3. Wat zijn de doelstellingen van NIS2?
Het doel is nog steeds om entiteiten te beschermen die een dienst verlenen die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten op gebieden zoals energie, vervoer, gezondheid, drinkwater, digitale infrastructuur, ruimtevaart, leveranciers van informatie- en communicatietechnologie of het overheidsbestuur. Ongeacht de omvang van de organisatie, verplicht artikel 2 van de richtlijn lidstaten ook om bepaalde entiteiten op nationaal niveau op te nemen vanwege de kritieke aard van de verleende essentiële dienst, het aanzienlijke systeemrisico of de aanzienlijke gevolgen voor de openbare veiligheid.
Wat betreft de maatregelen voor het beheer van cyberbeveiligingsrisico’s moeten de betrokken entiteiten er met name voor zorgen dat maatregelen worden genomen die zijn afgestemd op de risico’s, waarbij rekening wordt gehouden met de mate waarin de entiteit aan risico’s is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan, in het licht van de mogelijke maatschappelijke en economische gevolgen.
De richtlijn voorziet in de melding van significante incidenten aan de bevoegde autoriteiten om de potentiële verspreiding ervan te beperken, entiteiten in staat te stellen bijstand te vragen, crisissituaties zo goed mogelijk te beheren en relevante technische informatie met andere entiteiten te delen.
De inhoud van de richtlijn reglementeert cyberbeveiliging niet op een specifiek gebied, maar vereist het nemen van minimale maatregelen voor het garanderen van een hoog gezamenlijk niveau van cyberbeveiliging (laten we zeggen, sectoroverschrijdend) in de hele Unie voor bepaalde entiteiten die essentiële diensten leveren.
Om hierover meer te weten:
De NIS2-richtlijn: Voor wie? Waarom? - Centrum voor Cybersecurity België (CCB)