NIS2 in de zorgsector
De NIS2-richtlijn is een Europese richtlijn die als doel heeft om de digitale weerbaarheid (de cyberbeveiliging) van essentiële en belangrijke entiteiten binnen de EU te verhogen, en geldt onder andere voor organisaties in de zorgsector. De NIS2-richtlijn wordt in Nederland uitgewerkt in de Cyberbeveiligingswet (Cbw). De NIS2-richtlijn richt zich op een bredere reeks entiteiten en sectoren dan de vorige NIS-richtlijn. De Cyberbeveiligingswet vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Onder zorgsector vallen bijvoorbeeld ziekenhuizen, Universitair Medische Centra (UMC's), ggz-instellingen, zorginstellingen voor langdurige zorg, laboratoria of zorgaanbieders die informatie- en communicatietechnologie (ICT) inzetten als kernonderdeel van hun dienstverlening.
In alle sectoren worden entiteiten ingedeeld in essentiële entiteiten (grotere instellingen) en belangrijke entiteiten (kleinere instellingen of minder kritische functies). De indeling hangt onder andere af van omvang, impact en maatschappelijke relevantie. Je bent als organisatie zelf verantwoordelijk voor het vaststellen of je onder de NIS2 valt en als dat zo is, voor de bijbehorende registratie. Hiervoor is bijvoorbeeld een NIS2-zelfevaluatie beschikbaar die wordt aangeboden door de Rijksinspectie Digitale Infrastructuur (RDI).
Verantwoordelijkheden van zorgorganisaties
De NIS2-richtlijn verplicht zorgorganisaties tot het nemen van passende technische, operationele en organisatorische maatregelen. Deze moeten het risico op cyberincidenten verkleinen en continuïteit waarborgen.
Op hoofdlijnen bestaan de verantwoordelijkheden uit:
- Risicobeheer en beveiligingsmaatregelen
- Meldplicht voor cyberincidenten
- Meer nadruk op governance op directieniveau
Net als bij de AVG kan ook hier de toezichthouder handhavend optreden bij non-compliance, inclusief boetes of tijdelijke sluiting.
Ketenverantwoordelijkheid
Een belangrijk nieuw aspect van NIS2 is de uitgebreide ketenverantwoordelijkheid. Zorgorganisaties zijn verantwoordelijk voor hun gehele toeleveringsketen, inclusief externe dienstverleners en leveranciers.
In het kader van deze ketenverantwoordelijkheid komt Nedap in veel gevallen als leverancier naar voren. Wij bieden als leverancier de volgende documenten aan om zorgaanbieders te ondersteunen invulling te geven aan deze ketenverantwoordelijkheid:
- De ISO 27001-certificering van Nedap Healthcare
- De NEN-7510-certificering van Nedap Healthcare
Daarnaast ondersteunt Z-CERT (het Computer Security Incident Response Team (CSIRT) voor de Zorg) zorgorganisaties met informatie en templates om invulling te geven aan leveranciersmanagement. De ingevulde excel-template (Z-CERT Leveranciersbeoordeling) van Nedap is hier te downloaden. Let wel op: Deze informatie moet nog wel aangevuld worden door de zorgorganisatie.
Stappenplan voor zorgorganisaties
De nieuwe richtlijn vraagt om realistische en proportionele stappen. Denk aan goede beveiliging van systemen, heldere incidentmeldingen en verantwoordelijkheid op directieniveau. NIS2 schrijft niet voor hoe je dit exact moet doen, maar dat je de passende maatregelen treft, afgestemd op je risico's.
Voor veel zorgorganisaties is dit grotendeels een versterking van bestaande normen (zoals NEN 7510), geen compleet nieuw kader. Met een gestructureerde aanpak en aandacht voor samenwerking in de keten, is NIS2 prima werkbaar en vooral een kans om de digitale weerbaarheid te verbeteren. Er bestaat niet zoiets als NIS2-certificering.
Een voorbeeld stappenplan voor een zorgorganisatie zou kunnen zijn:
- Bepaal of je onder NIS2/Cbw valt (essentieel of belangrijk)
- Hiervoor is een NIS2-zelfevaluatie beschikbaar die wordt aangeboden door de Rijksinspectie Digitale Infrastructuur (RDI).
- Voer een risicoanalyse uit van je IT-infrastructuur en keten.
- Stel een cybersecuritybeleid op.
- Implementeer technische en organisatorische maatregelen.
- Richt monitoring, logging en meldprocedures in.
- Train personeel op bewustwording en incidentafhandeling.
- Beoordeel en borg beveiliging in je leverancierscontracten.
- Kijk voor Nedap bij Ketenverantwoordelijkheid hierboven.
- Bereid je voor op toezicht en audits.
Externe informatie
Onderstaande externe bronnen kunnen geraadpleegd worden door zorgaanbieders om meer informatie over NIS2/Cbw te krijgen:
- NIS2-zelfevaluatie van de Rijksinspectie Digitale Infrastructuur (RDI)
- Ministerie van Volksgezondheid, Welzijn en Sport over fysieke en digitale weerbaarheid in het kader van de NIS2-richtlijn (Cyberbeveiligingswet) en de CER-richtlijn (Wet weerbaarheid kritieke entiteiten)
- De Cyberbeveiligingswet (consultatieversie) en het Cyberbeveiligingsbesluit (consultatieversie) waarin regels uit de Cyberbeveiligingswet worden uitgewerkt.
- NIS2 Registratieportaal NCSC met een aantal veelgestelde vragen over de registratie.
- Computer Security Incident Response Team (CSIRT) voor de Zorg: Z-CERT.
- Z-CERT whitepaper en template voor leveranciersmanagement.
