BSIG 2025

Belangrijk vs essentieel vs KRITIS: hetzelfde werk, andere gevolgen

NIS2 onderscheidt drie categorieën gereguleerde entiteiten. De beveiligingsmaatregelen zijn voor alle drie identiek. Wat verandert, is hoe nauwlettend het BSI u in de gaten houdt en hoe hard de sancties uitvallen als u in gebreke blijft.

Simon OrzelSimon Orzel·Doorlopend gecontroleerd

Drie categorieën, één set regels

De Duitse NIS2-omzetting (BSIG) deelt gereguleerde entiteiten in drie categorieën in: wichtige Einrichtungen (belangrijke entiteiten), essentiële entiteiten (essential entities) en Betreiber kritischer Anlagen (KRITIS-exploitanten). Veel ondernemingen besteden weken aan het uitzoeken in welke categorie ze vallen voordat ze met hun complianceswerk beginnen.

Hier is het belangrijkste inzicht: voor het werk zelf maakt het niet uit. Alle drie de categorieën moeten dezelfde 10 categorieën beveiligingsmaatregelen uit §30(2) BSIG implementeren. Hetzelfde risicobeheer. Dezelfde meldplicht. Dezelfde beveiliging van de toeleveringsketen. Dezelfde toegangscontroles. Hetzelfde versleutelingsbeleid. Dezelfde bedrijfscontinuïteitsplanning.

De verschillen zitten in het toezicht (hoe het BSI u monitort), de boetes (hoeveel u betaalt als non-compliance wordt vastgesteld) en drie extra verplichtingen die alleen voor KRITIS-exploitanten gelden. Het complianceproces dat u op NISD2 doorloopt, dekt alle drie de categorieën op identieke wijze af.

Hoe entiteiten worden geclassificeerd
De classificatie is gebaseerd op de bedrijfsgrootte, de sector en of u kritieke infrastructuur exploiteert. Vastgelegd in §28 BSIG.
CriteriumBelangrijk (Wichtig)Essentieel (Besonders Wichtig)KRITIS
Bedrijfsgrootte50+ medewerkers OF >10M EUR omzet en >10M EUR balanstotaal250+ medewerkers OF >50M EUR omzet en >43M EUR balanstotaalElke omvang - bepaald door infrastructuurdrempels (bijv. 500.000 bediende personen)
SectorenBijlage I (energie, vervoer, financiën, gezondheid, water, digitale infrastructuur, ruimtevaart) + Bijlage II (post, afval, chemicaliën, levensmiddelen, productie, digitale diensten, onderzoek)Alleen Bijlage I-sectoren (middelgrote entiteiten in Bijlage I worden als belangrijk geclassificeerd, niet als essentieel)Deelverzameling van essentieel - alleen entiteiten die infrastructuur exploiteren waarvan de uitval de openbare voorziening zou verstoren
Omvangsonafhankelijke insluitingenNiet-gekwalificeerde verleners van vertrouwensdiensten, kleine telecomaanbiedersGekwalificeerde vertrouwensdiensten, TLD-registers, DNS-aanbieders, grote telecomaanbiedersExploitanten van kritieke installaties zoals gedefinieerd in BSI-KritisV (elektriciteitsnetten, waterzuivering, ziekenhuizen, enz.)
Grensgevallen: wanneer de omvangsclassificatie niet voor de hand ligt
NIS2 hanteert de EU-definitie van het mkb (Aanbeveling 2003/361/EG). De drempels combineren medewerkersaantallen met financiële cijfers op manieren die veel ondernemingen verrassen.

De EU-drempel voor middelgrote ondernemingen luidt: 50+ medewerkers OF (>€10M omzet EN >€10M balanstotaal). Aan beide financiële criteria moet tegelijkertijd worden voldaan - alleen een hoge omzet is niet genoeg. Voor essentiële entiteiten geldt de drempel voor grote ondernemingen: 250+ medewerkers OF (>€50M omzet EN >€43M balanstotaal). Deze voorbeelden laten zien hoe de regels in de praktijk uitpakken.

