NIS2 in 2025 vertaald naar Nederlandse wet- en regelgeving

3 september 2024

Goede voorbereiding is het halve werk

Digitale infrastructuur en dataverkeer zijn essentieel voor het functioneren van de samenleving en de economie. In een tijd waarin zowel de digitale ontwikkelingen als de toename van digitale dreigingen razendsnel gaan, neemt de aandacht voor de beveiliging van digitale informatiesystemen toe. De EU heeft daarom in 2022 de Network and Information Security 2 (NIS2) richtlijn aangenomen, met als doel de digitale weerbaarheid van lidstaten te versterken. Deze richtlijn wordt omgezet in nationale wet- en regelgeving die in 2025 in werking zal treden. Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. Het zal niemand verbazen dat de zorg essentieel én belangrijk is.

NIS2 betekent dat ook de zorgsector aan strengere digitale veiligheidseisen moet gaan voldoen. Het doel is een hoger niveau van informatiebeveiliging bij bedrijven en organisaties indien deze meer dan 50 fte of een omzet van groter dan 10 miljoen én balanstotaal van meer dan 10 miljoen euro hebben.

Shirin Golyardi, projectleider EGIZ (elektronische gegevensuitwisseling in de zorg) bij NEN wijst erop dat informatiebeveiliging voor de zorg niet nieuw is. “We hebben al de NEN 7510-norm, die de standaard zet voor informatiebeveiliging in de zorg. Alle zorgaanbieders moeten aantoonbaar aan deze norm voldoen. In tegenstelling tot de NIS2 is dit ongeacht de aard en omvang van de organisatie. Aangezien NEN 7510 een deel van de vereisten van de NIS2 voor informatiebeveiliging afdekt daar waar het zorgaanbieders betreft, is het een eerste en belangrijke stap om te voldoen aan NIS2.”

Impact NIS2 op zorg

De NIS2-richtlijn zal in Nederland de cyberbeveiligingswet (Cbw) gaan heten en onderscheidt meerdere categorieën binnen de gezondheidszorg, zoals zorgaanbieders, organisaties die onderzoek en ontwikkeling naar geneesmiddelen verrichten, en fabrikanten van farmaceutische producten en medische hulpmiddelen.

De Nederlandse wetgeving die voortvloeit vanuit deze richtlijn definieert een zorgaanbieder op basis van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Organisaties in het sociale domein (maatschappelijke ondersteuning) en jeugdhulp vallen niet onder de definitie zorgaanbieder (zoals gedefinieerd in de Wkkgz) en vallen niet onder de C Zogenaamde combinatieorganisaties, waar bijvoorbeeld zowel jeugdhulp als langdurige zorg wordt aangeboden, vallen wel onder de Cbw.

Voorbereiden op de Cbw

De organisaties die aan de Cbw moeten voldoen, zijn verplicht tot een zelfstandige risicobeoordeling en het op peil houden van hun informatiebeveiliging. Dit wordt in de wet zorgplicht genoemd. Op basis hiervan moeten passende maatregelen getroffen worden om digitale risico’s te minimaliseren en incidenten te voorkomen.

Bovendien is er een meldplicht voor significante incidenten binnen 24 uur, waarbij de impact van de verstoring, de duur en mogelijke financiële schade bepalen of een incident meldingswaardig is. Indien er een digitale en significante verstoring voordoet kunnen de zorginstellingen een beroep doen op Z-CERT, de digitale brandweer die ondersteuning biedt aan de organisaties in de zorg die onder de NIS2 vallen.

De NIS2-richtlijn benadrukt ook dat bestuurders van belangrijke en essentiële entiteiten hoofdelijke verantwoordelijkheid dragen voor informatiebeveiliging. Hiervoor dienen de leden van de Raad van Bestuur een opleiding te volgen binnen twee jaar nadat de Cbw in werking treedt, zodat ze gezamenlijk expertise en kennis hebben op het terrein van informatieveiligheid.

Birte van Elk, werkzaam bij de directie Informatiebeleid van het ministerie van VWS als projectleider Weerbaarheid: NIS2 en CER voor de zorg, waarschuwt er echter voor om nu al definitieve maatregelen te nemen. “Natuurlijk is het belangrijk dat organisaties én personen zich bewust zijn van de aanstaande wet en noodzakelijke voorbereidingen treffen. We doen ook zeker een oproep aan zorginstellingen om daar nu al middelen en tijd voor te reserveren. Maar het is nog niet bekend hoe de cyberbeveiligingswet exact gaat worden ingevuld en het is wel verstandig om daar even op te wachten. Het is zonde om nu al geld uit te geven aan maatregelen die straks niet nodig blijken te zijn.”

 

Dit artikel is verschenen in de ICT&Health 3/2024

 

Overige nieuwsberichten

It Kin Net - het belang van communicatie binnen EGIZ
17 oktober 2024

‘Hoe werkt het nou bij NEN en hoe komt een norm tot stand?’ Dat zijn vragen die vaak gesteld worden. Zeker in het EGIZ project, waar NEN een heel stelsel aan normen ontwikkelt in kader van de Wegiz. Een complex werkveld waar we samenwerken met het ministerie van VWS, partners uit het zorgveld en waar … Lees meer

Congres: Herziening NEN 7510
10 oktober 2024

Dinsdag 21 januari organiseert NEN het congres over de publicatie van de nieuwe editie van NEN 7510. Tijdens deze dag presenteren we de vernieuwde norm, de context en relevantie van deze herziening voor de zorgsector. Een unieke kans om inzicht te krijgen in de nieuwste ontwikkelingen op het gebied van informatiebeveiliging. Waarom een nieuwe NEN … Lees meer

Informatiebijeenkomst Normontwerp NEN 7545 eOverdracht
10 oktober 2024

NEN nodigt je, in samenwerking met het Ministerie van VWS, uit voor een informatieve bijeenkomst waar experts uit de zorgsector een toelichting zullen geven op het normontwerp NEN 7545 eOverdracht. Dit ontwerp stelt specifieke eisen aan processen en systemen die betrokken zijn bij de elektronische verwerking en uitwisseling van verpleegkundige overdrachten (eOverdracht) tussen zorgverleners. De … Lees meer