Essentiële bedrijven

Wat zijn essentiële bedrijven?

1. Energie

(a) Elektriciteit

• Elektriciteitsbedrijven
• Distributiesysteem beheerders
• Transmissiesysteem beheerders
• Producenten
• Benoemde elektriciteitsmarkt beheerders
• Marktdeelnemers op de elektriciteitsmarkt

(b) Stadsverwarming en -koeling

• Stadsverwarming of stadskoeling

(c) Aardolie

• Exploitanten van oliepijpleidingen
• Exploitanten van voorzieningen voor de productie, raffinage en behandeling van olie, opslag en transport
• Centrale entiteiten voor de voorraadvorming van aardolie

(d) Aardgas

• Aardgasbedrijven
• Distributiesysteembeheerders
• Transmissiesysteembeheerders
• Opslagsysteembeheerders
• LNG-systeembeheerders
• Aardgasbedrijven
• Exploitanten van voorzieningen voor de raffinage en behandeling van aardgas

(e) Waterstof

• Exploitanten van voorzieningen voor de productie, opslag en transport van waterstof

2. Vervoer

(a) Lucht

• Luchtvaartmaatschappijen
• Luchthavenbeheerders
• Exploitanten op het gebied van verkeersbeheer en -controle die
  luchtverkeersleidingsdiensten aanbieden

(b) Spoor

• Infrastructuurbeheerders
• Spoorwegondernemingen

(c) Water

• Bedrijven voor vervoer over water (binnenvaart, kust- en zeevervoer) van passagiers en vracht
• Beheerders van havens
• Exploitanten van verkeersbegeleidings-systemen

(d) Weg

• Wegenautoriteiten
• Exploitanten van intelligente vervoerssytemen

3. Bankwezen

• Kredietinstellingen

4. Infrastructuur voor financiële markt

• Exploitanten van handelsplatformen
• Centrale tegenpartijen

5. Gezondheidszorg

• Zorgaanbieders
• EU-referentielaboratoria
• Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
• Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen
• Entiteiten die medische hulpmiddelen vervaardigen die in het kader van de noodsituatie op het gebied van de volksgezondheid als kritiek worden beschouwd

6. Drinkwater

• Leveranciers en distributeurs van voor menselijke consumptie bestemd water

7. Afvalwater

• Ondernemingen die stedelijk, huishoudelijk of industrieel afvalwater opvangen, lozen of behandelen.

8. Digitale infrastructuur

• Internetknooppunten
• DNS-dienstverleners
• Register voor topleveldomeinnamen
• Aanbieders van cloudcomputingdiensten
• Aanbieders van datacenterdiensten
• Aanbieders van netwerken voor content delivery
• Verleners van vertrouwensdiensten
• Aanbieders van openbare elektronische communicatienetwerken
• Aanbieders van openbare elektronische communicatiediensten

9. Beheer van ICT-diensten (business-to-business)

• Aanbieders van beheerde diensten
• Aanbieders van beheerde beveiligingsdiensten

10. Overheid

• Overheidsinstanties van centrale overheden zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht
• Overheidsinstanties op regionaal niveau zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht

11. Ruimtevaart

• Exploitanten van grondfaciliteiten die in het bezit zijn van of beheerd of geëxploiteerd worden door de lidstaten of door particuliere partijen en die de verlening van vanuit de ruimte opererende diensten ondersteunen, met uitzondering van aanbieders van openbare elektronische communicatienetwerken

To do punten voor essentiële bedrijven

NIS2 gaat over cybersecurity. Je moet je bedrijf digitaal veilig maken. Dan gaat het dus om maatregelen op het terrein van ICT, juridisch aangelegenheden, organisatie/procedures en opleiding. Hieronder een voorlopig overzicht:

• De ICT-omgeving in kaart brengen
• Maken van een risicoanalyse en beleid inzake de beveiliging van informatiesystemen
• Procedure voor incidentenbehandeling (preventie en opsporing van en respons op incidenten)
• Bedrijfscontinuïteit en crisisbeheer; zoals back-ups en noodherstel
• Toeleveranciers worden heel belangrijk. De beveiliging van de toeleveringsketen, zoals leveranciers van diensten op het gebied van gegevensopslag en -verwerking, moet in kaart worden gebracht. Je moet zeker weten dat ze veilig werken.
• Alles laten testen door (ethisch) hacker
• Pen-Testen
• Veiligheidsscans
• Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
• Beleid en procedures (testen en audits) om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
• Computerhygiëne van medewerkers
• Beheer van toegang goed inregelen
• Bescherming tegen verlies en controle
• Voorkomen van incidenten virussen, aanvallen en misbruik
• Fysieke beveiliging regelen
• Training en opleiding van medewerkers en management op het gebied van cyberbeveiliging
• Duidelijk beleid of procedures voor het gebruik van cryptografie of encryptie
• Veel meer personeelsbeveiliging, toegangscontrolebeleid en activabeheer
• Verplicht multifactor authenticatie of continue authenticatie-oplossingen, beveiligd spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatie
• Melden in incidenten en inbreuken
• Registratie bij ENISA
• Juridische zaken vastleggen bij toeleveranciers
• Audits: Samenwerken met leveranciers om concrete inzage te krijgen in wat ze doen en hoe ze veiligheid implementeren
• Controle op veiligheid bij toeleveranciers