Cyberbeveiligingswet

Digitale weerbaarheid van organisaties in de zorg

Digitale infrastructuur en dataverkeer zijn essentieel voor het functioneren van de samenleving en de economie. De Europese Unie heeft in 2022 de NIS2-richtlijn (Network and Information Security) aangenomen met als doel de digitale weerbaarheid van lidstaten te versterken. Momenteel wordt de NIS2-richtlijn omgezet in de Cyberbeveiligingswet. De Nederlandse wet zal naar verwachting in 2025 in werking treden.

De Cyberbeveiligingswet is van toepassing op onmisbare processen in ons land zoals de drinkwatervoorziening, energievoorziening en gezondheidszorg. De wet moet bijdragen aan een hoger niveau van informatiebeveiliging bij bedrijven en organisaties binnen de zorgsector. De NIS2-richtlijn, die wordt omgezet in de Cyberbeveiligingswet, is de opvolger van de eerste NIS-richtlijn die is omgezet in de Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze nieuwe wet richt zich op sectoren die al onder de eerste NIS-richtlijn en Wbni vallen en op een aantal nieuwe sectoren, waaronder de sector gezondheidszorg. Dit betekent dat onder meer zorgorganisaties in Nederland de komende tijd hun digitale weerbaarheid moeten verhogen.

De zorgsector onder de Cyberbeveiligingswet

De Cyberbeveiligingswet is van toepassing op verschillende soorten zorgorganisaties, waaronder:

  • Zorgaanbieders
  • EU-referentielaboratoria
  • Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
  • Vervaardigers van farmaceutische basisproducten en farmaceutische bereidingen
  • Vervaardigers van medische hulpmiddelen

Organisaties uit deze subsectoren, zoals zorgaanbieders en farmaceutische vervaardigers, moeten aan de Cyberbeveiligingswet voldoen als zij minimaal 50 fte in dienst hebben. Als dit niet het geval is, moet de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro hebben om onder de wet te vallen. Deze ondergrens wordt ook wel de ‘size cap’ genoemd.
Als een organisatie voldoet aan de 'size cap', wordt ze geclassificeerd als een belangrijke of essentiële entiteit, afhankelijk van de grootte. Dit gebeurt op basis van de volgende criteria:

Belangrijke entiteiten Essentiële entiteiten
  • Organisaties met minimaal 50 fte, of
  • Organisaties met zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro.
  • Organisaties met meer dan 250 fte, of;
  • Organisaties met zowel een jaaromzet van meer dan 50 miljoen euro als een balanstotaal van meer dan 43 miljoen euro.

Uitzondering voor vervaardigers van medische hulpmiddelen:

Vervaardigers van medische hulpmiddelen worden altijd als belangrijke entiteiten beschouwd, ongeacht hun grootte. Alleen als zij medische hulpmiddelen produceren die in het kader van een noodsituatie op het gebied van volksgezondheid als kritiek worden aangemerkt, kan hun grootte bepalen of zij als essentiële entiteit worden beschouwd. Dit geldt dan voor organisaties met meer dan 250 fte of een jaaromzet van meer dan 50 miljoen euro én een balanstotaal van meer dan 43 miljoen euro.

Overige uitzonderingen

Als het ministerie van VWS gebruikmaakt van de mogelijkheid om organisaties uit de subsectoren aan te wijzen onder de Cyberbeveiligingswet, worden deze organisaties automatisch als essentiële entiteiten beschouwd, zelfs als zij niet aan de size cap voldoen.
Organisaties die door de Minister van VWS worden aangewezen als kritieke entiteit onder de Wet weerbaarheid kritieke entiteiten, worden ook als essentiële entiteiten beschouwd onder de Cyberbeveiligingswet.

Verantwoordelijkheden van essentiële en belangrijke entiteiten

Zorgplicht
Entiteiten zijn verplicht hun informatiebeveiliging op orde te hebben en zelf een risicobeoordeling uit te voeren. Op basis hiervan dienen zij passende maatregelen te nemen om digitale risico’s te beperken en incidenten te voorkomen.

Registratieplicht
Entiteiten die onder de Cyberbeveiligingswet vallen dienen zich te registreren. Hiervoor komt een registratieportaal waar alle entiteiten die onder deze wet vallen zich dienen te registeren en de gegevens in het register actueel te houden.

