De NIS2 kent verschillende hoofdstukken. Hieronder een uitleg van de hoofdstukken 2, 3 en 4. Hoofdstuk 1 staat hier uitgelegd.
Hoofdstuk 2 van de NIS2 legt de nadruk op de verplichtingen van de lidstaten met betrekking tot de implementatie en handhaven van de richtlijn. De belangrijkste punten uit hoofdstuk 2 zijn:
- Implementatieverplichtingen: Lidstaten worden verplicht om de bepalingen van NIS2 in hun nationale wetgeving om te zetten en moeten ervoor zorgen dat deze wetgeving van kracht is binnen een bepaalde termijn na de inwerkingtreding van de richtlijn.
- Aanwijzing van nationale autoriteiten: Lidstaten moeten nationale autoriteiten voor netwerk- en informatiebeveiliging (NISA’s) aanwijzen om de implementatie van NIS2 te coördineren en te bevorderen.
- Taken van de nationale autoriteiten: De taken van de NISA’s omvatten onder meer het bevorderen van samenwerking tussen de relevante autoriteiten en belanghebbenden, het verstrekken van richtlijnen en ondersteuning aan OES’en en digitale dienstverleners, en het uitvoeren van toezicht en handhaving op nationaal niveau.
- Informatie-uitwisseling en samenwerking: Lidstaten moeten mechanismen voor informatie-uitwisseling en samenwerking tussen nationale autoriteiten vaststellen, zowel op nationaal als op Europees niveau, om een effectieve respons op cybersecurityincidenten te waarborgen.
- Maatregelen ter bevordering van capaciteitsopbouw: Lidstaten worden aangemoedigd om maatregelen te nemen ter bevordering van capaciteitsopbouw op het gebied van cybersecurity, zoals het verstrekken van opleidingen, het bevorderen van bewustwordingscampagnes en het ondersteunen van onderzoek en ontwikkeling.
Hoofdstuk 3 van de NIS2 richt zich op de verantwoordelijkheden van OES’en met betrekking tot het waarborgen van de cybersecurity van essentiële diensten en legt specifieke verplichtingen op met betrekking tot risicobeoordeling, beveiligingsmaatregelen en incidentmelding. De belangrijkste punten uit hoofdstuk 3 zijn:
- Identificatie van essentiële diensten: Lidstaten moeten een lijst opstellen van sectoren en entiteiten die worden beschouwd als aanbieders van essentiële diensten (OES’en). Dit omvat sectoren zoals energie, vervoer, gezondheidszorg, financiën en digitale infrastructuur.
- Risicobeoordeling en beveiligingsmaatregelen: OES’en zijn verplicht om risicobeoordelingen uit te voeren voor hun netwerken en informatiesystemen en passende beveiligingsmaatregelen te implementeren om risico’s te verminderen.
- Incidentmelding: OES’en moeten cybersecurityincidenten melden aan de nationale autoriteiten en, indien nodig, aan andere relevante entiteiten. Deze meldingen moeten tijdig en op een gestandaardiseerde manier plaatsvinden.
- Beveiligings- en meldingsvereisten: NIS2 legt specifieke beveiligings- en meldingsvereisten op aan OES’en, waaronder de verplichting om passende technische en organisatorische maatregelen te implementeren om de veiligheid van netwerken en informatiesystemen te waarborgen, en om incidenten te melden bij de bevoegde autoriteiten.
- Samenwerking met nationale autoriteiten: OES’en moeten samenwerken met nationale autoriteiten en hen voorzien van de nodige informatie en ondersteuning bij het uitvoeren van hun taken op het gebied van cybersecurity.
Hoofdstuk 4 van de NIS2 richt zich op de verantwoordelijkheden van digitale dienstverleners met betrekking tot het waarborgen van de cybersecurity van hun diensten en legt specifieke verplichtingen op met betrekking tot risicobeoordeling, beveiligingsmaatregelen en incidentmelding. De belangrijkste punten uit hoofdstuk 4 zijn:
- Identificatie van digitale dienstverleners: Lidstaten moeten een lijst opstellen van digitale dienstverleners die onder de reikwijdte van NIS2 vallen. Dit omvat online marktplaatsen, zoekmachines en clouddiensten, evenals andere dienstverleners die als digitaal worden beschouwd.
- Risicobeoordeling en beveiligingsmaatregelen: Digitale dienstverleners zijn verplicht om risicobeoordelingen uit te voeren voor hun netwerken en informatiesystemen en passende beveiligingsmaatregelen te implementeren om risico’s te verminderen.
- Incidentmelding: Digitale dienstverleners moeten cybersecurityincidenten melden aan de nationale autoriteiten en, indien nodig, aan andere relevante entiteiten. Deze meldingen moeten tijdig en op een gestandaardiseerde manier plaatsvinden.
- Beveiligings- en meldingsvereisten: NIS2 legt specifieke beveiligings- en meldingsvereisten op aan digitale dienstverleners, waaronder de verplichting om passende technische en organisatorische maatregelen te implementeren om de veiligheid van netwerken en informatiesystemen te waarborgen, en om incidenten te melden bij de bevoegde autoriteiten.
- Samenwerking met nationale autoriteiten: Digitale dienstverleners moeten samenwerken met nationale autoriteiten en hen voorzien van de nodige informatie en ondersteuning bij het uitvoeren van hun taken op het gebied van cybersecurity.
Meer informatie in mijn andere blogs over de NIS2:
NIS2 hoofdstuk 2, 3 en 4 van deze richtlijn uitgelegd.
Stapsgewijze handleiding implementatie NIS2 voor OES’en.
Stapsgewijze handleiding implementatie NIS2 voor digitale dienstverleners.