Goede voorbereiding is het halve werk
Digitale infrastructuur en dataverkeer zijn essentieel voor het functioneren van de samenleving en de economie. In een tijd waarin zowel de digitale ontwikkelingen als de toename van digitale dreigingen razendsnel gaan, neemt de aandacht voor de beveiliging van digitale informatiesystemen toe. De EU heeft daarom in 2022 de Network and Information Security 2 (NIS2) richtlijn aangenomen, met als doel de digitale weerbaarheid van lidstaten te versterken. Deze richtlijn wordt omgezet in nationale wet- en regelgeving die in 2025 in werking zal treden. Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. Het zal niemand verbazen dat de zorg essentieel én belangrijk is.
NIS2 betekent dat ook de zorgsector aan strengere digitale veiligheidseisen moet gaan voldoen. Het doel is een hoger niveau van informatiebeveiliging bij bedrijven en organisaties indien deze meer dan 50 fte of een omzet van groter dan 10 miljoen én balanstotaal van meer dan 10 miljoen euro hebben.
Shirin Golyardi, projectleider EGIZ (elektronische gegevensuitwisseling in de zorg) bij NEN wijst erop dat informatiebeveiliging voor de zorg niet nieuw is. “We hebben al de NEN 7510-norm, die de standaard zet voor informatiebeveiliging in de zorg. Alle zorgaanbieders moeten aantoonbaar aan deze norm voldoen. In tegenstelling tot de NIS2 is dit ongeacht de aard en omvang van de organisatie. Aangezien NEN 7510 een deel van de vereisten van de NIS2 voor informatiebeveiliging afdekt daar waar het zorgaanbieders betreft, is het een eerste en belangrijke stap om te voldoen aan NIS2.”
Impact NIS2 op zorg
De NIS2-richtlijn zal in Nederland de cyberbeveiligingswet (Cbw) gaan heten en onderscheidt meerdere categorieën binnen de gezondheidszorg, zoals zorgaanbieders, organisaties die onderzoek en ontwikkeling naar geneesmiddelen verrichten, en fabrikanten van farmaceutische producten en medische hulpmiddelen.
De Nederlandse wetgeving die voortvloeit vanuit deze richtlijn definieert een zorgaanbieder op basis van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Organisaties in het sociale domein (maatschappelijke ondersteuning) en jeugdhulp vallen niet onder de definitie zorgaanbieder (zoals gedefinieerd in de Wkkgz) en vallen niet onder de C Zogenaamde combinatieorganisaties, waar bijvoorbeeld zowel jeugdhulp als langdurige zorg wordt aangeboden, vallen wel onder de Cbw.
Voorbereiden op de Cbw
De organisaties die aan de Cbw moeten voldoen, zijn verplicht tot een zelfstandige risicobeoordeling en het op peil houden van hun informatiebeveiliging. Dit wordt in de wet zorgplicht genoemd. Op basis hiervan moeten passende maatregelen getroffen worden om digitale risico’s te minimaliseren en incidenten te voorkomen.
Bovendien is er een meldplicht voor significante incidenten binnen 24 uur, waarbij de impact van de verstoring, de duur en mogelijke financiële schade bepalen of een incident meldingswaardig is. Indien er een digitale en significante verstoring voordoet kunnen de zorginstellingen een beroep doen op Z-CERT, de digitale brandweer die ondersteuning biedt aan de organisaties in de zorg die onder de NIS2 vallen.
De NIS2-richtlijn benadrukt ook dat bestuurders van belangrijke en essentiële entiteiten hoofdelijke verantwoordelijkheid dragen voor informatiebeveiliging. Hiervoor dienen de leden van de Raad van Bestuur een opleiding te volgen binnen twee jaar nadat de Cbw in werking treedt, zodat ze gezamenlijk expertise en kennis hebben op het terrein van informatieveiligheid.
Birte van Elk, werkzaam bij de directie Informatiebeleid van het ministerie van VWS als projectleider Weerbaarheid: NIS2 en CER voor de zorg, waarschuwt er echter voor om nu al definitieve maatregelen te nemen. “Natuurlijk is het belangrijk dat organisaties én personen zich bewust zijn van de aanstaande wet en noodzakelijke voorbereidingen treffen. We doen ook zeker een oproep aan zorginstellingen om daar nu al middelen en tijd voor te reserveren. Maar het is nog niet bekend hoe de cyberbeveiligingswet exact gaat worden ingevuld en het is wel verstandig om daar even op te wachten. Het is zonde om nu al geld uit te geven aan maatregelen die straks niet nodig blijken te zijn.”
Dit artikel is verschenen in de ICT&Health 3/2024
