We hebben het al vaker over zorgplicht gehad. Maar wat is dat nou precies? Onder de huidige Europese richtlijn Netwerk- en Informatiebeveiliging hebben aanbieders van essentiële diensten en digitale dienstverleners 3 verplichtingen: meldplicht, zorgplicht en registratieplicht. In dit artikel zoomen we in op zorgplicht.
De zorgplicht betekent dat je als organisatie passende en evenredige technische én organisatorische maatregelen moet nemen om risico's voor je netwerk- en informatiesystemen te beheersen. Met andere woorden: je systemen moeten bestand zijn tegen alles wat de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid kan aantasten.
NIS2 somt een aantal minimummaatregelen op waar je als organisatie mee aan de slag moet gaan, waaronder:
Natuurlijk blijft het niet bij mooie woorden en papieren plannen. De NIS2-richtlijn schrijft ook voor dat lidstaten scherp toezicht moeten houden. Het idee: niet alleen regels vastleggen, maar er ook voor zorgen dat organisaties ze écht naleven. Voor essentiële entiteiten betekent dit dat toezichthouders actief meekijken en controleren. Proactief dus. Bij belangrijke entiteiten gebeurt dat reactief: pas als er signalen zijn dat een organisatie haar verplichtingen niet nakomt, wordt ingegrepen.
Om dit goed te kunnen doen, krijgen toezichthouders een stevig pakket aan bevoegdheden en instrumenten. Daarmee kunnen ze niet alleen controleren, maar ook handhaven waar nodig.