Welke verplichtingen schrijft NIS2-richtlijn voor?

De verplichtingen van beide richtlijnen lijken sterk op elkaar. Belangrijke onderdelen zijn:

• Zorgplicht -  De NIS2-richtlijn bevat een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
• Meldplicht - De NIS2-richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat. vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
• Toezicht - Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.