NIS2 in 2025 vertaald naar Nederlandse wet- en regelgeving

3 september 2024

Goede voorbereiding is het halve werk

Digitale infrastructuur en dataverkeer zijn essentieel voor het functioneren van de samenleving en de economie. In een tijd waarin zowel de digitale ontwikkelingen als de toename van digitale dreigingen razendsnel gaan, neemt de aandacht voor de beveiliging van digitale informatiesystemen toe. De EU heeft daarom in 2022 de Network and Information Security 2 (NIS2) richtlijn aangenomen, met als doel de digitale weerbaarheid van lidstaten te versterken. Deze richtlijn wordt omgezet in nationale wet- en regelgeving die in 2025 in werking zal treden. Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. Het zal niemand verbazen dat de zorg essentieel én belangrijk is.

NIS2 betekent dat ook de zorgsector aan strengere digitale veiligheidseisen moet gaan voldoen. Het doel is een hoger niveau van informatiebeveiliging bij bedrijven en organisaties indien deze meer dan 50 fte of een omzet van groter dan 10 miljoen én balanstotaal van meer dan 10 miljoen euro hebben.

Shirin Golyardi, projectleider EGIZ (elektronische gegevensuitwisseling in de zorg) bij NEN wijst erop dat informatiebeveiliging voor de zorg niet nieuw is. “We hebben al de NEN 7510-norm, die de standaard zet voor informatiebeveiliging in de zorg. Alle zorgaanbieders moeten aantoonbaar aan deze norm voldoen. In tegenstelling tot de NIS2 is dit ongeacht de aard en omvang van de organisatie. Aangezien NEN 7510 een deel van de vereisten van de NIS2 voor informatiebeveiliging afdekt daar waar het zorgaanbieders betreft, is het een eerste en belangrijke stap om te voldoen aan NIS2.”

Impact NIS2 op zorg

De NIS2-richtlijn zal in Nederland de cyberbeveiligingswet (Cbw) gaan heten en onderscheidt meerdere categorieën binnen de gezondheidszorg, zoals zorgaanbieders, organisaties die onderzoek en ontwikkeling naar geneesmiddelen verrichten, en fabrikanten van farmaceutische producten en medische hulpmiddelen.

De Nederlandse wetgeving die voortvloeit vanuit deze richtlijn definieert een zorgaanbieder op basis van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Organisaties in het sociale domein (maatschappelijke ondersteuning) en jeugdhulp vallen niet onder de definitie zorgaanbieder (zoals gedefinieerd in de Wkkgz) en vallen niet onder de C Zogenaamde combinatieorganisaties, waar bijvoorbeeld zowel jeugdhulp als langdurige zorg wordt aangeboden, vallen wel onder de Cbw.

Voorbereiden op de Cbw

De organisaties die aan de Cbw moeten voldoen, zijn verplicht tot een zelfstandige risicobeoordeling en het op peil houden van hun informatiebeveiliging. Dit wordt in de wet zorgplicht genoemd. Op basis hiervan moeten passende maatregelen getroffen worden om digitale risico’s te minimaliseren en incidenten te voorkomen.

Bovendien is er een meldplicht voor significante incidenten binnen 24 uur, waarbij de impact van de verstoring, de duur en mogelijke financiële schade bepalen of een incident meldingswaardig is. Indien er een digitale en significante verstoring voordoet kunnen de zorginstellingen een beroep doen op Z-CERT, de digitale brandweer die ondersteuning biedt aan de organisaties in de zorg die onder de NIS2 vallen.

De NIS2-richtlijn benadrukt ook dat bestuurders van belangrijke en essentiële entiteiten hoofdelijke verantwoordelijkheid dragen voor informatiebeveiliging. Hiervoor dienen de leden van de Raad van Bestuur een opleiding te volgen binnen twee jaar nadat de Cbw in werking treedt, zodat ze gezamenlijk expertise en kennis hebben op het terrein van informatieveiligheid.

Birte van Elk, werkzaam bij de directie Informatiebeleid van het ministerie van VWS als projectleider Weerbaarheid: NIS2 en CER voor de zorg, waarschuwt er echter voor om nu al definitieve maatregelen te nemen. “Natuurlijk is het belangrijk dat organisaties én personen zich bewust zijn van de aanstaande wet en noodzakelijke voorbereidingen treffen. We doen ook zeker een oproep aan zorginstellingen om daar nu al middelen en tijd voor te reserveren. Maar het is nog niet bekend hoe de cyberbeveiligingswet exact gaat worden ingevuld en het is wel verstandig om daar even op te wachten. Het is zonde om nu al geld uit te geven aan maatregelen die straks niet nodig blijken te zijn.”

 

Dit artikel is verschenen in de ICT&Health 3/2024

 

Overige nieuwsberichten

Terugblik op een inspirerende dag: NEN EGIZ Congres
12 september 2024

Tijdens het NEN EGIZ Congres in de Rijtuigenloods dd 12 september 2024 werden belangrijke inzichten en krachtige boodschappen gedeeld die richting geven aan de zorg van morgen. David Baden (Voorzitter NVSHA, SEH-arts) bracht een treffend inzicht: “ICT gaat de problemen in de zorg niet oplossen, maar juist helpen om de menselijkheid terug te brengen.” Technologie … Lees meer

Wil je op de hoogte blijven wanneer NEN 7517 open is voor commentaar?
12 september 2024

Er is veel onduidelijkheid over de afspraken rondom taal en techniek, wat een optimale elektronische gegevensuitwisseling in de zorg belemmert. De Wet elektronische gegevensuitwisseling in de zorg (Wegiz) zet stappen om dit te verbeteren. In opdracht van het ministerie van VWS ontwikkelt NEN een reeks normen, waaronder NEN 7517, die richtlijnen biedt voor de toestemming … Lees meer

EGIZ is niet sexy, maar wel spannend - Een kijkje in de keuken
29 augustus 2024

‘Hoe werkt het nou bij NEN en hoe komt een norm tot stand?’ Dat zijn vragen die vaak gesteld worden. Zeker in het EGIZ-project, waar NEN een heel stelsel aan normen ontwikkelt in het kader van de Wegiz. Een complex werkveld waar het zorgveld als expert zelf aan zet is op inhoud en waar we … Lees meer