afvalwater
Bedrijven die stedelijk afvalwater, huishoudelijk afvalwater of industrieel afvalwater opvangen, lozen of behandelen.
8. Digitale infrastructuur
Aanbieders van internetknooppunten (IXP's), DNS-dienstverleners, TLD-naamregisters, cloudcomputingdiensten, datacentra, CDN's, vertrouwensdiensten en openbare elektronische communicatienetwerken.
9. Beheer van ICT-diensten (MSP/MSSP)
Aanbieders van beheerde ICT-diensten en beheerde beveiligingsdiensten. Dit is nieuw ten opzichte van de oude NIS-richtlijn en raakt veel IT-bedrijven in de Brainport-regio.
10. Overheid
Entiteiten van de centrale overheid en op regionaal niveau.
11. Ruimtevaart
Exploitanten van grondinfrastructuur die ruimtevaartdiensten ondersteunen.
Sector 9 (Beheer van ICT-diensten) is nieuw en raakt een grote groep bedrijven die voorheen niet onder cyberbeveiligingswetgeving vielen. Bent u een MSP, MSSP of beheerd IT-dienstverlener? Dan valt u waarschijnlijk onder de wet.
Bijlage 2 — Belangrijke sectoren (6 sectoren)
Organisaties in deze sectoren vallen onder reactief toezicht met boetes tot €7 miljoen.
12. Post- en koeriersdiensten
Aanbieders van postdiensten, waaronder koeriersdiensten.
13. Afvalbeheer
Bedrijven die zich bezighouden met afvalbeheer, exclusief bedrijven waarvoor afvalbeheer niet de belangrijkste economische activiteit is.
14. Vervaardiging, productie en distributie van chemische stoffen
Bedrijven die chemische stoffen vervaardigen en distribueren.
15. Productie, verwerking en distributie van levensmiddelen
Levensmiddelenbedrijven die zich bezighouden met groothandel, industriële productie of verwerking.
16. Vervaardiging (maakindustrie)
Dit is een brede sector die onder andere omvat:
- Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek
- Vervaardiging van informaticaproducten en elektronische en optische producten
- Vervaardiging van elektrische apparatuur
- Vervaardiging van machines en apparaten
- Vervaardiging van motorvoertuigen, aanhangers en opleggers
- Vervaardiging van andere transportmiddelen
Veel bedrijven in de Brainport Eindhoven regio — toeleveranciers van ASML, NXP, DAF en andere OEMs — vallen onder sector 16 (Vervaardiging). Heeft u 50+ medewerkers of €10M+ omzet? Dan bent u waarschijnlijk een belangrijke entiteit.
17. Digitale aanbieders
Aanbieders van online marktplaatsen, online zoekmachines en socialenetwerkplatformen.
Omvangcriteria: wanneer valt u eronder?
Het vallen in een sector alleen is niet genoeg. U moet ook voldoen aan de omvangcriteria:
| Criterium | Drempelwaarde |
|---|---|
| Aantal medewerkers | 50 FTE of meer |
| Jaaromzet | €10 miljoen of meer |
| Balanstotaal | €10 miljoen of meer |
U valt onder de wet als u aan minimaal één van deze criteria voldoet (50+ FTE óf €10M+ omzet/balanstotaal).
Uitzonderingen die altijd onder de wet vallen, ongeacht omvang:
- DNS-dienstverleners en TLD-registers
- Domeinnaamregistrars
- Aanbieders van vertrouwensdiensten
Essentieel of belangrijk: hoe wordt dat bepaald?
| Voorwaarde | Classificatie |
|---|---|
| Bijlage 1 sector + 250+ FTE of €50M+ omzet/balanstotaal | Essentieel |
| Bijlage 1 sector + 50-250 FTE | Belangrijk |
| Bijlage 2 sector + 50+ FTE of €10M+ omzet/balanstotaal | Belangrijk |
| Specifieke diensten (DNS, vertrouwensdiensten) | Essentieel (altijd) |
Niet in een sector? U kunt alsnog geraakt worden
Staat uw sector niet in de lijst? Dan bent u niet direct verplicht, maar u kunt indirect geraakt worden als u levert aan bedrijven die wél onder de wet vallen. Uw opdrachtgevers worden namelijk verplicht om de cyberveiligheid van hun toeleveranciers te controleren.
"De Cyberbeveiligingswet raakt niet alleen de 17 sectoren direct — via ketenverantwoordelijkheid raakt het de hele economie."
Bron: EUR-Lex — NIS2-richtlijn Bijlage I en II
Bron: NCTV — Cyberbeveiligingswet
Wilt u in 60 seconden weten of uw sector en bedrijfsomvang onder de wet vallen?
Doe de gratis NIS2 check