Belangrijk vs essentieel vs KRITIS: hetzelfde werk, andere gevolgen
NIS2 onderscheidt drie categorieën gereguleerde entiteiten. De beveiligingsmaatregelen zijn voor alle drie identiek. Wat verandert, is hoe nauwlettend het BSI u in de gaten houdt en hoe hard de sancties uitvallen als u in gebreke blijft.
Drie categorieën, één set regels
De Duitse NIS2-omzetting (BSIG) deelt gereguleerde entiteiten in drie categorieën in: wichtige Einrichtungen (belangrijke entiteiten), essentiële entiteiten (essential entities) en Betreiber kritischer Anlagen (KRITIS-exploitanten). Veel ondernemingen besteden weken aan het uitzoeken in welke categorie ze vallen voordat ze met hun complianceswerk beginnen.
Hier is het belangrijkste inzicht: voor het werk zelf maakt het niet uit. Alle drie de categorieën moeten dezelfde 10 categorieën beveiligingsmaatregelen uit §30(2) BSIG implementeren. Hetzelfde risicobeheer. Dezelfde meldplicht. Dezelfde beveiliging van de toeleveringsketen. Dezelfde toegangscontroles. Hetzelfde versleutelingsbeleid. Dezelfde bedrijfscontinuïteitsplanning.
De verschillen zitten in het toezicht (hoe het BSI u monitort), de boetes (hoeveel u betaalt als non-compliance wordt vastgesteld) en drie extra verplichtingen die alleen voor KRITIS-exploitanten gelden. Het complianceproces dat u op NISD2 doorloopt, dekt alle drie de categorieën op identieke wijze af.
| Criterium | Belangrijk (Wichtig) | Essentieel (Besonders Wichtig) | KRITIS |
|---|---|---|---|
| Bedrijfsgrootte | 50+ medewerkers OF >10M EUR omzet en >10M EUR balanstotaal | 250+ medewerkers OF >50M EUR omzet en >43M EUR balanstotaal | Elke omvang - bepaald door infrastructuurdrempels (bijv. 500.000 bediende personen) |
| Sectoren | Bijlage I (energie, vervoer, financiën, gezondheid, water, digitale infrastructuur, ruimtevaart) + Bijlage II (post, afval, chemicaliën, levensmiddelen, productie, digitale diensten, onderzoek) | Alleen Bijlage I-sectoren (middelgrote entiteiten in Bijlage I worden als belangrijk geclassificeerd, niet als essentieel) | Deelverzameling van essentieel - alleen entiteiten die infrastructuur exploiteren waarvan de uitval de openbare voorziening zou verstoren |
| Omvangsonafhankelijke insluitingen | Niet-gekwalificeerde verleners van vertrouwensdiensten, kleine telecomaanbieders | Gekwalificeerde vertrouwensdiensten, TLD-registers, DNS-aanbieders, grote telecomaanbieders | Exploitanten van kritieke installaties zoals gedefinieerd in BSI-KritisV (elektriciteitsnetten, waterzuivering, ziekenhuizen, enz.) |
De EU-drempel voor middelgrote ondernemingen luidt: 50+ medewerkers OF (>€10M omzet EN >€10M balanstotaal). Aan beide financiële criteria moet tegelijkertijd worden voldaan - alleen een hoge omzet is niet genoeg. Voor essentiële entiteiten geldt de drempel voor grote ondernemingen: 250+ medewerkers OF (>€50M omzet EN >€43M balanstotaal). Deze voorbeelden laten zien hoe de regels in de praktijk uitpakken.
