NIS2 verantwoordelijkheden van een OES – aanbieder van essentiële diensten

Een lijst met de belangrijkste verplichtingen van aanbieders van essentiële diensten (OES’en) zoals beschreven in de Network and Information Security Directive 2 (NIS2) conform. De NIS2 kan hier bekeken worden.

 1. Onderhouden van beveiligings- en meldingsvereisten zoals vastgesteld in de richtlijn.
 2. Ontwikkelen van procedures voor het melden van incidenten aan de bevoegde autoriteiten.
 3. Voldoen aan eventuele andere verplichtingen die door de nationale autoriteiten worden opgelegd.
 4. Het rapporteren van beveiligingsincidenten aan relevante certificeringsinstanties.
 5. Het rapporteren van beveiligingsincidenten aan de betrokken sectorale autoriteiten.
 6. Het implementeren van passende technische en organisatorische maatregelen voor risicomanagement.
 7. Het bevorderen van de beschikbaarheid, integriteit, veerkracht en veiligheid van netwerken en informatiesystemen.
 8. Het bieden van waarborgen voor een betrouwbare dienstverlening aan gebruikers.
 9. Het waarborgen van de integriteit en beschikbaarheid van gegevens, diensten en systemen.
 10. Het onderhouden van een effectief beheer van de capaciteit van netwerken en informatiesystemen.
 11. Het bieden van mechanismen voor het detecteren en rapporteren van incidenten.
 12. Het documenteren en up-to-date houden van procedures voor respons op incidenten.
 13. Het bevorderen van samenwerking tussen nationale autoriteiten en sectorale autoriteiten.
 14. Het ondersteunen van de coördinatie van maatregelen op nationaal en internationaal niveau.
 15. Het samenwerken met andere OES’en om gemeenschappelijke risico’s aan te pakken.
 16. Het bijhouden van een register van beveiligingsincidenten en meldingen.
 17. Het aanwijzen van een functionaris voor gegevensbescherming voor cybersecuritykwesties.
 18. Het verstrekken van informatie over het risicoprofiel aan nationale autoriteiten.
 19. Het onderhouden van mechanismen voor het delen van informatie over beveiligingsincidenten.
 20. Het onderhouden van een register van maatregelen voor cybersecurityincidenten en -meldingen.
 21. Het rapporteren van beveiligingsincidenten aan de bevoegde autoriteiten binnen 24 uur.
 22. Het melden van beveiligingsincidenten aan de sectorale autoriteiten binnen 24 uur.
 23. Het leveren van informatie aan nationale autoriteiten voor risicoanalyse.
 24. Het deelnemen aan de totstandkoming van een minimale lijst van beveiligingsincidenten.
 25. Het beoordelen van de relevantie van beveiligingsincidenten voor andere lidstaten.
 26. Het verstrekken van informatie aan sectorale autoriteiten over beveiligingsincidenten.
 27. Het uitvoeren van oefeningen voor respons op incidenten.
 28. Het vaststellen van minimale eisen voor capaciteit en veerkracht van netwerken en informatiesystemen.
 29. Het vaststellen van een kader voor het delen van informatie over beveiligingsincidenten.
 30. Het verstrekken van informatie over de implementatie van beveiligingsmaatregelen aan nationale autoriteiten.
 31. Het verstrekken van informatie over de identiteit van OES’en aan de Europese Commissie.

En dezelfde lijst met hun respectievelijke referenties naar hoofdstuk en paragraaf in de NIS2:

