De zorgsector onder de Cyberbeveiligingswet

De Cyberbeveiligingswet is van toepassing op verschillende soorten zorgorganisaties, waaronder:

  • Zorgaanbieders
  • EU-referentielaboratoria
  • Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
  • Vervaardigers van farmaceutische basisproducten en farmaceutische bereidingen
  • Vervaardigers van medische hulpmiddelen

Organisaties uit deze subsectoren, zoals zorgaanbieders en farmaceutische vervaardigers, moeten aan de Cyberbeveiligingswet voldoen als zij minimaal 50 fte in dienst hebben. Als dit niet het geval is, moet de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro hebben om onder de wet te vallen. Deze ondergrens wordt ook wel de size cap genoemd.

Als een organisatie voldoet aan de size cap, wordt ze geclassificeerd als een belangrijke of essentiële entiteit, afhankelijk van de grootte. Dit gebeurt op basis van de volgende criteria:

Belangrijke entiteitenEssentiële entiteiten
  • Organisaties met minimaal 50 fte, of
  • Organisaties met zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro.
  • Organisaties met meer dan 250 fte, of;
  • Organisaties met zowel een jaaromzet van meer dan 50 miljoen euro als een balanstotaal van meer dan 43 miljoen euro.

Download hier de beslisboom Cyberbeveilingswet. Deze tool helpt bij het vaststellen of een organisatie qua grootte en omvang onder de wet valt.

Uitzondering voor vervaardigers van medische hulpmiddelen:

Vervaardigers van medische hulpmiddelen worden altijd als belangrijke entiteiten beschouwd, ongeacht hun grootte. Alleen als zij medische hulpmiddelen produceren die in het kader van een noodsituatie op het gebied van volksgezondheid als kritiek worden aangemerkt, kan hun grootte bepalen of zij als essentiële entiteit worden beschouwd. Dit geldt dan voor organisaties met meer dan 250 fte of een jaaromzet van meer dan 50 miljoen euro én een balanstotaal van meer dan 43 miljoen euro.

Overige uitzonderingen

Als het ministerie van VWS gebruikmaakt van de mogelijkheid om organisaties uit de subsectoren aan te wijzen onder de Cyberbeveiligingswet, worden deze organisaties automatisch als essentiële entiteiten beschouwd, zelfs als zij niet aan de size cap voldoen.

Daarnaast geldt dat als organisaties uit de zorgsector door de minister van VWS worden aangewezen als kritieke entiteit op grond van de Wet weerbaarheid kritieke entiteiten, zij automatisch ook als essentiële entiteit worden aangemerkt onder de Cyberbeveiligingswet.

Verantwoordelijkheden van essentiële en belangrijke entiteiten

Zorgplicht
Entiteiten zijn verplicht hun informatiebeveiliging op orde te hebben en zelf een risicobeoordeling uit te voeren. Op basis hiervan dienen zij passende maatregelen te nemen om digitale risico’s te beperken en incidenten te voorkomen.

Registratieplicht
Entiteiten die onder de Cyberbeveiligingswet vallen dienen zich te registreren. Hiervoor komt een registratieportaal waar alle entiteiten die onder deze wet vallen zich dienen te registeren en de gegevens in het register actueel te houden.

Meldplicht
Entiteiten dienen significante incidenten binnen 24 uur te melden. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

Informatieplicht
Entiteiten dienen betrokkenen (patiënten, cliënten etc.) te informeren over de nadelige gevolgen van de significante incidenten. Daarnaast dienen de entiteiten de betrokkenen te informeren over welke maatregelen zij kunnen nemen in reactie op de significante cyberdreiging.

Bijstand en ondersteuning
De Cyberbeveiligingswet stelt dat een Cyber Security Incident Response Team (CSIRT) ondersteuning verleent voorafgaand en tijdens een incident aan de organisaties waarop de wet van toepassing is. Z-CERT is het CSIRT voor de entiteiten in de zorg en werkt samen met het nationale CISRT, het NCSC. De wettelijke taken van Z-CERT worden vastgelegd in de ministeriële regeling van de Cyberbeveiligingswet. Deze ministeriele regeling wordt nu door het ministerie van VWS opgesteld.

Toezicht en handhaving
De Inspectie Gezondheidszorg en Jeugd (IGJ) zal toezicht houden op naleving van de Cyberbeveiligingswet in de genoemde sectoren in de zorg.

Alle bepalingen uit de Cyberbeveiligingswet zijn zowel op essentiële als belangrijke entiteiten van toepassing. Het verschil is de manier waarop toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ) zal worden georganiseerd. Op essentiële entiteiten wordt zowel voor- als achteraf toezicht gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten wordt achteraf toezicht gehouden mocht er een incident hebben plaatsgevonden.