| Scenario | Medewerkers | Omzet | Balanstotaal | Sector | Classificatie |
|---|---|---|---|---|---|
| Handelsbedrijf met hoge omzet, klein team | 12 | €25M | €18M | Bijlage I - Bankwezen | Belangrijk - beide financiële drempels overschreden (>€10M), aantal medewerkers irrelevant |
| Grote fabrikant, lage marge | 200 | €5M | €3M | Bijlage II - Productie | Belangrijk - aantal medewerkers ≥50 volstaat, omzet doet er niet toe |
| SaaS-startup, hoge omzet, piepklein team | 8 | €15M | €4M | Bijlage I - Digitale infrastructuur | Niet binnen toepassingsgebied - omzet boven €10M, maar balanstotaal onder €10M. Aan BEIDE moet worden voldaan |
| Regionaal ziekenhuis | 400 | €60M | €45M | Bijlage I - Gezondheid | Essentieel - 250+ medewerkers in een Bijlage I-sector. Bij >30.000 klinische opnames/jaar: KRITIS |
| Energiehandelaar, asset-light | 15 | €120M | €55M | Bijlage I - Energie | Essentieel - beide grote financiële drempels overschreden (>€50M omzet EN >€43M balanstotaal) |
| Afvalbeheerbedrijf | 80 | €8M | €6M | Bijlage II - Afval | Belangrijk - 80 medewerkers ≥50-drempel, ondanks lage omzet. Alleen NACE E.38 (niet sanering E.39) |
| Managed service provider (MSP) | 45 | €12M | €11M | Bijlage I - ICT-dienstenbeheer | Belangrijk - minder dan 50 medewerkers, maar beide financiële drempels overschreden. Valt ook onder CIR 2024/2690 |
| Levensmiddelenverwerker, seizoenspersoneel | 55 (jaargemiddelde) | €9M | €7M | Bijlage II - Levensmiddelen | Belangrijk - personeelsaantal gebruikt jaararbeidseenheden (Aanb. 2003/361/EG art. 5). Seizoenspieken tellen naar rato mee |
| Gekwalificeerde verlener van vertrouwensdiensten (qTSP) | 3 | €500K | €200K | Bijlage I - Digitale infrastructuur | Essentieel - omvangsonafhankelijk volgens §28(1) BSIG. qTSP's zijn altijd essentieel, ongeacht omvang |
| Chemiedistributeur, grote dochteronderneming | 180 | €70M | €50M | Bijlage II - Chemicaliën | Belangrijk - ondanks grote financiële cijfers reiken Bijlage II-sectoren maximaal tot belangrijk. Alleen Bijlage I + groot = essentieel |
Omvangsdrempels volgens EU-Aanbeveling 2003/361/EG art. 2, waarnaar wordt verwezen in NIS2-richtlijn art. 2(1). Het aantal medewerkers gebruikt jaararbeidseenheden (art. 5). Regels voor verbonden/partnerondernemingen (Bijlage art. 3) kunnen het personeelsaantal en de financiële cijfers van de moedermaatschappij optellen. Sectorclassificatie volgens NIS2-richtlijn Bijlage I/II, omgezet in BSIG §28 Anlage 1/2. Omvangsonafhankelijke gevallen volgens §28(1) BSIG.
Wat identiek is voor alle drie de categorieën
De in §30(2) BSIG vastgelegde complianceverplichtingen zijn voor belangrijke, essentiële en KRITIS-entiteiten gelijk. Er is geen lichtere versie voor belangrijke entiteiten en geen zwaardere versie voor essentiële entiteiten. De 10 categorieën beveiligingsmaatregelen gelden in gelijke mate:
- Beleid en procedures voor risicobeheer (§30(2) Nr. 1)
- Incidentafhandeling en melding - 24h eerste melding, 72h gedetailleerde melding, 1 maand eindrapport (§32)
- Bedrijfscontinuïteit en uitwijk na rampen (§30(2) Nr. 3)
- Beveiliging van de toeleveringsketen (§30(2) Nr. 4)
- Beveiliging bij inkoop, ontwikkeling en onderhoud (§30(2) Nr. 5)
- Beleid voor het beoordelen van de doeltreffendheid van beveiligingsmaatregelen (§30(2) Nr. 6)
- Cyberhygiëne en training (§30(2) Nr. 7)
- Cryptografie- en versleutelingsbeleid (§30(2) Nr. 8)
- Personeelsbeveiliging en toegangscontrole (§30(2) Nr. 9)
- Multifactorauthenticatie en beveiligde communicatie (§30(2) Nr. 10)
- Registratie bij het BSI binnen 3 maanden (§33)
- Bestuurdersaansprakelijkheid - persoonlijke verantwoordelijkheid voor het goedkeuren en toezien op beveiligingsmaatregelen (§38)
Dit betekent dat het NISD2-platform alle entiteitstypen met dezelfde set vereisten afdekt. Of u nu een belangrijk levensmiddelenbedrijf of een essentiële energieleverancier bent: het complianceproces is identiek. U voltooit dezelfde vereisten, levert dezelfde bewijsstukken en voldoet aan dezelfde normen.
