Wanneer de NIS2 is ingevoerd, zal het de (minimale) inspanning die organisaties aan cybersecurity moeten besteden, verhogen. Overheden zullen in staat zijn het management persoonlijk aansprakelijk te stellen als grove nalatigheid wordt aangetoond na een cyberincident.
Bovendien stelt de NIS2 overheden in staat om bij herhaalde nalatigheid iemand (tijdelijk) een bestuursverbod op te leggen. Dit is echter een worst-case scenario en de NIS2 biedt richtlijnen om dergelijke nalatigheid te voorkomen.
Om ervoor te zorgen dat het management zich voldoende bewust is van cyberrisico's, schrijft de NIS2 bijvoorbeeld voor dat bestuursorganen adequate cybersecurity training krijgen. De NIS2 adviseert dat alle werknemers een dergelijke opleiding krijgen, maar dit is niet verplicht.
Verder moeten er activiteiten op het gebied van risicobeheer en -beoordeling worden uitgevoerd om ervoor te zorgen dat het management zich bewust is van en rekening heeft gehouden met de cybersecurity risico's binnen hun organisatie.
Deze proactieve en preventieve maatregelen zijn niet het enige dat in de NIS2 wordt beschreven. Het beschrijft ook verplichte activiteiten na een incident.
Incident verplichtingen
Een incident wordt gedefinieerd als een gebeurtenis waarbij "de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de gerelateerde diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen" in gevaar is gebracht.
Wanneer een organisatie kennis krijgt van een dergelijk incident, moet zij binnen 24 uur een eerste rapport indienen bij de toepasselijke autoriteiten indien het incident de beschikbaarheid van de door haar aangeboden diensten heeft verstoord, en binnen 72 uur in elk van de andere genoemde gevallen.
Deze eerste rapporten moeten naar beste vermogen relevante informatie bevatten. Bovendien moet voor alle incidenten binnen een maand na de eerste melding een volledig incidentverslag worden ingediend.
Wanneer een organisatie zich bewust wordt van een dergelijk incident, is zij verplicht om binnen 24 uur na kennisname van het incident een vroege waarschuwing te geven aan de toepasselijke autoriteiten en binnen 72 uur een eerste beoordeling uit te voeren.
Deze beoordeling moet de ernst en de impact van het incident omvatten, en mogelijk indicatoren voor een compromis op basis van beste inspanningen. Ten slotte is voor alle incidenten een volledige incidentmelding binnen een maand na de eerste melding vereist.