ScenarioMedewerkersOmzetBalanstotaalSectorClassificatie
Handelsbedrijf met hoge omzet, klein team12€25M€18MBijlage I - BankwezenBelangrijk - beide financiële drempels overschreden (>€10M), aantal medewerkers irrelevant
Grote fabrikant, lage marge200€5M€3MBijlage II - ProductieBelangrijk - aantal medewerkers ≥50 volstaat, omzet doet er niet toe
SaaS-startup, hoge omzet, piepklein team8€15M€4MBijlage I - Digitale infrastructuurNiet binnen toepassingsgebied - omzet boven €10M, maar balanstotaal onder €10M. Aan BEIDE moet worden voldaan
Regionaal ziekenhuis400€60M€45MBijlage I - GezondheidEssentieel - 250+ medewerkers in een Bijlage I-sector. Bij >30.000 klinische opnames/jaar: KRITIS
Energiehandelaar, asset-light15€120M€55MBijlage I - EnergieEssentieel - beide grote financiële drempels overschreden (>€50M omzet EN >€43M balanstotaal)
Afvalbeheerbedrijf80€8M€6MBijlage II - AfvalBelangrijk - 80 medewerkers ≥50-drempel, ondanks lage omzet. Alleen NACE E.38 (niet sanering E.39)
Managed service provider (MSP)45€12M€11MBijlage I - ICT-dienstenbeheerBelangrijk - minder dan 50 medewerkers, maar beide financiële drempels overschreden. Valt ook onder CIR 2024/2690
Levensmiddelenverwerker, seizoenspersoneel55 (jaargemiddelde)€9M€7MBijlage II - LevensmiddelenBelangrijk - personeelsaantal gebruikt jaararbeidseenheden (Aanb. 2003/361/EG art. 5). Seizoenspieken tellen naar rato mee
Gekwalificeerde verlener van vertrouwensdiensten (qTSP)3€500K€200KBijlage I - Digitale infrastructuurEssentieel - omvangsonafhankelijk volgens §28(1) BSIG. qTSP's zijn altijd essentieel, ongeacht omvang
Chemiedistributeur, grote dochteronderneming180€70M€50MBijlage II - ChemicaliënBelangrijk - ondanks grote financiële cijfers reiken Bijlage II-sectoren maximaal tot belangrijk. Alleen Bijlage I + groot = essentieel

Omvangsdrempels volgens EU-Aanbeveling 2003/361/EG art. 2, waarnaar wordt verwezen in NIS2-richtlijn art. 2(1). Het aantal medewerkers gebruikt jaararbeidseenheden (art. 5). Regels voor verbonden/partnerondernemingen (Bijlage art. 3) kunnen het personeelsaantal en de financiële cijfers van de moedermaatschappij optellen. Sectorclassificatie volgens NIS2-richtlijn Bijlage I/II, omgezet in BSIG §28 Anlage 1/2. Omvangsonafhankelijke gevallen volgens §28(1) BSIG.

Wat identiek is voor alle drie de categorieën

De in §30(2) BSIG vastgelegde complianceverplichtingen zijn voor belangrijke, essentiële en KRITIS-entiteiten gelijk. Er is geen lichtere versie voor belangrijke entiteiten en geen zwaardere versie voor essentiële entiteiten. De 10 categorieën beveiligingsmaatregelen gelden in gelijke mate:

  • Beleid en procedures voor risicobeheer (§30(2) Nr. 1)
  • Incidentafhandeling en melding - 24h eerste melding, 72h gedetailleerde melding, 1 maand eindrapport (§32)
  • Bedrijfscontinuïteit en uitwijk na rampen (§30(2) Nr. 3)
  • Beveiliging van de toeleveringsketen (§30(2) Nr. 4)
  • Beveiliging bij inkoop, ontwikkeling en onderhoud (§30(2) Nr. 5)
  • Beleid voor het beoordelen van de doeltreffendheid van beveiligingsmaatregelen (§30(2) Nr. 6)
  • Cyberhygiëne en training (§30(2) Nr. 7)
  • Cryptografie- en versleutelingsbeleid (§30(2) Nr. 8)
  • Personeelsbeveiliging en toegangscontrole (§30(2) Nr. 9)
  • Multifactorauthenticatie en beveiligde communicatie (§30(2) Nr. 10)
  • Registratie bij het BSI binnen 3 maanden (§33)
  • Bestuurdersaansprakelijkheid - persoonlijke verantwoordelijkheid voor het goedkeuren en toezien op beveiligingsmaatregelen (§38)

Dit betekent dat het NISD2-platform alle entiteitstypen met dezelfde set vereisten afdekt. Of u nu een belangrijk levensmiddelenbedrijf of een essentiële energieleverancier bent: het complianceproces is identiek. U voltooit dezelfde vereisten, levert dezelfde bewijsstukken en voldoet aan dezelfde normen.

