In de NIS2-richtlijn en Cyberbeveiligingswet is de sector overheid een aparte sector. De volgende overheidsorganisaties vallen onder de Cyberbeveiligingswet:
- Ministeries, inclusief hun diensten en agentschappen
- Provincies
- Gemeenten
- Waterschappen (via het ministerie van IenW)
De volgende overheidsinstanties vallen onder de Cyberbeveiligingswet voor zover zij voldoen aan de 4 criteria voor overheidsinstanties. Dit is dus per geval verschillend.
- Zelfstandige bestuursorganen
- Gemeenschappelijke regelingen
Het omvangscriterium dat in andere sectoren van de Cyberbeveiligingswet relevant is, geldt niet voor de sector overheid. In plaats daarvan gelden criteria die bepalen of organisaties ‘overheidsinstanties’ zijn. Deze criteria gelden in elk geval voor alle ministeries, provincies en gemeenten. Voor zelfstandige bestuursorganen en gemeenschappelijke regelingen moet per geval worden bepaald of de criteria van toepassing zijn.
De criteria voor overheidsinstanties en de interpretatie hiervan zijn terug te vinden in de Memorie van Toelichting bij de Cyberbeveiligingswet onder 5.1.2.
Criteria overheidsinstanties
Een organisatie is een overheidsinstantie als:
- zij is opgericht om te voorzien in behoeften van algemeen belang en geen industrieel of commercieel karakter heeft;
- zij rechtspersoonlijkheid heeft of volgens de wet namens een andere entiteit met rechtspersoonlijkheid mag optreden;
- zij grotendeels wordt gefinancierd door de staat, regionale autoriteiten of andere publiekrechtelijke organen, is onderworpen aan beheerstoezicht door die autoriteiten of organen, of een bestuursorgaan, leidinggevend of toezichthoudend orgaan heeft, waarvan de leden voor meer dan de helft door de staat, regionale autoriteiten of andere publiekrechtelijke organen worden benoemd;
- zij de bevoegdheid heeft om ten aanzien van natuurlijke of rechtspersonen administratieve of regelgevende besluiten te nemen die van invloed zijn op hun rechten op het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal. Denk hierbij aan besluiten in de zin van de Algemene wet bestuursrecht.
Meer informatie over hoe je deze criteria moet lezen, lees je in de Memorie van Toelichting bij de Cyberbeveiligingswet onder 5.1.2.
Uitzondering overheidsorganisaties van de Cyberbeveiligingswet
De Cyberbeveiligingswet geeft een uitzondering voor overheidsinstanties die hoofdzakelijk activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving (inclusief het voorkomen, onderzoeken en opsporen van strafbare feiten). Dit betekent dat het ministerie van Defensie, de Militaire Inlichtingen- en Veiligheidsdienst, de Algemene Inlichtingen- en Veiligheidsdienst, het Openbaar Ministerie, de politie en de veiligheidsregio’s zijn uitgezonderd van de NIS2-richtlijn. De NIS2-richtlijn geeft wel aan dat ook uitgezonderde organisaties moeten streven naar een minstens gelijkwaardig niveau voor hun weerbaarheid.
Overheidsinstanties die activiteiten uitvoeren die zijdelings te maken hebben met nationale veiligheid et cetera, vallen wel onder toepassing van de richtlijn.
Val ik onder de Cyberbeveiligingswet?
Organisaties zijn zelf verantwoordelijk om te bepalen of zij onder de Cyberbeveiligingswet vallen. Op basis van interdepartementale afstemming is een vragenlijst ontwikkeld. Hiermee kunnen organisaties zelf bepalen of ze onder de Cyberbeveiligingswet/NIS2-richtlijn vallen. En of ze gekenmerkt worden als essentieel of belangrijk. Doe de NIS2 Zelfevaluatie.
Of bekijk de Flowchart Registratieplicht, opgesteld door het NCSC.
