Digitale weerbaarheid van organisaties in de zorg
Digitale infrastructuur en dataverkeer zijn essentieel voor het functioneren van de samenleving en de economie. De Europese Unie heeft in 2022 de NIS2-richtlijn (Network and Information Security Directive) aangenomen met als doel de digitale weerbaarheid van lidstaten te versterken. De NIS2-richtlijn wordt nu omgezet in de Cyberbeveiligingswet. Deze Nederlandse wet treedt naar verwachting in het tweede kwartaal van 2026 in werking.
In de NIS2-richtlijn wordt de deadline van 17 oktober 2024 genoemd voor de implementatie in de lidstaten. Dit houdt in dat vanaf deze datum een aantal bepalingen uit de NIS2-richtlijn een directe werking hebben. Zorgorganisaties die onder de Cyberbeveiligingswet vallen, hebben vanaf 17 oktober 2024 wel rechten, maar nog geen wettelijke verplichtingen uit de NIS2-richtlijn. Lees hier meer over de rechten en verplichtingen vanaf 17 oktober 2024 tot en met de inwerkingtreding van de Cyberbeveiligingswet.
De Cyberbeveiligingswet is van toepassing op onmisbare processen in ons land zoals de drinkwatervoorziening, energievoorziening en gezondheidszorg. De wet moet bijdragen aan een hoger niveau van informatiebeveiliging bij bedrijven en organisaties binnen de zorgsector. De NIS2-richtlijn, die wordt omgezet in de Cyberbeveiligingswet, is de opvolger van de eerste NIS-richtlijn die is omgezet in de Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze nieuwe wet richt zich op sectoren die al onder de eerste NIS-richtlijn en Wbni vallen en op een aantal nieuwe sectoren, waaronder de sector gezondheidszorg. Dit betekent dat onder meer zorgorganisaties in Nederland de komende tijd hun digitale weerbaarheid moeten verhogen.
Wacht niet af, kom in actie!
De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden.
Bekijk hieronder de animatie om te zien wat de Cyberbeveilingswet voor jouw organisatie betekent.
Wat betekent de Cyberbeveiligingswet
voor jouw organisatie in de zorgsector?
De digitale weerbaarheid en cyberveiligheid van belangrijke
en onmisbare sectoren in Nederland moet versterkt worden.
Bijvoorbeeld de zorg.
Daarom zetten we de Europese richtlijn
Network and Information Security Directive, de NIS2,
om in de nationale Cyberbeveiligingswet.
Deze wet gaat in vanaf 2026.
Veel organisaties in de zorgsector
moeten dan direct aan de wet voldoen.
Daarom is het belangrijk om nú al te checken of
de Cyberbeveiligingswet voor jouw organisatie geldt.
Zo kun je de juiste vervolgstappen nemen.
Valt jouw organisatie in de zorg
onder de Cyberbeveiligingswet?
Er zijn twee voorwaarden:
1. Je organisatie behoort tot één van deze deelsectoren:
zorgaanbieders, organisaties die onderzoek doen naar geneesmiddelen,
farmaceuten, fabrikanten van medische hulpmiddelen.
2. Je organisatie heeft minimaal 50 FTE in dienst.
Is dat niet het geval?
Dan moet je een omzet én een balanstotaal
van meer dan 10 miljoen hebben.
Voldoet je organisatie aan deze voorwaarden,
dan val je onder de Cyberbeveiligingswet.
Bij gróte organisaties heeft uitval van diensten
waarschijnlijk grotere impact op de economie en samenleving.
Daarom maakt de wet onderscheid tussen
belangrijke en essentiële entiteiten.
De Inspectie Gezondheidszorg en Jeugd houdt toezicht op organisaties.
Bij een belangrijke entiteit is dat ná een incident.
Of bij een vermoeden dat niet aan de wet wordt voldaan.
Bij een essentiële entiteit is er juist proactief toezicht.
Je organisatie is essentieel wanneer deze minimaal 250 FTE in dienst heeft.
Is dat niet het geval?
Dan moet je organisatie een omzet van meer dan 50 miljoen
én een balanstotaal van meer dan 43 miljoen hebben.
Let op: voor fabrikanten van medische
hulpmiddelen geldt een uitzondering.
Wat zijn je rechten en plichten?
Met de nieuwe wet komt er een registratieplicht
voor organisaties en een meldplicht voor incidenten.
Valt je organisatie onder de wet en
is er sprake van een cyberincident?
Dan heb je recht op ondersteuning door Z-CERT,
het expertisecentrum voor cybersecurity in de zorg.
Er komt ook een zorgplicht die organisaties
verplicht een risicoanalyse uit te voeren.
Op basis van de analyse moeten
dan maatregelen genomen worden.
Zoals een toegangsbeleid, incidentenbehandeling
of trainingen op het gebied van cyberbeveiliging.
Voor veel organisaties zijn de bekende normenkaders
NEN 7510 en ISO 27001 een goed startpunt.
Het nemen van maatregelen kost tijd.
Kom daarom nu in actie.
Bekijk of jouw organisatie onder de Cyberbeveiligingswet
valt en welke stappen je moet nemen.
Don't speak Dutch?
There's also an English version of the animation.