Wat daadwerkelijk verschilt
De verschillen tussen entiteitstypen gaan over handhaving, niet over wat u moet doen.
VerplichtingBelangrijkEssentieelKRITIS
10 beveiligingsmaatregelen (§30)VereistVereistVereist
Meldplicht (§32)24h / 72h / 1 maand24h / 72h / 1 maand24h / 72h / 1 maand
BSI-registratie (§33)BasisBasisUitgebreid - kritieke dienst, voorzieningscijfers, locatie van de installatie, 24/7-contact
Bestuurdersaansprakelijkheid (§38)Persoonlijke aansprakelijkheidPersoonlijke aansprakelijkheidPersoonlijke aansprakelijkheid
BSI-toezichtAlleen reactief (§62) - het BSI treedt alleen op bij aanwijzingen voor non-complianceProactief (§61) - het BSI kan op elk moment zonder aanleiding controlerenProactief + verplichte 3-jaarlijkse bewijscyclus (§39)
Maximale boete (basis)7.000.000 EUR10.000.000 EUR10.000.000 EUR
Maximale boete (omzet)1,4% van de wereldwijde omzet2% van de wereldwijde omzet2% van de wereldwijde omzet
Aanvalsdetectiesystemen (§31)Niet vereistNiet vereistVereist - continue SIEM/SOC-capaciteit
Verplicht compliancebewijs (§39)Niet vereistNiet vereistVereist - elke 3 jaar, in te dienen bij het BSI

KRITIS: drie aanvullende verplichtingen

KRITIS-exploitanten - entiteiten die infrastructuur exploiteren waarvan de uitval de openbare voorziening zou verstoren (elektriciteitsnetten, waterzuivering, ziekenhuizen) - moeten drie aanvullende vereisten naleven bovenop wat belangrijke en essentiële entiteiten moeten doen.

§31 - Aanvalsdetectiesystemen (Angriffserkennungssysteme)

U hebt een systeem nodig dat uw netwerk de klok rond bewaakt en lopende aanvallen kan opmerken of kan vaststellen dat iemand al is binnengedrongen. In de praktijk betekent dit het inzetten van een SIEM (Security Information and Event Management): software die logs van elke server, firewall en endpoint verzamelt, correleert en alarm slaat bij anomalieën. Het moet zowel patroonherkenning ALS anomaliedetectie gebruiken, niet alleen signatures. De meeste ondernemingen besteden dit uit aan een managed SOC (Security Operations Center), wat doorgaans 5.000-15.000 EUR per maand kost. Gewone NIS2-entiteiten kunnen toe met basismonitoring - KRITIS-exploitanten uitdrukkelijk niet.

§33(2) - Uitgebreide registratie bij het BSI

Bovenop de standaardregistratie (naam, sector, contact) moeten KRITIS-exploitanten het BSI precies meedelen welke kritieke dienst ze leveren (bijv. 'drinkwatervoorziening voor 200.000 personen'), welke kritieke componenten ze gebruiken, de fysieke locatie van de installatie en een 24/7-contactpersoon die op elk uur bereikbaar is. Voorzieningscijfers moeten jaarlijks worden gemeld - het BSI gebruikt deze om te controleren of u nog steeds boven de KRITIS-drempel zit (vastgelegd in BSI-KritisV, bijv. 500.000 bediende personen voor water, 104 MW voor elektriciteit).

§39 - Verplicht compliancebewijs elke 3 jaar (Nachweispflicht)

Elke 3 jaar moet u proactief auditresultaten, beveiligingsrapporten of certificeringen bij het BSI indienen die aantonen dat u alle §30-maatregelen en de §31-aanvalsdetectie naleeft. Het BSI hoeft u niet op te zoeken - u komt naar hen toe. Stelt het BSI tekortkomingen vast, dan vaardigt het bindende herstelbevelen met termijnen uit en verlangt het bewijs dat u de problemen hebt verholpen. Zie het als een verplichte ISO-certificeringscyclus, alleen is de auditor hier de overheid. Eerste termijn: december 2028 (5 jaar voor ziekenhuizen: december 2030).

Wat dit voor uw onderneming betekent

Bent u een onderneming met 50-250 medewerkers in Duitsland - de typische NISD2-gebruiker - dan bent u vrijwel zeker geclassificeerd als wichtige Einrichtung (belangrijke entiteit). Uw productiebedrijf, levensmiddelenverwerkende onderneming of IT-dienstverlener valt in deze categorie. Het complianceswerk dat u moet verrichten, is precies hetzelfde als dat van een grote essentiële entiteit of zelfs een KRITIS-exploitant. Het enige praktische verschil: het BSI zal u niet proactief controleren, tenzij het daar een reden voor heeft (een incident, een klacht of een tip).

