Wat behelst de zorgplicht?
Essentiële en belangrijke entiteiten moeten maatregelen nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Hetzelfde geldt voor de fysieke omgeving waarin de systemen zich bevinden.
Welke maatregelen moet ik nemen om aan de zorgplicht te voldoen?
Onder de zorgplicht vallen ten minste:
1. Een risicoanalyse en beveiliging van informatiesystemen
2. (Beleid en procedures over) incidentenbehandeling
3. Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen
4. Beveiliging van de toeleveranciersketen
5. Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden
6. Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen
7. Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging
8. Beleid en procedures over het gebruik van cryptografie en encryptie
9. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa
10. Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit
Wie is verantwoordelijk voor het naleven van de zorgplicht?
Het bestuur van de NIS2-entiteit is eindverantwoordelijk voor het naleven van de zorgplicht. Zij kunnen voor het niet naleven aansprakelijk worden gesteld. Er ligt een actieve rol voor hen weggelegd in het goedkeuren van de voorgenomen maatregelen, het houden van toezicht op de implementatie, het volgen van training om kennis te vergroten en het aanbieden van trainingen aan medewerkers.
Download hier de infosheet van het NCSC