1. De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemenBeveiliging van netwerk- en informatiesystemen Het vermogen van netwerk- en informatiesystemen om met een gegeven mate van betrouwbaarheid bestand te zijn tegen gebeurtenissen die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door deze netwerk- en informatiesystemen worden aangeboden of via deze toegankelijk zijn, in gevaar kunnen brengen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) die deze entiteiten gebruiken voor hun activiteiten of voor het leveren van hun diensten, en om de impact van incidenten op de ontvangers van hun diensten en op andere diensten te voorkomen of tot een minimum te beperken.
Rekening houdend met de stand van de techniek en, in voorkomend geval, met de toepasselijke Europese en internationale normen, alsmede met de uitvoeringskosten, zorgen de in de eerste alinea bedoelde maatregelen voor een op de risico's afgestemd niveau van netwerk- en informatiebeveiliging. Bij de beoordeling van de evenredigheid van deze maatregelen wordt naar behoren rekening gehouden met de mate van entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)de blootstelling van de entiteit aan risico's, de omvang van de entiteit en de waarschijnlijkheid dat incidenten zich voordoen en de ernst ervan, inclusief de maatschappelijke en economische gevolgen.
2. De in lid 1 bedoelde maatregelen zijn gebaseerd op een alle risico's omvattende aanpak die erop gericht is netwerk- en informatiesystemen en de fysieke omgeving van die systemen te beschermen tegen incidenten, en omvatten ten minste het volgende:
(a) beleid inzake risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) analyse en beveiliging van informatiesystemen;
(b) incidentafhandelingIncidentafhandeling Alle acties en procedures om een incident te voorkomen, op te sporen, te analyseren en in te dammen of om te reageren op en te herstellen van een incident. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn);
(c) bedrijfscontinuïteit, zoals back-upbeheer en noodherstel, en crisisbeheer;
(d) beveiliging van de toeleveringsketen, met inbegrip van veiligheidsgerelateerde aspecten betreffende de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners;
(e) beveiliging bij de aanschaf, ontwikkeling en het onderhoud van netwerken en informatiesystemen, waaronder kwetsbaarheidKwetsbaarheid Een zwakte, gevoeligheid of tekortkoming van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) behandeling en openbaarmaking;
(f) beleid en procedures om de effectiviteit van cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881; risicobeheersmaatregelen;
(g) elementaire cyberhygiënepraktijken en cyberbeveiligingstraining;
(h) beleid en procedures voor het gebruik van cryptografie en, indien van toepassing, versleuteling;
(i) personeelsbeveiliging, toegangscontrolebeleid en activabeheer;
(j) het gebruik van multifactorauthenticatie of oplossingen voor continue authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing.
3. De lidstaten zorgen ervoor dat de entiteiten, wanneer zij nagaan welke van de in lid 2, onder d), van dit artikel bedoelde maatregelen passend zijn, rekening houden met de specifieke kwetsbaarheden van elke directe leverancier en dienstverlener en met de algemene kwaliteit van de producten en cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, met inbegrip van hun veilige ontwikkelingsprocedures. De lidstaten zorgen er ook voor dat de entiteiten, wanneer zij nagaan welke van de in dat punt bedoelde maatregelen passend zijn, rekening moeten houden met de resultaten van de overeenkomstig artikel 22, lid 1, uitgevoerde gecoördineerde beveiligingsrisicobeoordelingen van kritieke bevoorradingsketens.
4. De lidstaten zorgen ervoor dat een entiteit die vaststelt dat zij de in lid 2 bedoelde maatregelen niet naleeft, zonder onnodige vertraging alle noodzakelijke, passende en evenredige corrigerende maatregelen neemt.
5. Uiterlijk op 17 oktober 2024 stelt de Commissie uitvoeringshandelingen vast tot bepaling van de technische en methodologische vereisten van de in lid 2 bedoelde maatregelen met betrekking tot DNS-dienstverleners, TLD-naamregisters, cloudcomputingserviceCloud computing service Een digitale dienst die on-demand beheer en brede toegang op afstand tot een schaalbare en elastische pool van deelbare computerbronnen mogelijk maakt, ook als deze bronnen over verschillende locaties zijn verspreid. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) aanbieders, datacenterserviceDatacenterservice Een dienst die structuren of groepen van structuren omvat voor de gecentraliseerde accommodatie, interconnectie en werking van IT- en netwerkapparatuur die gegevensopslag, -verwerking en -transportdiensten levert, samen met alle faciliteiten en infrastructuren voor energiedistributie en omgevingscontrole. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) aanbieders, content delivery netwerkNetwerk voor inhoudsoverdracht Een netwerk van geografisch gedistribueerde servers om namens aanbieders van inhoud en diensten te zorgen voor een hoge beschikbaarheid, toegankelijkheid of snelle levering van digitale inhoud en diensten aan internetgebruikers. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) aanbieders, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van online marktplaatsen, online zoekmachines en platforms voor sociale netwerkdiensten, en vertrouwensdienstVertrouwensdienst Een gewoonlijk tegen vergoeding verrichte elektronische dienst die bestaat uit: a) het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, elektronische diensten voor aangetekende bezorging en certificaten in verband met deze diensten, of b) het aanmaken, verifiëren en valideren van certificaten voor websiteauthenticatie, of c) het bewaren van elektronische handtekeningen, zegels of certificaten in verband met deze diensten. - Definitie overeenkomstig artikel 3, punt 16, van Verordening (EU) nr. 910/2014 aanbieders.
De Commissie kan uitvoeringshandelingen vaststellen tot bepaling van de technische en methodologische voorschriften, alsmede de sectorale voorschriften, voor zover nodig, van de in lid 2 bedoelde maatregelen met betrekking tot andere dan de in de eerste alinea van dit lid bedoelde belangrijke en essentiële entiteiten.
Bij de voorbereiding van de in de eerste en tweede alinea van dit lid bedoelde uitvoeringshandelingen volgt de Commissie zoveel mogelijk de Europese en internationale normen, alsmede de relevante technische specificaties. De Commissie wisselt advies uit en werkt samen met de samenwerkingsgroep en het ENISA aan de ontwerpuitvoeringshandelingen overeenkomstig artikel 14, lid 4, onder e).
Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 39, lid 2, bedoelde onderzoeksprocedure.