In onze vorige blog hebben we uitgelegd wat het betekent om als 'essentieel' of 'belangrijk' te worden aangemerkt volgens de NIS2-richtlijn. Wil je hier meer over lezen of je geheugen opfrissen, bekijk dan de blog over essentieel en belangrijk of bekijk het complete NIS2-nieuwsoverzicht.
Waarom is er onderscheid in de monitoring?
Het verschil in monitoring komt vooral voort uit de verwachte impact van een cyberaanval op organisaties. De schade is groter bij een organisatie die als ‘essentieel’ wordt aangemerkt in vergelijking met een ‘belangrijke’ organisatie. Er zijn verschillende redenen waarom ‘essentiële’ organisaties te maken hebben met een strengere monitoring:
Kritieke Infrastructuur en Diensten: Essentiële entiteiten zijn vaak betrokken bij het leveren van kritieke infrastructuur en diensten. Een verstoring hiervan kan aanzienlijke gevolgen hebben voor de economie, de samenleving en zelfs de nationale veiligheid.
Potentiële Schade: Cyberincidenten veroorzaken over het algemeen grotere schade bij essentiële entiteiten. Een ernstig cyberbeveiligingsincident bij zo'n organisatie kan leiden tot grote financiële verliezen, verstoring van vitale diensten en in sommige gevallen zelfs fysieke schade.
Publiek Belang: Het handhaven van een hoog niveau van cyberbeveiliging bij essentiële entiteiten is van groter publiek belang. Dit komt door hun cruciale rol in het functioneren van de samenleving en de economie.
Dit onderscheid in monitoring is bedoeld om ervoor te zorgen dat organisaties die van vitaal belang zijn voor het welzijn van de samenleving, extra bescherming genieten tegen de ernstige gevolgen van cyberaanvallen.
Monitoring voor essentiële organisaties
Essentiële organisaties spelen dus een vitale rol in de economie en maatschappij van de EU. De NIS2-richtlijn legt strengere toezichtmaatregelen op aan deze organisaties om een hoog niveau van cybersecurity te waarborgen. Dit omvat proactief toezicht, waarbij autoriteiten regelmatig inspecties en beoordelingen uitvoeren, zelfs zonder specifieke aanleiding.
Deze aanpak is bedoeld om potentiële cyberdreigingen te identificeren en aan te pakken voordat ze leiden tot ernstige incidenten. Artikel 32 van de NIS2-richtlijn bepaalt ook dat organisaties met het label 'essentieel' onderworpen zijn aan inspecties ter plaatse en elders. Hierdoor wordt de naleving van cybersecurity-normen verder bevorderd.
Gevolgen bij het niet-naleven van de NIS2-richtlijn
Voor essentiële organisaties zijn de gevolgen van het niet naleven van de richtlijn groot. Als ze niet voldoen aan de richtlijn, kunnen ze te maken krijgen met boetes die kunnen oplopen tot minimaal €10 miljoen of 2% van de wereldwijde jaaromzet.
Monitoring voor belangrijke organisaties
Organisaties die worden aangeduid als ‘belangrijk’ worden onderworpen aan een lichter toezichtregime. De monitoring is reactief van aard. Dit betekent dat de autoriteiten pas in actie komen na een incident of bij aanwijzingen van het niet naleven van de wet. Dit reactieve toezichtsmodel klinkt minder intensief worden, maar het is ontworpen om een redelijk niveau van cybersecurity te handhaven zonder de operationele activiteiten van de organisatie onnodig te belasten.
Gevolgen bij het niet naleven van de NIS2-richtlijn
Voor organisaties die als 'belangrijk' worden aangemerkt, zijn de financiële sancties bij niet-naleving minder streng. De boete kan oplopen tot maximaal €7 miljoen of 1,4% van hun wereldwijde jaaromzet.
Incident reporting en risicobeheer voor essentiële en belangrijke organisaties
De meldingsplicht voor incidenten en risicobeheermaatregelen zijn een belangrijk onderdeel van de NIS2-richtlijn. Organisaties van beide labels zijn verplicht om (significante) cybersecurity-incidenten te melden aan de bevoegde autoriteiten. Onder NIS2 is het meldingsproces is nu helderder gedefinieerd, met strikte richtlijnen voor de procedure, inhoud en tijdlijn van de melding.
Naast incidentmelding legt de NIS2-richtlijn de verplichting op aan zowel essentiële als belangrijke entiteiten om passende risicobeheermaatregelen te implementeren. Zo wordt de veiligheid van hun netwerk- en informatiesystemen gewaarborgd. Dit omvat het uitvoeren van grondige risicoanalyses, het ontwikkelen van beveiligingsconcepten, het implementeren van preventiemaatregelen tegen beveiligingsincidenten, en het bevorderen van cybersecurity-training en crisisbeheer.
Conclusie
Het verschil in toezicht tussen essentiële en belangrijke organisaties volgens de NIS2-richtlijn benadrukt het belang van goed toezicht en risicobeheer om de cybersecurity van organisaties in de EU te waarborgen. De richtlijn wil ervoor zorgen dat er stevige regels zijn die passen bij de impact en het belang van verschillende organisaties. Hiermee hoopt de NIS2-richtlijn een digitale omgeving te creëren die veiliger en sterker is voor iedereen die erbij betrokken is.