In de NIS2-richtlijn zal onderscheid gemaakt worden tussen twee categorieën; essentiële en belangrijke sectoren. Waar voorheen alleen onderscheid gemaakt werd tussen vitaal en niet-vitaal, zullen de sectoren die onder NIS2 vallen en dus vitaal zijn opgedeeld worden in essentiële en belangrijke organisaties. Alle sectoren en organisaties die onder NIS2 zullen gaan vallen zijn van groot belang voor de samenleving. Het zou grote problemen opleveren voor de samenleving als deze organisaties hun werk niet meer kunnen doen. De twee categorieën zijn gecreëerd omdat niet alle sectoren op de dezelfde schaal impact zouden hebben op de samenleving in het geval van een incident. Hieronder leggen wij je uit wat het verschil is tussen de twee groepen – essentieel en belangrijk – en wat de invloed hiervan is op welke veranderingen NIS2 teweeg zal brengen.
Essentieel of belangrijk?
Zoals we in onze vorige blogs besproken hebben, zal met de introductie van NIS2 de omvang van de richtlijn vergroten. Meer organisaties zullen aan de eisen moeten gaan voldoen. Maar wat zijn deze eisen en hoe zullen deze gehandhaafd worden?
Zorg- en meldplicht
Alle organisaties die onder NIS2 vallen – essentieel of belangrijk – zullen moeten gaan voldoen aan hun zorgplicht. De richtlijn bevat een lijst met soorten maatregelen waar aanbieders minimaal aan moeten voldoen. Dit is bijvoorbeeld een risicobeoordeling om te controleren of een organisatie voldoende aandacht besteed aan de beveiliging van informatiesystemen, crisismanagement en operationele continuïteit bij een groot cyberincident en de veiligheid van hun toeleveringsketen kunnen waarborgen. Verder valt onder de zorgplicht het waarborgen van de veiligheid van netwerk- en informatiesystemen, het gebruik van cryptografie en versleuteling en het hebben van beleid en procedures die de effectiviteit van risicobeheersmaatregelen beoordelen. De Europese commissie behoudt het recht voor om middels gedelegeerde- en uitvoeringsbesluiten maatregelen nader te specificeren en met extra maatregelen uit te breiden. Lidstaten kunnen aldus de ruimte krijgen om specifieke maatregelen op te leggen, waarbij ze rekening kunnen houden met nationale en sectorale omstandigheden. Ook de meldplicht zal voor alle organisaties gelden die onder de NIS2 vallen. Deze meldplicht houdt in dat getroffen organisaties binnen 24 uur nadat zij zich bewust worden van het incident een melding moeten maken bij de aangewezen instantie, gevolgd door een rapport binnen een maand.
Monitoring
Waar de twee categorieën in zullen verschillen is de manier waarop gecheckt wordt of de organisaties zich aan de opgelegde eisen houden. Bij sectoren en organisaties die als essentieel bestempeld worden, zal er proactief gemonitord worden of zij aan de eisen voldoen. Er zal dus actief gecheckt worden en de gevolgen van wanbeleid zullen dan ook kunnen gelden zonder dat er een incident heeft plaatsgevonden. Bij de tweede categorie, belangrijke entiteiten, zal het checken van de naleving van de wet op een reactieve manier plaatsvinden. Dit betekent dat deze organisaties pas na een incident gecontroleerd zullen worden op het naleven van de wetgeving en eisen. Mocht er achteraf blijken dat er niet genoeg actie is ondernomen en de eisen niet zijn nagekomen dan kunnen er naar aanleiding van een incident dezelfde sancties volgen als voor essentiële entiteiten.
Op deze pagina lees je alles over de NIS2-richtlijn.