In onze eerdere blogs heb je kunnen lezen dat belangrijke en essentiële entiteiten onder de NIS2 passende maatregelen moeten nemen om cyberincidenten te detecteren en erop te reageren. Ze moeten systemen en processen implementeren om afwijkingen te signaleren en snel te handelen om de impact te minimaliseren. Daarnaast moeten ze anticiperen op dreigingen en preventieve maatregelen nemen. Deze organisaties spelen een cruciale rol in de samenleving en hebben impact op nationale veiligheid, economie en openbare dienstverlening. Daarom moeten ze investeren in geavanceerde beveiligingsoplossingen, zoals het monitoren van kwetsbaarheden, risicoanalyses en proactieve detectiesystemen.
De monitoring die genoemd wordt binnen de NIS2-richtlijn draait echter niet om de monitoring die bedrijven zelf doen op het gebied van cybersecurity, maar om de monitoring vanuit controlerende instanties op de NIS2-eisen door de Rijksinspectie Digitale Infrastructuur (RDI, voorheen Agentschap Telecom). Organisaties die onder de NIS2 vallen krijgen hoe dan ook te maken met monitoring, maar deze monitoring kan proactief of reactief zijn. Maar wat moet je hier precies over weten?
Proactief of reactief?
Een belangrijk onderdeel van de NIS2-richtlijn is het onderscheid tussen reactieve monitoring voor bedrijven die als 'belangrijk' worden geclassificeerd, en proactieve monitoring voor bedrijven die als 'essentieel' worden beschouwd.
Voor bedrijven die als 'essentieel' worden geclassificeerd, zal door de RDI, proactief gemonitord worden of zij aan de eisen van de NIS2-richtlijn voldoen. Er zal dus actief gemonitord op compliance. Zo zal de toezichthouder de volgende bevoegdheden kunnen uitoefenen:
- On-site inspecties;
- Security audits en scans;
- Recht op inzage in informatie, bestanden en systemen;
- Inzage in cyber security risk management maatregelen en relevante beleidsdocumenten;
- Bewijs van compliance met cybersecurity standaarden en uitgevoerde audits;
Deze bevoegdheden gelden dus al wanneer er (nog) geen incident heeft plaatsgevonden.
Voor bedrijven die worden geclassificeerd als 'belangrijk', zal de nadruk liggen op reactieve monitoring. Dit betekent dat deze organisaties pas na een incident gecontroleerd zullen worden op het naleven van de wetgeving en eisen. Mocht er achteraf blijken dat er niet genoeg actie is ondernomen en de eisen niet zijn nagekomen dan kunnen er naar aanleiding van een incident dezelfde sancties volgen als voor essentiële entiteiten.