Ga direct naar inhoud

Rechten en plichten CER-richtlijn en NIS2-richtlijn

Welke verplichtingen schrijven de CER- en NIS2-richtlijnen voor?

De verplichtingen van beide richtlijnen lijken sterk op elkaar. Belangrijke onderdelen zijn:

  • Zorgplicht - Beide richtlijnen bevatten een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Bij de CER-richtlijn zijn deze maatregelen gericht op fysieke dreigingen, bij de NIS2-richtlijn op digitale dreigingen.
  • Meldplicht - Beide richtlijnen schrijven voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat. vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
  • Toezicht - Organisaties die onder één of beide richtlijnen vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Wat kunnen organisaties van de overheid verwachten?

Beide richtlijnen verplichten lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen fysieke en digitale risico’s. Zo schrijft de CER-richtlijn voor dat de overheid elke vier jaar per sector een risicobeoordeling uitvoert en deelt met kritieke entiteiten in die sector. De NIS2-richtlijn schrijft voor dat essentiële en belangrijke entiteiten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.

Wat kunnen organisaties alvast doen om zich voor te bereiden?

Vooruitlopend op de komst van de nationale wetgeving kunnen organisaties zich alvast voorbereiden op hun zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. Op de website van het Nationaal Cyber Security Centrum (NCSC) en op de website van het Digital Trust Center staan bijvoorbeeld een aantal maatregelen die organisaties kunnen implementeren om zich beter te beschermen tegen risico’s en schade door cyberaanvallen. Ook kan er gedacht worden aan het:

  • In kaart brengen van de gebruikte netwerk- en informatiesystemen
  • Inventariseren en analyseren van risico’s.
  • Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing en het organiseren van incident response.
  • Identificeren van alternatieve toeleveringsketens.
  • Bewustwording van personeel van risico’s en te nemen maatregelen.
  • In kaart brengen van de eigen assests (dus de eigen netwerk- en informatiesystemen)

Ook is het verstandig om budget en capaciteit te reserveren dat nodig is om aan de richtlijnen te voldoen.