NIS2, de nieuwe Europese richtlijn voor ‘Network en Security’, wordt naar verwachting begin 2025 van kracht en heeft impact op de cyber- en informatiebeveiliging van de meeste organisaties. Voor de beoordeling van bedrijven die NIS2-compliant moeten zijn, maken toezichthouders onderscheid tussen zogenaamde ‘essentiële entiteiten’ en ‘belangrijke entiteiten’. In welke categorie je valt, heeft invloed op de te treffen maatregelen, de mate van toezicht en mogelijke sancties. Maar hoe weet je in welke categorie je valt, en welke impact NIS2 dus heeft?

Bedrijven en organisaties waarop NIS2 van toepassing is, krijgen te maken met aanvullende eisen voor het beheer van cyberrisico’s, controle en toezicht, ‘incident response’, en bedrijfscontinuïteit. Wie niet aan NIS2 voldoet, loopt het risico op financiële sancties door onder andere de Rijksinspectie Digitale Infrastructuur (RDI). Deze sancties zijn gebaseerd op diverse kenmerken van de organisatie, waaronder de omzet. Meerdere toezichthouders zijn betrokken bij de uitvoering en handhaving van de NIS2-richtlijn, waaronder Autoriteit Persoonsgegevens (AP), De Nederlandsche Bank (DNB), Inspectie Gezondheidszorg en Jeugd (IGJ), en Inspectie Leefomgeving en Transport (ILT).

Essentieel of belangrijk…

Een van de beoordelingen van de toezichthouder is het onderscheid tussen ‘essentiële entiteiten’ en ‘belangrijke entiteiten’. Bedrijven met de status ‘essentiële entiteit’ zijn onderworpen aan proactief toezicht en voor hen gelden zwaardere sancties bij overtredingen. Voor ‘belangrijke entiteiten’ gelden lagere financiële sancties en ze zijn onderworpen aan reactief toezicht van autoriteiten. Een belangrijke entiteit heeft alleen te maken met direct toezicht van regelgevers en autoriteiten als daar een reden voor is.

…hoe bepaal je dat?

Maar hoe bepaal je eigenlijk of je een essentiële of belangrijke entiteit bent? Je moet dit als bedrijf zelf vaststellen, want dit helpt jouw organisatie bij het bepalen van de maatregelen die je moet nemen, en de mate van toezicht door toezichthouders. Overigens, goed om te weten dat de verschillen tussen ‘essentiële’ en ‘belangrijke’ organisaties nog niet volledig vaststaan. En er zijn uitzonderingen. Een beknopte uitleg:

1. Essentiële entiteiten spelen een kritieke rol in de Nederlandse infrastructuur en zijn onderworpen aan striktere regelgeving en controlevereisten. Deze organisaties worden als cruciaal beschouwd voor de werking van vitale diensten binnen de EU. Voorbeelden van vitale sectoren zijn de energiesector, financiële sector, gezondheidszorg, transportsector en digitale infrastructuur. Deze entiteiten hebben een hoger niveau van verplichtingen op het gebied van cybersecurity, omdat verstoring of uitval van hun dienstverlening aanzienlijke gevolgen kan hebben voor de maatschappij en economie.
2. Belangrijke entiteiten zijn organisaties die cruciale diensten verlenen aan de samenleving en de economie, maar niet behoren tot de vitale sectoren zoals die hierboven zijn benoemd. Denk hierbij aan een breder scala aan organisaties, zoals aanbieders van clouddiensten, online marktplaatsen en online zoekmachines. Deze organisaties hebben ook verplichtingen op het gebied van cybersecurity, maar die liggen over het algemeen lager dan de verplichtingen die gelden voor essentiële entiteiten.

NIS2-dienstverlening van Pragmaat

Bedrijven moeten zelf vaststellen of ze binnen de scope van NIS2 vallen. Als dat het geval is, moeten ze ook zelf bepalen of ze essentieel of belangrijk zijn. Pragmaat helpt bij het toetsen als er binnen een bedrijf of organisatie twijfel bestaat over het bepalen van de scope en het onderscheid tussen essentieel/belangrijk. Pragmaat ondersteunt zowel essentiële als belangrijke organisaties bij het implementeren en concreet toepassen van NIS2 in hun beleid, controls en processen zodat ze aantoonbaar NIS2-compliant zijn. Dit kan met de inzet van experts op interim-basis of met trainingen of workshops op maat.