Meldplicht
Entiteiten dienen significante incidenten binnen 24 uur te melden. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

Informatieplicht
Entiteiten dienen betrokkenen (patiënten, cliënten etc.) te informeren over de nadelige gevolgen van de significante incidenten. Daarnaast dienen de entiteiten de betrokkenen te informeren over welke maatregelen zij kunnen nemen in reactie op de significante cyberdreiging.

Bijstand en ondersteuning
De Cyberbeveiligingswet stelt dat een Cyber Security Incident Response Team (CSIRT) ondersteuning verleent voorafgaand en tijdens een incident aan de organisaties waarop de wet van toepassing is. Z-CERT is het CSIRT voor de entiteiten in de zorg en werkt samen met het nationale CISRT, het NCSC.

Toezicht en handhaving
De Inspectie Gezondheidszorg en Jeugd (IGJ) zal toezicht houden op naleving van de Cyberbeveiligingswet in de genoemde sectoren in de zorg.
Alle bepalingen uit de Cyberbeveiligingswet zijn zowel op essentiële als belangrijke entiteiten van toepassing. Het verschil is de manier waarop toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ) zal worden georganiseerd. Op essentiële entiteiten wordt zowel voor- als achteraf toezicht gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten wordt achteraf toezicht gehouden mocht er een incident hebben plaatsgevonden.

Wacht niet af, kom in actie!

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden.

Bekijk hieronder de animatie om te zien wat de Cyberbeveilingswet voor jouw organisatie betekent.

Wat betekent de Cyberbeveiligingswet voor jouw organisatie in de zorgsector?

De digitale weerbaarheid en cyberveiligheid van belangrijke
en onmisbare sectoren in Nederland moet versterkt worden.
Bijvoorbeeld de zorg.
Daarom zetten we de Europese richtlijn Network and Information Security Directive,
de NIS2, om in de nationale Cyberbeveiligingswet. Deze wet gaat in vanaf 2025.

Veel organisaties in de zorgsector moeten dan direct aan de wet voldoen.
Daarom is het belangrijk om nú al te checken of
de Cyberbeveiligingswet voor jouw organisatie geldt.
Zo kun je de juiste vervolgstappen nemen.

Valt jouw organisatie in de zorg onder de Cyberbeveiligingswet?

Er zijn twee voorwaarden.

1) Je organisatie behoort tot één van deze deelsectoren:

-zorgaanbieders
-organisaties die onderzoek doen naar geneesmiddelen
-farmaceuten
-fabrikanten van medische hulpmiddelen

2) Je organisatie heeft minimaal 50 FTE in dienst.
Is dat niet het geval?
Dan moet je een omzet én een balanstotaal van meer dan 10 miljoen hebben.

Voldoet je organisatie aan deze voorwaarden,
dan val je onder de Cyberbeveiligingswet.

Bij gróte organisaties heeft uitval van diensten
waarschijnlijk grotere impact op de economie en samenleving.
Daarom maakt de wet onderscheid tussen belangrijke en essentiële entiteiten.
De Inspectie Gezondheidszorg en Jeugd houdt toezicht op organisaties.
Bij een belangrijke entiteit is dat ná een incident.
Of bij een vermoeden dat niet aan de wet wordt voldaan.

Bij een essentiële entiteit is er juist proactief toezicht.

Je organisatie is essentieel wanneer deze minimaal 250 FTE in dienst heeft.
Is dat niet het geval?
Dan moet je organisatie een omzet van meer dan 50 miljoen
én een balanstotaal van meer dan 43 miljoen hebben.

Let op: voor fabrikanten van medische hulpmiddelen geldt een uitzondering.

Wat zijn je rechten en plichten?

Met de nieuwe wet komt er een registratieplicht
voor organisaties en een meldplicht voor incidenten.
Valt je organisatie onder de wet en is er sprake van een cyberincident?
Dan heb je recht op ondersteuning door Z-CERT,
het expertisecentrum voor cybersecurity in de zorg.

Er komt ook een zorgplicht die organisaties
verplicht een risicoanalyse uit te voeren.
Op basis van de analyse moeten dan maatregelen genomen worden.
Zoals een toegangsbeleid, incidentenbehandeling
of trainingen op het gebied van cyberbeveiliging.

Voor veel organisaties is het bekende normenkader NEN 7510 een goed startpunt.

Het nemen van maatregelen kost tijd.
Kom daarom nu in actie.
Bekijk of jouw organisatie onder de Cyberbeveiligingswet
valt en welke stappen je moet nemen.