Verplichtingen vanuit de NIS2-richtlijn: Zorgplicht, Meldplicht en Toezicht

De NIS2-richtlijn legt verschillende verplichtingen op aan entiteiten. Allereerst is er de zorgplicht, waarbij een organisatie een risicobeoordeling moet (laten) uitvoeren. Op basis daarvan moeten er passende maatregelen worden genomen om essentiële diensten te waarborgen en informatie te beschermen.

Daarnaast omvat de richtlijn een meldplicht. Entiteiten moeten incidenten die de essentiële dienstverlening ernstig kunnen verstoren binnen 24 uur melden aan de toezichthouder. Cyberincidenten moeten ook worden gemeld bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp en bijstand kan verlenen. Criteria voor meldingswaardige incidenten zijn onder andere het aantal getroffen personen, de duur van de verstoring en mogelijke financiële verliezen.

Ten slotte worden organisaties die onder de richtlijn vallen, onder toezicht geplaatst. Een onafhankelijke toezichthouder zal de naleving van de verplichtingen, zoals de zorg- en meldplicht, controleren. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.