De zorgplicht

Next story

In onze vorige blogs hebben we het al vaker over de ‘zorgplicht’ gehad. Maar wat houdt dit precies in? Onder de huidige richtlijn Netwerk- en Informatiebeveiliging (Richtlijn (EU) 2016/1148) geldt een tweeledige plicht voor aanbieders van essentiële diensten en digitale dienstverleners; een meldplicht en een zorgplicht. In deze blog leggen we deze laatstgenoemde plicht aan je uit, de meldplicht zullen wij in een aparte blog behandelen.

De zorgplicht geldt onder de huidige richtlijn voor zowel vitale aanbieders als digitale dienstverleners en houdt in dat passende en evenredige technische en organisatorische maatregelen getroffen moeten worden om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. Met de NIS2-richtlijn, en het nieuwe onderscheid tussen essentiële en belangrijke entiteiten, zal deze verplichting voor zowel essentiële als belangrijke entiteiten komen te gelden.

Met beveiliging wordt bedoeld dat de netwerk- en informatiesystemen bestand zijn tegen acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid in gevaar brengen. In de Uitvoeringsverordening (Verordening (EU) 2018/151) is nader gespecificeerd welke beveiligingselementen in acht moeten worden genomen: beveiliging van systemen en voorzieningen, behandeling van incidenten, het beheer van de bedrijfscontinuïteit, toezicht, controle en testen en internationale normen. ”

Minimummaatregelen
In de NIS2-richtlijn wordt een minimale lijst van maatregelen opgesomd, waaronder het uitvoeren van een risicoanalyse en beleid inzake de beveiliging van informatiesystemen, handhaving van incidenten, business continuïteit en crisisbeheer, supply chain beveiliging en beveiliging bij de aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen. Ook zijn beleid en procedures om de doeltreffendheid van risicobeheersmaatregelen te beoordelen en het gebruik van cryptografie en encryptie onderdeel van de maatregelen.

De Europose Commissie is echter bevoegd om uitvoerings- en gedelegeerde handelingen vast te stellen om maatregelen nader te specificeren en extra maatregelen te kunnen toevoegen. Zo kunnen de maatregelen worden uitgebreid, rekening houdend met nieuwe cyberdreigingen, technologische ontwikkelingen of sectorspecifieke kenmerken.

Toezicht en handhaving
Lidstaten moeten ervoor zorgen dat zij doeltreffend toezicht houden om de naleving van de vereisten uit de richtlijn te waarborgen. Ten aanzien van essentiële entiteiten houdt dit een proactief toezicht in, en ten aanzien van belangrijke entiteiten geldt een reactief toezicht. In het laatste geval dient er namelijk pas actie te worden ondernomen wanneer voor een lidstaat blijkt dat een belangrijke entiteit niet aan de neergelegde verplichtingen voldoet. Hiertoe staan de toezichthoudende autoriteiten een uitgebreid pakket aan toezichtsbevoegdheden en handhavingsinstrumenten ter beschikking. De NIS2-richtlijn breidt aansprakelijkheid daarnaast uit tot natuurlijke personen die verantwoordelijk kunnen worden gehouden voor de schending van een zorgplicht. Zo kunnen naast de rechtspersoon zelf ook bestuurders van een organisatie aansprakelijk worden gesteld.