Dit moet je weten over de NIS2-richtlijn

Sectoren

De NIS2 richtlijn gaat gelden voor sectoren en organisaties(link naar andere website) die van vitaal belang zijn voor de maatschappij. Denk aan gezondheidszorg, transport en energieaanbieders. Maar ook overheidsdiensten, levensmiddelen, waterbeheerbedrijven en digitale aanbieders. De NIS2 introduceert uniforme regels voor middelgrote en grote organisaties.

Verplichtingen

Aan welke verplichtingen moeten organisaties zich houden als ze onder de NIS2-richtlijn vallen?

• Zorgplicht: Organisaties moeten een risicobeoordeling uitvoeren en op basis daarvan passende maatregelen nemen om hun diensten te beveiligen.

• Meldplicht: Incidenten moeten binnen 24 uur bij de toezichthouder worden gemeld. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan hulp- en bijstand verlenen.

• Toezicht: Er komt een onafhankelijk toezichthouder die naar de naleving van de verplichtingen uit de richtlijn kijkt.

Voorbereiding

Welke voorbereidingen kunnen organisaties alvast treffen? Start met het voldoen aan de Baseline Informatiebeveiliging Overheid (BIO).(link naar andere website) Daarnaast kun je maatregelen nemen om de veiligheid en weerbaarheid van processen en diensten te verbeteren. Denk bijvoorbeeld aan:

• Het inventariseren en analyseren van risico’s. Bekijk het stappenplan risicoanalyse(link naar andere website);

• Stel een incident response plan(link naar andere website) op;

• Werk aan bewustwording(link naar andere website) van personeel bijvoorbeeld door een phishingcampagne(link naar andere website);

• Ook is het verstandig om budget en capaciteit te reserveren om aan de richtlijn te voldoen.