| Verplichting | Belangrijk | Essentieel | KRITIS |
|---|---|---|---|
| 10 beveiligingsmaatregelen (§30) | Vereist | Vereist | Vereist |
| Meldplicht (§32) | 24h / 72h / 1 maand | 24h / 72h / 1 maand | 24h / 72h / 1 maand |
| BSI-registratie (§33) | Basis | Basis | Uitgebreid - kritieke dienst, voorzieningscijfers, locatie van de installatie, 24/7-contact |
| Bestuurdersaansprakelijkheid (§38) | Persoonlijke aansprakelijkheid | Persoonlijke aansprakelijkheid | Persoonlijke aansprakelijkheid |
| BSI-toezicht | Alleen reactief (§62) - het BSI treedt alleen op bij aanwijzingen voor non-compliance | Proactief (§61) - het BSI kan op elk moment zonder aanleiding controleren | Proactief + verplichte 3-jaarlijkse bewijscyclus (§39) |
| Maximale boete (basis) | 7.000.000 EUR | 10.000.000 EUR | 10.000.000 EUR |
| Maximale boete (omzet) | 1,4% van de wereldwijde omzet | 2% van de wereldwijde omzet | 2% van de wereldwijde omzet |
| Aanvalsdetectiesystemen (§31) | Niet vereist | Niet vereist | Vereist - continue SIEM/SOC-capaciteit |
| Verplicht compliancebewijs (§39) | Niet vereist | Niet vereist | Vereist - elke 3 jaar, in te dienen bij het BSI |
KRITIS: drie aanvullende verplichtingen
KRITIS-exploitanten - entiteiten die infrastructuur exploiteren waarvan de uitval de openbare voorziening zou verstoren (elektriciteitsnetten, waterzuivering, ziekenhuizen) - moeten drie aanvullende vereisten naleven bovenop wat belangrijke en essentiële entiteiten moeten doen.
§31 - Aanvalsdetectiesystemen (Angriffserkennungssysteme)
U hebt een systeem nodig dat uw netwerk de klok rond bewaakt en lopende aanvallen kan opmerken of kan vaststellen dat iemand al is binnengedrongen. In de praktijk betekent dit het inzetten van een SIEM (Security Information and Event Management): software die logs van elke server, firewall en endpoint verzamelt, correleert en alarm slaat bij anomalieën. Het moet zowel patroonherkenning ALS anomaliedetectie gebruiken, niet alleen signatures. De meeste ondernemingen besteden dit uit aan een managed SOC (Security Operations Center), wat doorgaans 5.000-15.000 EUR per maand kost. Gewone NIS2-entiteiten kunnen toe met basismonitoring - KRITIS-exploitanten uitdrukkelijk niet.
§33(2) - Uitgebreide registratie bij het BSI
Bovenop de standaardregistratie (naam, sector, contact) moeten KRITIS-exploitanten het BSI precies meedelen welke kritieke dienst ze leveren (bijv. 'drinkwatervoorziening voor 200.000 personen'), welke kritieke componenten ze gebruiken, de fysieke locatie van de installatie en een 24/7-contactpersoon die op elk uur bereikbaar is. Voorzieningscijfers moeten jaarlijks worden gemeld - het BSI gebruikt deze om te controleren of u nog steeds boven de KRITIS-drempel zit (vastgelegd in BSI-KritisV, bijv. 500.000 bediende personen voor water, 104 MW voor elektriciteit).
§39 - Verplicht compliancebewijs elke 3 jaar (Nachweispflicht)
Elke 3 jaar moet u proactief auditresultaten, beveiligingsrapporten of certificeringen bij het BSI indienen die aantonen dat u alle §30-maatregelen en de §31-aanvalsdetectie naleeft. Het BSI hoeft u niet op te zoeken - u komt naar hen toe. Stelt het BSI tekortkomingen vast, dan vaardigt het bindende herstelbevelen met termijnen uit en verlangt het bewijs dat u de problemen hebt verholpen. Zie het als een verplichte ISO-certificeringscyclus, alleen is de auditor hier de overheid. Eerste termijn: december 2028 (5 jaar voor ziekenhuizen: december 2030).
Wat dit voor uw onderneming betekent
Bent u een onderneming met 50-250 medewerkers in Duitsland - de typische NISD2-gebruiker - dan bent u vrijwel zeker geclassificeerd als wichtige Einrichtung (belangrijke entiteit). Uw productiebedrijf, levensmiddelenverwerkende onderneming of IT-dienstverlener valt in deze categorie. Het complianceswerk dat u moet verrichten, is precies hetzelfde als dat van een grote essentiële entiteit of zelfs een KRITIS-exploitant. Het enige praktische verschil: het BSI zal u niet proactief controleren, tenzij het daar een reden voor heeft (een incident, een klacht of een tip).