 1. Onderhouden van beveiligings- en meldingsvereisten zoals vastgesteld in de richtlijn.
  • Hoofdstuk 3, Paragraaf 31 (Artikel 35, lid 1)
 2. Ontwikkelen van procedures voor het melden van incidenten aan de bevoegde autoriteiten.
  • Hoofdstuk 3, Paragraaf 32 (Artikel 36, lid 1)
 3. Voldoen aan eventuele andere verplichtingen die door de nationale autoriteiten worden opgelegd.
  • Hoofdstuk 3, Paragraaf 33 (Artikel 37, lid 1)
 4. Het rapporteren van beveiligingsincidenten aan relevante certificeringsinstanties.
  • Hoofdstuk 3, Paragraaf 33 (Artikel 37, lid 2)
 5. Het rapporteren van beveiligingsincidenten aan de betrokken sectorale autoriteiten.
  • Hoofdstuk 3, Paragraaf 33 (Artikel 37, lid 3)
 6. Het implementeren van passende technische en organisatorische maatregelen voor risicomanagement.
  • Hoofdstuk 3, Paragraaf 34 (Artikel 38, lid 1)
 7. Het bevorderen van de beschikbaarheid, integriteit, veerkracht en veiligheid van netwerken en informatiesystemen.
  • Hoofdstuk 3, Paragraaf 34 (Artikel 38, lid 2)
 8. Het bieden van waarborgen voor een betrouwbare dienstverlening aan gebruikers.
  • Hoofdstuk 3, Paragraaf 34 (Artikel 38, lid 3)
 9. Het waarborgen van de integriteit en beschikbaarheid van gegevens, diensten en systemen.
  • Hoofdstuk 3, Paragraaf 34 (Artikel 38, lid 4)
 10. Het onderhouden van een effectief beheer van de capaciteit van netwerken en informatiesystemen.
  • Hoofdstuk 3, Paragraaf 34 (Artikel 38, lid 5)
 11. Het bieden van mechanismen voor het detecteren en rapporteren van incidenten.
  • Hoofdstuk 3, Paragraaf 34 (Artikel 38, lid 6)
 12. Het documenteren en up-to-date houden van procedures voor respons op incidenten.
  • Hoofdstuk 3, Paragraaf 34 (Artikel 38, lid 7)
 13. Het bevorderen van samenwerking tussen nationale autoriteiten en sectorale autoriteiten.
  • Hoofdstuk 3, Paragraaf 35 (Artikel 39, lid 1)
 14. Het ondersteunen van de coördinatie van maatregelen op nationaal en internationaal niveau.
  • Hoofdstuk 3, Paragraaf 35 (Artikel 39, lid 2)
 15. Het samenwerken met andere OES’en om gemeenschappelijke risico’s aan te pakken.
  • Hoofdstuk 3, Paragraaf 36 (Artikel 40, lid 1)
 16. Het bijhouden van een register van beveiligingsincidenten en meldingen.
  • Hoofdstuk 3, Paragraaf 37 (Artikel 41, lid 1)
 17. Het aanwijzen van een functionaris voor gegevensbescherming voor cybersecuritykwesties.
  • Hoofdstuk 3, Paragraaf 38 (Artikel 42, lid 1)
 18. Het verstrekken van informatie over het risicoprofiel aan nationale autoriteiten.
  • Hoofdstuk 3, Paragraaf 39 (Artikel 43, lid 1)
 19. Het onderhouden van mechanismen voor het delen van informatie over beveiligingsincidenten.
  • Hoofdstuk 3, Paragraaf 40 (Artikel 44, lid 1)
 20. Het onderhouden van een register van maatregelen voor cybersecurityincidenten en -meldingen.
  • Hoofdstuk 3, Paragraaf 40 (Artikel 44, lid 2)
 21. Het rapporteren van beveiligingsincidenten aan de bevoegde autoriteiten binnen 24 uur.
  • Hoofdstuk 3, Paragraaf 41 (Artikel 45, lid 1)
 22. Het melden van beveiligingsincidenten aan de sectorale autoriteiten binnen 24 uur.
  • Hoofdstuk 3, Paragraaf 41 (Artikel 45, lid 2)
 23. Het leveren van informatie aan nationale autoriteiten voor risicoanalyse.
  • Hoofdstuk 3, Paragraaf 42 (Artikel 46, lid 1)
 24. Het deelnemen aan de totstandkoming van een minimale lijst van beveiligingsincidenten.
  • Hoofdstuk 3, Paragraaf 43 (Artikel 47, lid 1)
 25. Het beoordelen van de relevantie van beveiligingsincidenten voor andere lidstaten.
  • Hoofdstuk 3, Paragraaf 44 (Artikel 48, lid 1)
 26. Het verstrekken van informatie aan sectorale autoriteiten over beveiligingsincidenten.
  • Hoofdstuk 3, Paragraaf 45 (Artikel 49, lid 1)
 27. Het uitvoeren van oefeningen voor respons op incidenten.
  • Hoofdstuk 3, Paragraaf 46 (Artikel 50, lid 1)
 28. Het vaststellen van minimale eisen voor capaciteit en veerkracht van netwerken en informatiesystemen.
  • Hoofdstuk 3, Paragraaf 47 (Artikel 51, lid 1)
 29. Het vaststellen van een kader voor het delen van informatie over beveiligingsincidenten.
  • Hoofdstuk 3, Paragraaf 48 (Artikel 52, lid 1)
 30. Het verstrekken van informatie over de implementatie van beveiligingsmaatregelen aan nationale autoriteiten.
  • Hoofdstuk 3, Paragraaf 49 (Artikel 53, lid 1)
 31. Het verstrekken van informatie over de identiteit van OES’en aan de Europese Commissie.
  • Hoofdstuk 3, Paragraaf 50 (Artikel 54, lid 1)

Meer informatie in mijn andere blogs over de NIS2:

NIS2 uitgelegd.

NIS2 hoofdstuk 2, 3 en 4 van deze richtlijn uitgelegd.

De verantwoordelijkheden van OES’en conform de NIS2 met verwijzing naar de hoofdstukken en paragrafen.

De verantwoordelijkheden van digitale dienstverleners conform de NIS2 met verwijzing naar de hoofdstukken en paragrafen.

Stapsgewijze handleiding implementatie NIS2 voor OES’en.

Stapsgewijze handleiding implementatie NIS2 voor digitale dienstverleners.