De NIS2 maakt onderscheid tussen essentiële en belangrijke entiteiten. Veel bestuurders zien die termen voor het eerst en denken dat het gaat om twee compleet verschillende regimes. Dat klopt maar half. De inhoudelijke verplichtingen zijn vrijwel identiek; het verschil zit in toezicht, boetes en hoe snel de toezichthouder bij u op de stoep staat.
Wat hetzelfde is
Beide groepen moeten voldoen aan artikel 21 van de richtlijn met dezelfde tien zorgplichtmaatregelen. Risicoanalyse, incident response, business continuity, supply chain, cyberhygiëne, training, cryptografie, toegangsbeheer en multi-factor authenticatie gelden voor essentiële en belangrijke entiteiten op gelijke wijze. De meldplicht in drie fasen werkt identiek. Bestuurdersaansprakelijkheid geldt in beide regimes.
Wat anders is
Essentiële entiteiten staan onder proactief toezicht. De toezichthouder kan op eigen initiatief audits doen, rapportages opvragen en inspecties uitvoeren. Belangrijke entiteiten kennen reactief toezicht: de toezichthouder komt pas in beeld na een incident, een klacht of een signaal. Het boete-regime is ook strenger voor essentiële entiteiten dan voor belangrijke.
Waarom de classificatie er toch toe doet
De zorgplichten zijn dan wel hetzelfde, de bewijslast verschilt in de praktijk fors. Een essentiële entiteit moet permanent klaar zijn voor een onaangekondigde audit. Een belangrijke entiteit kan zich richten op een goed incident response proces en een net dossier voor het moment dat het mogelijk fout gaat. Voor uw aanpak, budget en governance maakt dat verschil.
Hoe wij werken
U stuurt uw situatie in een paar zinnen via het formulier hieronder. Binnen één werkdag koppelen wij u aan een NIS2 specialist die u helpt met de classificatie van uw entiteiten. Eerst een kort gesprek, dan beslist u of de klik er is.
Plan uw classificatie via het formulier hieronder. Verwant: valt uw bedrijf onder NIS2, overzicht van de NIS2 sectoren.
Verwant: Freelance NIS2 consultant, NIS2 gap analyse: zicht op waar u staat en wat er nog moet.