De vraag of een organisatie onder NIS2 valt, blijkt in de praktijk zelden een puur technische vraag. Bestuur, directie, compliance, legal en soms ook RvC of RvT moeten samen bepalen of de organisatie waarschijnlijk binnen scope valt, welke bewijsstukken daarbij horen en wanneer registratie of nadere toetsing aan de orde is.
De flowchart van Samen Digitaal Veilig biedt daarvoor een bruikbare eerste beslislogica. Die kijkt grofweg naar drie elementen: de sector waarin de organisatie actief is, de omvang van de organisatie en mogelijke uitzonderingen of aanwijzingen die maken dat ook kleinere organisaties binnen scope kunnen vallen.
Stap 1: kijk eerst naar de sector
De flowchart onderscheidt zeer kritieke sectoren en andere kritieke sectoren. Dat helpt om de eerste scope-inschatting te maken. Organisaties buiten die sectoren zijn niet automatisch NIS2-entiteit, al kunnen keteneisen wel degelijk op hen afkomen.
Stap 2: toets omvang en categorie
Vervolgens spelen drempels rond medewerkers, omzet en balanstotaal een rol. In de flowchart wordt onderscheid gemaakt tussen micro/klein, middelgroot en groot. Dat helpt om te bepalen of een organisatie eerder in de categorie belangrijke of essentiële entiteit uitkomt.
Stap 3: let op uitzonderingen en aanwijzingen
Kleinere organisaties kunnen in sommige gevallen toch binnen scope vallen, bijvoorbeeld wanneer een ministerie een aanwijzing geeft. Voor bestuur en toezicht is dit relevant, omdat de conclusie “wij zijn te klein” zonder verdere onderbouwing te kort door de bocht kan zijn.
Waarom deze beoordeling bestuurlijk moet worden vastgelegd
De scopevraag hoort niet te blijven hangen in losse e-mails of mondelinge aannames. Een organisatie doet er verstandig aan om de uitgangspunten, de gebruikte bronnen, de voorlopige conclusie en openstaande onzekerheden bestuurlijk vast te leggen. Dat voorkomt discussie achteraf en helpt ook bij toezicht, audit en registratievoorbereiding.
Praktische waarschuwing
Een eerste scope-inschatting is nog geen formeel juridisch oordeel. Gebruik deze beoordeling daarom als bestuurlijk startpunt, niet als eindbeslissing. Zeker in sectorgrensgevallen of concernstructuren is nadere duiding vaak verstandig.
Veelgestelde vragen over scope
Kunnen leveranciers ook geraakt worden als zij zelf geen entiteit zijn?
Ja. Ook buiten-scope leveranciers kunnen via contracten, assurance-eisen en ketenbeheersing merkbaar geraakt worden.
Kunnen kleine organisaties helemaal buiten beeld blijven?
Niet altijd. De flowchart laat zien dat aanwijzingen of bijzondere omstandigheden kleinere organisaties alsnog relevant kunnen maken.
Moeten wij ons direct registreren als wij denken binnen scope te vallen?
De formele registratielogica volgt uit de wettelijke implementatie. Een goede eerste stap is om de scopevraag bestuurlijk vast te leggen en daarna de actuele overheidslijn te volgen.
Volgende stap
Van eerste scopevraag naar bestuurlijke duiding
Wilt u de vraag vallen wij onder NIS2? zorgvuldig en bestuurlijk duiden? Gebruik de NIS2 quickscan of plan een boardroom training waarin scope, governance en vervolgstappen worden besproken.