Dat is geen reden om minder te doen. Als het BSI u wél controleert - reactief, na een incident - en non-compliance vaststelt, gelden boetes tot 7 miljoen EUR of 1,4% van de wereldwijde omzet. En uw bestuur is persoonlijk aansprakelijk op grond van §38. De veiligste positie is volledige compliance, ongeacht de categorie. NISD2 biedt u hetzelfde complianceproces dat ook essentiële en KRITIS-entiteiten gebruiken, omdat de vereisten identiek zijn.

Veelgestelde vragen

Kan mijn onderneming zowel belangrijk als essentieel zijn?

Nee. De categorieën sluiten elkaar uit op grond van §28 BSIG. Voldoet u aan de drempel voor essentieel (250+ medewerkers of >50M omzet in een Bijlage I-sector), dan bent u essentieel. Voldoet u aan de drempel voor belangrijk maar niet aan die voor essentieel, dan bent u belangrijk. KRITIS is een deelverzameling van essentieel - KRITIS-exploitanten worden automatisch als essentieel geclassificeerd, met daarbovenop aanvullende verplichtingen.

Ik ben een belangrijke entiteit. Hoef ik minder complianceswerk te doen?

Nee. De 10 categorieën beveiligingsmaatregelen in §30(2) BSIG gelden identiek voor zowel belangrijke als essentiële entiteiten. Het enige verschil is de handhaving: het BSI houdt proactief toezicht op essentiële entiteiten (steekproefsgewijze controles) en reactief op belangrijke entiteiten (alleen na aanwijzingen voor non-compliance). Maar de maatregelen zelf, de termijnen van de meldplicht en de bestuurdersaansprakelijkheid zijn allemaal gelijk.

Hoe weet ik of ik KRITIS ben?

De KRITIS-classificatie is vastgelegd in de BSI-KritisV-verordening, op basis van specifieke voorzieningsdrempels: 500.000 bediende personen voor water, 104 MW geïnstalleerd vermogen voor elektriciteit, 30.000 klinische opnames per jaar voor ziekenhuizen, enz. Als de uitval van uw infrastructuur de openbare voorziening op die schaal niet rechtstreeks zou verstoren, bent u geen KRITIS. De meeste middelgrote ondernemingen zijn geen KRITIS - zij zijn belangrijke of essentiële entiteiten.

Wat gebeurt er als ik mijn entiteitsclassificatie verkeerd inschat?

De classificatie bepaalt de intensiteit van het toezicht en de maximale boetes, niet wat u moet implementeren. Als u alle 10 categorieën maatregelen implementeert (waar NISD2 u doorheen leidt), bent u compliant, ongeacht de classificatie. Het risico van een verkeerde classificatie is dat u uw blootstelling aan toezicht onderschat - denken dat het BSI u niet zal controleren, terwijl het dat wel kan.

Maakt CIR 2024/2690 onderscheid tussen belangrijke en essentiële entiteiten?

Nee. De CIR geldt voor specifieke entiteitstypen (cloudaanbieders, DNS-aanbieders, managed service providers, enz.), ongeacht of ze als belangrijk of essentieel zijn geclassificeerd. De technische vereisten in de CIR zijn voor beide categorieën identiek.

Juridische bronnen
  • §28 BSIG - Entiteitsclassificatie (essentiële en belangrijke entiteiten)
  • §30 BSIG - Risicobeheermaatregelen (10 categorieën, identiek voor alle entiteitstypen)
  • §31 BSIG - Aanvalsdetectiesystemen (alleen KRITIS)
  • §32 BSIG - Meldplicht (identieke termijnen voor alle entiteitstypen)
  • §33 BSIG - Registratieverplichtingen (uitgebreid voor KRITIS)
  • §38 BSIG - Bestuurdersaansprakelijkheid (identiek voor alle entiteitstypen)
  • §39 BSIG - Compliancebewijs (alleen KRITIS, elke 3 jaar)
  • §61 BSIG - Toezicht op essentiële entiteiten (proactief)
  • §62 BSIG - Toezicht op belangrijke entiteiten (reactief)
  • §65 BSIG - Sancties en boetes
  • CIR 2024/2690 - EU-uitvoeringsverordening (geen onderscheid naar entiteitstype)
  • BSI-KritisV - KRITIS-drempelverordening
Eén platform, alle entiteitstypen
NISD2 implementeert de volledige set NIS2/BSIG-vereisten - dezelfde die gelden voor belangrijke, essentiële en KRITIS-entiteiten. Voltooi uw compliance in één keer. De vereisten zijn identiek, ongeacht uw classificatie.