NIS2 Slovenië: Wat u moet weten!

NIS2 Slovenia

De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.

De NIS2-richtlijn werd omgezet in Sloveens recht via de Wet betreffende informatiebeveiliging (Zakon o informacijski varnosti ZInfV-1), hierna NIS2-wet, die sinds 19 juni 2025 van kracht is.

Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.

De inhoud van deze pagina is onder voorbehoud van wijzigingen en wordt bijgewerkt wanneer nodig.

NIS2-entiteiten

De Sloveense NIS2-wet is relevant voor zowel rechtspersonen als natuurlijke personen (samen aangeduid als ‘entiteiten’) die in Slovenië geregistreerd zijn en die producten en/of diensten leveren in een EU-land. De Sloveense NIS2-wet komt grotendeels overeen met de Europese NIS2-richtlijn.

De NIS2-wet bepaalt expliciet welke publieke en private entiteiten onder de cyberbeveiligingsverplichtingen vallen. Hiervoor wordt een onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Voor het categoriseren van entiteiten wordt rekening gehouden met de aangeboden diensten, de omvang van de entiteit en de vestiging van de entiteit.

In principe valt uw entiteit onder de Sloveense NIS2-wet wanneer:

  1. Uw organisatie diensten levert binnen een sector die is opgenomen in bijlage I en bijlage II van de NIS2-wet;
  2. Uw organisatie de drempelwaarden voor middelgrote ondernemingen overschrijdt; en
  3. Uw organisatie in Slovenië gevestigd is (m.u.v. aanbieders van openbare elektronische communicatienetwerken en aanbieders van openbaar elektronische communicatiediensten. Deze vallen onder de Sloveense NIS2-wet indien zij diensten op het Sloveens grondgebied leveren.)

Criteria 1: geleverde diensten

In bijlage I en II van de Sloveense NIS2-wet worden de sectoren beschreven die vallen binnen het toepassingsgebied ervan. Het is dan ook van groot belang om uw geleverde diensten aan derden grondig te analyseren per (sub)sector.

Annex I: Zeer kritieke sectoren Annex II: Andere kritieke sectoren
Energie
• Elektriciteit
• Stadsverwarming en -koeling
• Aardolie
• Aardgas
• Waterstof		 Post- en koeriersdiensten
Vervoer
• Lucht
• Spoor
• Water
• Weg

Afvalbeheer
Bankwezen

Vervaardiging, productie en distributie van chemische stoffen

Infrastructuur voor de financiële markt

Productie, verwerking en distributie van levensmiddelen

Gezondheidszorg

 Vervaardiging
• Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek
• Vervaardiging van informaticaproducten en van elektronische en optische producten
• Vervaardiging van elektrische apparatuur
• Vervaardiging van machines, apparaten en werktuigen, n.e.g.
• Vervaardiging van motorvoertuigen, aanhangers en opleggers
• Vervaardiging van andere transportmiddelen

Drinkwater

Digitale aanbieders

Afvalwater

Onderzoek

Digitale infrastructuur

Overheid

Beheer van ICT-diensten (business-to-business)

  

Overheid

  

Ruimtevaart

  

Indien uw organisatie een dienst uit bovenstaand overzicht levert, valt uw organisatie mogelijk binnen het toepassingsgebied van de NIS2-wet.

De Sloveense NIS2-wet is niet van toepassing op entiteiten die zijn vrijgesteld van de regelgeving inzake digitale operationele weerbaarheid voor de financiële sector (DORA).

Criteria 2: bedrijfsgrootte

Naast de geleverde diensten, is ook de grootte van de entiteit van belang om na te gaan of uw organisatie binnen het toepassingsgebied van de Sloveense NIS2-wet valt. Klik hier om te bepalen of uw organisatie een kleine, middelgrote, dan wel grote onderneming betreft. In principe dienen middelgrote en grote ondernemingen te voldoen aan de verplichten uit de NIS2-wet.

Daarnaast is de wet ook van toepassing op volgende specifieke aanbieders, onafhankelijk van de omvang van de entiteit. Het gaat om:

  • Aanbieders van openbare elektronische communicatienetwerken of -diensten
  • Centrale overheidsinstanties
  • Aanbieders van vertrouwensdiensten
  • Beheerders van domeinnaamregisters
  • DNS-providers

Bovendien geldt de wet ook voor entiteiten, ongeacht hun omvang, indien hun activiteiten cruciaal zijn voor de samenleving of economie. Dat is het geval als:

  • Zij diensten leveren die essentieel zijn voor kritieke maatschappelijke of economische functies en die niet door andere aanbieders geleverd worden.
  • Een verstoring van hun dienstverlening aanzienlijke impact zou hebben op de openbare orde, veiligheid of volksgezondheid.
  • Een incident bij hen systeemrisico’s met grensoverschrijdende gevolgen zou kunnen veroorzaken.
  • Zij van strategisch of vitaal belang zijn op nationaal of regionaal niveau, bijvoorbeeld vanwege afhankelijkheden in andere sectoren.

