Wat houdt de zorgplicht in?
De zorgplicht verplicht organisaties om risico’s voor netwerk- en informatiesystemen te beoordelen en passende en evenredige maatregelen te nemen. Risicomanagement vormt de basis: maatregelen moeten aansluiten op de dreigingen, impact en afhankelijkheden van de organisatie.
Belangrijke thema’s
De wet noemt onder meer incidentafhandeling, bedrijfscontinuïteit, back-up en herstel, crisisbeheer, beveiliging van de toeleveringsketen, veilige aanschaf en ontwikkeling, kwetsbaarhedenbeheer, toetsing van de effectiviteit, cyberhygiëne, opleiding, cryptografie, toegangsbeheer en multifactorauthenticatie.
Aantoonbaarheid
Alleen zeggen dat iets “geregeld” is, is vaak onvoldoende. Organisaties moeten kunnen laten zien wie verantwoordelijk is, welk beleid geldt, welke controles plaatsvinden, welke incidenten zijn geregistreerd en wanneer herstel of continuïteit voor het laatst is getest.
Bestuurlijke verantwoordelijkheid
Bestuurders moeten maatregelen goedkeuren, toezicht houden op de uitvoering en voldoende kennis hebben om hun verantwoordelijkheid te kunnen dragen.
Deze pagina is informatief. Controleer bij twijfel altijd de actuele officiële informatie of raadpleeg een juridisch of cybersecuritydeskundige.