Zelfclassificatie onder NIS 2: het uitblijven van een BSI-brief is geen verdediging
Veel Mittelstand-teams wachten op een brief die nooit zal komen. NIS 2 legt de beoordeling bij u, en de klok loopt of u nu controleert of niet.
De duurste misvatting
Veel Mittelstand-entiteiten beschouwen het uitblijven van een BSI-brief als bewijs dat zij niet onder NIS 2 vallen. Onjuist. De richtlijn en §33 BSIG leggen de registratieplicht bij de entiteit, niet bij de autoriteit.
Het mechanisme is helder. Art. 27(1) NIS 2 verplicht de lidstaten tot een register van essentiële en belangrijke entiteiten. §33(1) BSIG zet dit om: entiteiten registreren zich binnen drie maanden na het voldoen aan de voorwaarden. De termijn start bij het voldoen aan de criteria, niet bij een mededeling.
In de praktijk betekent dat: een 70-persoons afvalverwerker uit bijlage II kan een jaar of langer onopgemerkt in scope zijn, met oplopende boetes onder §65 BSIG en persoonlijke verantwoordelijkheid onder §38 BSIG, totdat eindelijk iemand de bijlage controleert.
Art. 27(1) NIS 2 (registratieplicht)
De lidstaten verlangen van essentiële en belangrijke entiteiten dat zij ten minste de volgende informatie aan de bevoegde autoriteiten verstrekken: naam; adres; actuele contactgegevens; sector en subsector; lijst van lidstaten waarin zij diensten verlenen.
De plicht loopt van de entiteit naar de autoriteit, niet andersom. In NIS 2 staat geen bepaling die de autoriteit verplicht in scope zijnde entiteiten vooraf te identificeren.
§33(1) BSIG (drie-maandentermijn)
Essentiële en belangrijke entiteiten registreren zich bij het Bundesamt binnen drie maanden na het eerste moment waarop aan de voorwaarden wordt voldaan.
Drie maanden vanaf het moment dat de entiteit aan de voorwaarden voldoet. Er is geen wachttijd voor een brief van het BSI. De klok loopt op de kalender van de entiteit.
Art. 2 + Bijlage I en II NIS 2 (sector + grootte)
Deze richtlijn is van toepassing op publieke of particuliere entiteiten van een type bedoeld in bijlage I of II die kwalificeren als middelgrote ondernemingen in de zin van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG of die de drempelwaarden voor middelgrote ondernemingen overschrijden.
Twee vragen bepalen of u in scope bent: bent u een type uit bijlage I of II, en bent u ten minste middelgroot (vanaf 50 medewerkers en hetzij >10 mio EUR omzet hetzij >10 mio EUR balanstotaal). Plus 'ongeacht de grootte' overrides voor vertrouwensdiensten, DNS, TLD-registers, overheid, exclusieve aanbieders in een lidstaat.
Bijlage I en II tegen uw activiteit toetsen
Bijlage I omvat essentiële entiteiten (energie, vervoer, bankwezen, financiële marktinfrastructuur, gezondheid, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer, overheid, ruimtevaart). Bijlage II omvat belangrijke entiteiten (post, afval, chemie, levensmiddelen, productie, digitale aanbieders, onderzoek). Bepalend is de feitelijke activiteit, niet de rechtsvorm.
Grootte tegen de EU MKB-definitie toetsen
Middelgroot: 50 tot 249 medewerkers EN (omzet of balanstotaal boven 10 mio EUR). Groot: vanaf 250 medewerkers OF omzet boven 50 mio EUR OF balanstotaal boven 43 mio EUR. Pas Aanbeveling 2003/361/EG letterlijk toe, tel verbonden en partnerondernemingen volgens de regels van de aanbeveling.
'Ongeacht de grootte' overrides toetsen
Exclusieve aanbieder van een dienst in een lidstaat, centrale overheidsentiteiten, DNS-aanbieders, TLD-registers, gekwalificeerde vertrouwensdienstverleners vallen ongeacht de grootte in scope. Onthoud: wie in een van deze categorieën zit, voor wie geldt de groottedrempel niet.
Bestuurlijke boete onder §65 BSIG
Tot 10 miljoen EUR of 2 procent van de wereldwijde jaaromzet, het hoogste bedrag, voor essentiële entiteiten. Tot 7 miljoen EUR of 1,4 procent voor belangrijke entiteiten. De boete treft de entiteit. Beboet wordt niet alleen de te late registratie, maar de onderliggende niet-naleving van art. 21 en art. 23 verplichtingen die zich in de stille periode hebben opgestapeld.
Persoonlijke verantwoordelijkheid van de leiding onder §38 BSIG
Art. 20(1) NIS 2, omgezet in §38 BSIG, maakt de leiding verantwoordelijk voor goedkeuring en toezicht op de risicobeheersmaatregelen. Late ontdekking is geen verdediging; de leiding had moeten zorgen dat de classificatie werd gedaan.
Escalatie van toezicht
Art. 32 NIS 2 staat de bevoegde autoriteit toe verplichtingen op te leggen, audits te eisen en in het uiterste geval activiteiten op te schorten. Late starters trekken meer toezicht aan omdat de autoriteit het inhalen moet verifiëren.
Toepasbaarheidscheck vandaag uitvoeren
Activiteit aan bijlage I of II spiegelen, medewerkers en omzet tellen, overrides doorlopen. Resultaat documenteren, ook bij een negatieve uitkomst. Een schriftelijke 'niet in scope'-notitie is bij een geschil de enige verdediging.
In scope: binnen drie maanden registreren
Via het BSI-portaal volgens §33 BSIG. Vereist een ELSTER-organisatiecertificaat dat zelf twee tot drie weken kost. Bij een krappe termijn eerst ELSTER aanvragen.
De controle jaarlijks herhalen
Bijlagen kunnen worden gewijzigd (art. 6 NIS 2 herziening). Aantal medewerkers en omzet bewegen. Een 'niet in scope'-positie veroudert. Plan een jaarlijkse herziening.
- Richtlijn (EU) 2022/2555 (NIS 2), art. 2, art. 3, bijlage I, bijlage II, art. 27, www.eur-lex.europa.eu
- Wet betreffende het Bundesamt für Sicherheit in der Informationstechnik (BSIG), §33, §38, §65, www.gesetze-im-internet.de
- Aanbeveling 2003/361/EG van de Commissie betreffende de definitie van kleine, middelgrote en micro-ondernemingen, www.eur-lex.europa.eu
- NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
Deze pagina biedt gestructureerde informatie op basis van openbaar toegankelijke bronnen (NIS 2 Richtlijn, BSIG, EU MKB-aanbeveling). Het is geen juridisch advies in de zin van §2 RDG. Voor concrete gevallen wendt u zich tot een toegelaten advocaat. Stand: 2026-06-04.