Criteria 3: gevestigde entiteit in Slovenië

In principe kan de Sloveense NIS2-wet enkel van toepassing zijn op entiteiten met een vestiging in Slovenië. Echter zijn bij wijze van uitzondering volgende entiteiten onderworpen aan de Sloveense NIS2-wet:

  • Aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten die hun diensten in Slovenië aanbieden;
  • DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten, als zij hun hoofdvestiging in Slovenië hebben of als ze hun wettelijke vertegenwoordiger voor de EU in Slovenië hebben in het geval zij geen vestiging hebben binnen de EU;
  • Overheidsinstanties die door Slovenië opgericht zijn.

Naast de 3 bovenstaande criteria dient bij het analyseren van het toepassingsgebied van de NIS2-wet rekening gehouden te worden met het feit dat men als niet-NIS2-organisatie alsnog geaffecteerd kan worden door de NIS2-wet doordat de nationale autoriteit de entiteit aanmerkt als essentiële of belangrijke entiteit of doordat de niet-NIS2-organisatie behoort tot de toeleveringsketen van een NIS2-organisatie.

Wat betekent dit voor mijn bedrijf?

1. Registratie

De toezichthoudende autoriteit dient een lijst bij te houden van de essentiële en belangrijke entiteiten onder haar bevoegdheid. Essentiële en belangrijke entiteiten zijn verplicht zich te registreren bij de toezichthoudende autoriteit, zijnde URSIV, uiterlijk binnen de 30 dagen nadat zij onder het toepassingsgebied van de Sloveens NIS2-wet vallen. Indien een entiteit op het moment van de inwerkingtreding van de Sloveense NIS2-wet al onder het toepassingsgebied valt, geldt een registratieverplichting binnen een uiterlijke termijn van 6 maanden na de inwerkingtreding.

Zolang het zelfregistratiesysteem nog niet operationeel is, wat uiterlijk 4 maanden na de inwerkingtreding moet gebeuren, dient de informatie in digitale vorm te worden verzonden naar het e-mailadres van de bevoegde nationale autoriteit.

2. Beheersmaatregelen

Als uw organisatie gecategoriseerd is als essentiële of belangrijke entiteit, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen. Deze cybersecurity beheersmaatregelen betreffen minstens:

  • Integratie van cyberveiligheid in het jaarplan en ondersteuning door het management
  • Integriteitscontrole van personeel voor, tijdens en na tewerkstelling
  • Basispraktijken en training m.b.t. cyberhygiëne
  • Identiteitsverificatie, toegangsbeheer en beveiliging van personeelsgegevens
  • Beheer en uitvoering van back-ups
  • Bijhouden van logbestanden volgens wettelijke vereisten
  • Beveiligd beheer van gebruikte netwerk- en informatiesystemen
  • Beleid en procedures voor het gebruik van cryptografie en in voorkomend geval encryptie
  • Beveiliging van netwerk- en communicatiesystemen
  • Beveiliging van de toeleveringsketen
  • Fysieke en technische beveiliging van kritieke IT-ruimtes
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
  • Incidentenbeheer
  • Bescherming tegen malware en detectie van inbraakpogingen
  • Gebruik van multifactorauthenticatie waar nodig

De Europese Commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

3. Rapportageverplichting van significante incidenten

Belangrijke en essentiële entiteiten zijn verplicht het nationale Computer Security Incident Response Team (CSIRT), zijnde SI-CERT, in kennis te stellen wanneer zich een significant incident voordoet. Daarnaast dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I en II affecteert.

Een incident wordt als significant beschouwd, wanneer

  • Het incident heeft geleid of kan leiden tot ernstige verstoring van de dienstverlening of financiële verliezen voor de getroffen entiteit of
  • Het incident andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door het veroorzaken van aanzienlijke materiële of immateriële schade.

Het significante incident wordt door de essentiële en belangrijke entiteit gemeld per mail aan cert@cert.si volgens volgende procedure: 

  1. onmiddellijk en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident, dient de entiteit een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen;
  2. onmiddellijk en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentenmelding dat een informatie-update bevat en een initiële beoordeling van het incident;
  3. op verzoek van het bevoegde CSIRT dient de entiteit een tussentijds verslag in;
  4. Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van:
    1. Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan;
    2. Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
    3. Toegepaste en lopende risicobeperkende maatregelen;
    4. De grensoverschrijdende gevolgen van het incident, indien van toepassing.
  5. Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen de maand na de afhandeling van incident wordt een eindverslag ingediend.

De Europese Commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor sociale netwerkdiensten, en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden. 

Tot slot kunnen alle entiteiten, ongeacht of zij vallen binnen het toepassingsgebied van de NIS2-wet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden bij het SI-CERT.  

Meer informatie omtrent incident meldingen kan u hier vinden.