Dat is geen reden om minder te doen. Als het BSI u wél controleert - reactief, na een incident - en non-compliance vaststelt, gelden boetes tot 7 miljoen EUR of 1,4% van de wereldwijde omzet. En uw bestuur is persoonlijk aansprakelijk op grond van §38. De veiligste positie is volledige compliance, ongeacht de categorie. NISD2 biedt u hetzelfde complianceproces dat ook essentiële en KRITIS-entiteiten gebruiken, omdat de vereisten identiek zijn.
Veelgestelde vragen
Kan mijn onderneming zowel belangrijk als essentieel zijn?
Nee. De categorieën sluiten elkaar uit op grond van §28 BSIG. Voldoet u aan de drempel voor essentieel (250+ medewerkers of >50M omzet in een Bijlage I-sector), dan bent u essentieel. Voldoet u aan de drempel voor belangrijk maar niet aan die voor essentieel, dan bent u belangrijk. KRITIS is een deelverzameling van essentieel - KRITIS-exploitanten worden automatisch als essentieel geclassificeerd, met daarbovenop aanvullende verplichtingen.
Ik ben een belangrijke entiteit. Hoef ik minder complianceswerk te doen?
Nee. De 10 categorieën beveiligingsmaatregelen in §30(2) BSIG gelden identiek voor zowel belangrijke als essentiële entiteiten. Het enige verschil is de handhaving: het BSI houdt proactief toezicht op essentiële entiteiten (steekproefsgewijze controles) en reactief op belangrijke entiteiten (alleen na aanwijzingen voor non-compliance). Maar de maatregelen zelf, de termijnen van de meldplicht en de bestuurdersaansprakelijkheid zijn allemaal gelijk.
Hoe weet ik of ik KRITIS ben?
De KRITIS-classificatie is vastgelegd in de BSI-KritisV-verordening, op basis van specifieke voorzieningsdrempels: 500.000 bediende personen voor water, 104 MW geïnstalleerd vermogen voor elektriciteit, 30.000 klinische opnames per jaar voor ziekenhuizen, enz. Als de uitval van uw infrastructuur de openbare voorziening op die schaal niet rechtstreeks zou verstoren, bent u geen KRITIS. De meeste middelgrote ondernemingen zijn geen KRITIS - zij zijn belangrijke of essentiële entiteiten.
Wat gebeurt er als ik mijn entiteitsclassificatie verkeerd inschat?
De classificatie bepaalt de intensiteit van het toezicht en de maximale boetes, niet wat u moet implementeren. Als u alle 10 categorieën maatregelen implementeert (waar NISD2 u doorheen leidt), bent u compliant, ongeacht de classificatie. Het risico van een verkeerde classificatie is dat u uw blootstelling aan toezicht onderschat - denken dat het BSI u niet zal controleren, terwijl het dat wel kan.
Maakt CIR 2024/2690 onderscheid tussen belangrijke en essentiële entiteiten?
Nee. De CIR geldt voor specifieke entiteitstypen (cloudaanbieders, DNS-aanbieders, managed service providers, enz.), ongeacht of ze als belangrijk of essentieel zijn geclassificeerd. De technische vereisten in de CIR zijn voor beide categorieën identiek.
- §28 BSIG - Entiteitsclassificatie (essentiële en belangrijke entiteiten)
- §30 BSIG - Risicobeheermaatregelen (10 categorieën, identiek voor alle entiteitstypen)
- §31 BSIG - Aanvalsdetectiesystemen (alleen KRITIS)
- §32 BSIG - Meldplicht (identieke termijnen voor alle entiteitstypen)
- §33 BSIG - Registratieverplichtingen (uitgebreid voor KRITIS)
- §38 BSIG - Bestuurdersaansprakelijkheid (identiek voor alle entiteitstypen)
- §39 BSIG - Compliancebewijs (alleen KRITIS, elke 3 jaar)
- §61 BSIG - Toezicht op essentiële entiteiten (proactief)
- §62 BSIG - Toezicht op belangrijke entiteiten (reactief)
- §65 BSIG - Sancties en boetes
- CIR 2024/2690 - EU-uitvoeringsverordening (geen onderscheid naar entiteitstype)
- BSI-KritisV - KRITIS-drempelverordening