Zorgplicht – De richtlijn bevat een zorgplicht die entiteiten verplicht om zelf een risicobeoordeling te doen. Op basis daarvan nemen zij passende maatregelen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
Meldplicht – De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur bij de toezichthouder moeten melden. Het gaat om incidenten die de verlening van de essentiële dienst sterk (kunnen) verstoren. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan vervolgens hulp- en bijstand leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Toezicht – Organisaties die onder de richtlijn vallen, komen ook onder toezicht te staan. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder (buiten eventueel interbestuurlijk toezicht) naar de naleving van de verplichtingen uit de richtlijn kijkt. Zoals de zorg- en meldplicht. Momenteel wordt bekeken onder welke toezichthouder de sector Overheid komt te vallen (dit is nog niet bekend) en wat het toezicht inhoudt. Het is de bedoeling om gebruik te maken van bestaande verantwoordingsstructuren. Ook wordt gestreefd naar harmonisering van deze verantwoordingsstructuren. Bevindingen uit onderzoeken naar toezicht in opdracht van het ministerie van BZK in 2019(link naar andere website) en 2022(link naar andere website) worden hierin meegenomen.
Bron: https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/ , geraadpleegd op 6 mei 2024.