4. Verplichtingen en verantwoordelijkheden van het management

De bestuursorganen van essentiële en belangrijke entiteiten zijn verantwoordelijk voor de naleving van de NIS2-wet en dienen verschillende verplichtingen na te komen waaronder:

      • Goedkeuren van de beheersmaatregelen voor cyberbeveiliging en toezicht houden op de naleving ervan.
      • Volgen van training, minstens eens in de vier jaar, om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen.
      • Voortdurend bijscholen van de werknemers van de cyber security entiteit op het gebied van cyber security.
      • Jaarlijks bijscholen van alle beheerders van informatie- en communicatiesystemen.

De bestuursorganen zijn aansprakelijk bij niet-naleving van de NIS2-wet.

5. Samenwerken met autoriteiten

Essentiële en belangrijke entiteiten dienen samen te werken met de nationale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.

Hoe kan ik aantonen dat mijn bedrijf in regel is met de NIS2 wetgeving?

Zoals aangegeven in het hoofdstuk ‘Sancties’ voeren de bevoegde autoriteiten inspecties uit bij de essentiële en belangrijke entiteiten op de naleving van de NIS2-wet.

Essentiële en belangrijke entiteiten dienen ten minstens om de twee jaar of in geval van een significant incident respectievelijk een compliance beoordeling of een zelfbeoordeling uit te voeren. Op basis van een onafhankelijke conformiteitsbeoordeling door een geaccrediteerde Conformity Assessment Body (CAB), kan de entiteit een certificaat behalen waarmee de naleving van de NIS2-wet kan worden aangetoond aan de stakeholders. Een belangrijke internationale standaard die hiervoor gehanteerd kan worden is ISO/IEC 27001.

Indien u meer informatie wenst omtrent certificering, kan u hier een afspraken met een expert maken.

Handhaving en sancties

De bevoegde autoriteit voert inspecties uit op de naleving door cyber security entiteiten van de vereisten. Hiervoor moet een onderscheid gemaakt worden tussen essentiële en belangrijke entiteiten:

  • Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd, en zijn verplicht regelmatige conformiteitsbeoordelingen te laten uitvoeren.
  • Belangrijke entiteiten worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving van de wet.

De Sloveense NIS2-wet voorziet in specifieke sancties voor entiteiten die de wettelijke bepalingen niet naleven. Deze sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve boetes.

Mogelijke administratieve maatregelen die kunnen opgelegd worden zijn onder andere waarschuwingen geven, de uitvoering van leidinggevende functies tijdelijk verbieden, de entiteit verplichten bepaalde maatregelen te treffen enzovoort.

Administratieve boetes die kunnen worden opgelegd zijn eveneens wettelijk vastgelegd en kunnen oplopen tot 10.000.000 euro of 2% van de totale wereldwijde jaaromzet van de essentiële en tot 7.000.000 euro of 1,4% van de totale wereldwijde jaaromzet van de belangrijke entiteit. Daarnaast kan de verantwoordelijke van een rechtspersoon, natuurlijk persoon en overheidsinstantie bij inbreuk op de regels een geldboete opgelegd worden tot 10.000 euro voor essentiële entiteiten en tot 7.000 euro voor belangrijke entiteiten.

Tijdlijn

  • 17 oktober 2024: initiële deadline voor EU-lidstaten om NIS2-richtlijn om te zetten in nationale wetgeving
  • 19 juni 2025: Sloveense NIS2-wet treedt in werking
  • 19 december 2025 of binnen 30 dagen na ontvangst van besluit dat entiteit onder NIS2-wet valt: entiteit dient zich te registeren bij URSIV

Bevoegde autoriteiten

In Slovenië zijn er verschillende belangrijke nationale autoriteiten betrokken bij de implementatie van de NIS2-wet, elk met specifieke, maar complementaire taken.

Het Bureau voor Informatiebeveiliging van de Republiek Slovenië (URSIV) is het Nationaal Coördinatiecentrum voor Cyber Security (NCC-SI) en is verantwoordelijk voor de handhaving van cyberbeveiligingsverplichtingen, de coördinatie van het nationale beleid, het toezicht op risicobeheersmaatregelen en de vertegenwoordiging van Slovenië in Europese samenwerkingsstructuren op het gebied van cyber security.

SI-CERT, Sloveense Computer Emergency Response Team, is verantwoordelijke voor de behandeling van incidenten, het verstrekken van technische ondersteuning en waarschuwingen, en het samenwerken met binnenlandse partners en het Europese CSIRT-netwerk. SIGOV-CERT, het overheids-CERT, is belast met het beheren van cyber security incidenten binnen overheidsinstellingen en fungeert als een sectorspecifiek CSIRT voor de staatsinfrastructuur.

Tot slot draagt het Ministerie van Digitale Transformatie bij aan de ontwikkeling en ondersteuning van beleid en wetgeving op het gebied van cyber security, waaronder inspanningen die verband houden met digitale weerbaarheid en de omzetting van de NIS2-richtlijn in nationale wetgeving. Samen vormen deze instanties een gecoördineerd nationaal systeem dat gericht is op het versterken van de cyberweerbaarheid van Slovenië in overeenstemming met de EU-verplichtingen.