Ga direct naar inhoud

Wat betekenen de CER- en NIS2-richtlijnen voor organisaties?

Welke verplichtingen schrijven de CER- en NIS2-richtlijnen voor?

De verplichtingen van beide richtlijnen lijken sterk op elkaar. Belangrijke onderdelen zijn:

  • Zorgplicht - Beide richtlijnen bevatten een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en hun netwerk- en informatiesystemen te beschermen. Bij de CER-richtlijn zijn deze maatregelen gericht op fysieke risico’s, bij de NIS2-richtlijn op digitale risico’s.
  • Registratieplicht – – Entiteiten die vallen onder de NIS2-richtlijn zijn verplicht zich te registreren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2.    
  • Meldplicht - Beide richtlijnen schrijven voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
  • Toezicht - Organisaties die onder één of beide richtlijnen vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Wat kunnen organisaties van de overheid verwachten?

Lidstaten zijn verplicht om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen fysieke en digitale dreigingen. Zo schrijft de CER-richtlijn voor dat de overheid elke vier jaar per sector een risicobeoordeling uitvoert en deelt met kritieke entiteiten in die sector. De NIS2-richtlijn schrijft voor dat essentiële en belangrijke entiteiten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.