Een belangrijk onderdeel in de NIS2-richtlijn is het label dat organisaties kunnen krijgen. Organisaties kunnen geclassificeerd worden als ‘essentieel’ of ‘belangrijk’. Weet jij al welk label jouw organisatie krijgt? En wat dat betekent voor het concretiseren van jouw cybersecurity? In deze blog helpen wij je alvast op weg.
Waarom komt er een onderscheiding/label voor organisaties in de NIS2-richtlijn?
De classificering van ‘essentieel’ en ‘belangrijk’ wordt geïntroduceerd in de NIS2-richtlijn. Maar waarom? Toen de NIS-richtlijn in 2016 van kracht ging, wat het aantal cyberaanvallen aanzienlijk lager. Tegenwoordig zijn de dreigingen complexer, groter en geavanceerder. Dat geeft reden om de NIS-richtlijn aan te scherpen.
De nieuwe richtlijn gaat voor meer organisaties gelden, maar niet iedere organisatie hoeft aan dezelfde eisen te voldoen. Daar zijn de labels voor. Een organisatie met het label ‘essentieel’ krijgt te maken met strengere richtlijnen.
Tussen maart 2022 en februari 2023 zijn er 10.275 cyberincidenten gemeld bij het Nationaal Cyber Security Centrum (NCSC) – waarvan 1.025 datalekken. Dat is +12% meer dan het jaar ervoor.
Essentiële organisaties: de ruggengraat van onze samenleving
Organisaties in zeer kritieke sectoren worden als ‘essentieel’ beschouwd. De basisregel is eigenlijk dat wanneer een storing in de dienstverlening leidt tot ernstige gevolgen voor de samenleving, je het label ‘essentieel’ krijgt. Het maakt dan niet uit of je een grote, of een kleinere organisatie bent. In veel gevallen zullen instellingen en organisaties die de kern vormen van onze maatschappelijke en economische infrastructuur, vallen onder het label ‘essentieel’.
Wanneer zij te maken krijgen met een cyberaanval kan dit catastrofale gevolgen hebben, variërend van economische verstoringen tot ontwrichtingsituaties in de gezondheidszorg. Dit is het geval bij – in ieder geval - nutsbedrijven, zorginstellingen, financiële dienstverleners en transportnetwerken.
Enkele voorbeelden van de gevolgen op een cyberaanval bij:
- Een energiecentrale: veroorzaakt stroomstoringen in een groot deel van het land.
- Een luchthaven: veroorzaakt vertragingen of annuleringen van vluchten.
- Een ziekenhuis: veroorzaakt verstoorde zorgverlening.
- Een bank: veroorzaakt financiële instabiliteit.
Een Duits ziekenhuis viel onlangs ten prooi aan een cyberaanval waardoor zij te maken kregen met een verstoring in de zorgverlening. Als gevolg daarvan moest een ambulance met een kritische patiënt uitwijken naar een ander ziekenhuis. De behandeling vond daardoor 1 uur later pas plaats. Mogelijk heeft de cyberaanval ertoe geleid dat de patiënt het niet gehaald heeft.
Bron: Tweakers.
Belangrijke organisaties: ondersteunende maar met redelijk grote gevolgen
Terwijl essentiële organisaties de ruggengraat vormen, zijn ‘belangrijke’ organisaties de ondersteunende pilaren. Middelgrote organisaties die opereren in een kritieke sector zullen het label ‘belangrijk’ krijgen. Een aanval op een organisatie met dit label betekent misschien niet direct dat het gevolgen heeft voor het vitaal belang voor de samenleving. Toch zal het aanzienlijke impact hebben op de economie en het dagelijks leven.
Om een aantal concrete voorbeelden te noemen, leidt een aanval op:
- Een telecomprovider tot storingen in de telefonie of internet wat kan leiden tot problemen met communicatie, vervoer en economie.
- Een overheidsinstantie tot problemen met de uitvoering van publieke taken zoals veiligheid, onderwijs en gezondheidszorg.
- Een onderwijsinstelling tot verstoorde onderwijsactiviteiten waardoor leerprestaties van studenten en de kwaliteit van het onderwijs in de problemen kan komen.
Wat betekent dit voor jouw organisatie?
Het onderscheid tussen 'essentiële' en 'belangrijke' organisaties helpt bij het bepalen van de mate van toezicht en de te nemen maatregelen. Door deze onderscheiding te begrijpen, kunnen organisaties beter voorbereid zijn op de uitdagingen van morgen voor een veiligere, veerkrachtigere digitale toekomst.
Welk label je toegewezen krijgt; elke organisatie die aan de NIS2-richtlijn moet voldoen krijgt te maken met strenge cybersecurity-eisen. De verschillenen tussen ‘essentiële’ en ‘belangrijke’ organisaties is nog niet in beton gegoten. En er bestaan uitzonderingen.
Over het algemeen zorgt het onderscheid in de labels voor een aanzienlijke verschuiving in verantwoordelijkheden en prioriteiten. In het kort zijn de verschillen als volgt:
- Voor essentiële organisaties is het toezicht proactief en zichtbaar in hun processen. Dit betekent dat toezichthouders actief controleren of deze organisaties de regels correct toepassen en naleven.
- Het toezicht voor belangrijke organisaties vindt achteraf plaats, alleen als er aanwijzingen zijn voor een cyberincident.
Heeft jouw organisatie hulp nodig met de voorbereiding op de NIS2-wetgeving? Neem dan contact op met Patrick Voss. Heb je je nog niet ingeschreven voor de nieuwsbrief? Doe dat dan nu via onderstaande button, zodat je nooit een NIS2-update mist!