Veelgestelde vragen Cbw

De omzetting van de NIS2-richtlijn naar de Cyberbeveiligingswet en van de CER-richtlijn naar de Wet weerbaarheid kritieke entiteiten is momenteel volop in ontwikkeling. Europese lidstaten hadden tot 17 oktober 2024 de tijd om de richtlijnen om te zetten naar nationale wetgeving. De minister van Justitie en Veiligheid heeft de Tweede Kamer en de Europese Commissie geïnformeerd dat Nederland, net als een groot aantal andere lidstaten, deze implementatiedeadline niet heeft gehaald. De gevolgen van het niet-tijdig implementeren van deze twee richtlijnen naar nationale wetgeving leest u hier.

Op de pagina's van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten worden de verplichtingen van deze wetten samengevat, inclusief de sectoren waarop ze van toepassing zijn. Dit biedt organisaties inzicht in de verplichtingen waar zij aan moeten voldoen.

Nadere invulling van deze wetgeving vindt plaats via een algemene maatregel van bestuur (AMvB) en een sectorspecifieke ministeriële regeling voor de zorg.

De richtlijnen verplichten lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen bij het versterken van hun weerbaarheid tegen zowel fysieke als digitale risico's. Zo schrijft de CER-richtlijn voor dat de overheid elke vier jaar per sector een sectorale risicobeoordeling uitvoert en deze deelt met kritieke entiteiten binnen die sector.

De NIS2-richtlijn schrijft voor dat essentiële en belangrijke entiteiten ondersteund worden met advies en bijstand in geval van een digitale hack of cyberincident door een CSIRT (Computer Security Incident Response Team), voor de zorg is dit Z-CERT.

De overheid kan verdere ondersteuning bieden in de vorm van informatie-uitwisseling, handreikingen, en instrumenten ter verhoging van de weerbaarheid, zoals bijvoorbeeld voor het uitvoeren van een risicobeoordeling.

Nee, er wordt geen geld beschikbaar gesteld voor individuele organisaties. Het ministerie van VWS kijkt wel hoe de zorgsector als geheel kan worden ondersteund, bijvoorbeeld door het ter beschikking stellen van kennisproducten en hulpmiddelen om te ondersteunen met de implementatie.

Weerbaarheid verwijst naar het vermogen om een incident te voorkomen, te beperken, of effectief te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op, of zich aan te passen aan en te herstellen van een incident. In het geval van de Wet weerbaarheid kritieke entiteiten kunnen hier zowel natuurrampen als door de mens veroorzaakte rampen onder vallen, zowel onbedoeld als opzettelijk. Denk hierbij aan ongevallen, overstromingen, terroristische misdrijven, criminele infiltratie, of sabotage. Wat betreft de Cyberbeveiligingswet omvat weerbaarheid bijvoorbeeld bescherming tegen gijzelsoftware, malware, of cyberaanvallen op de toeleveringsketen.

De Cyberbeveiligingswet verplicht organisaties die onder de wet vallen om zich te registreren. Dit wordt de registratieplicht genoemd. Elke organisatie moet zelf nagaan of zij onder deze wet valt. Dit houdt in dat een organisatie beoordeelt in welke sector zij valt en/of zij voldoet aan de ‘size cap’.

De registratie verloopt via het NCSC-portaal, beheerd door het Nationaal Cyber Security Centrum (NCSC). Door zich te registreren, geeft een organisatie aan dat zij onder de Cyberbeveiligingswet valt. De registratieplicht gaat pas in zodra de Cyberbeveiligingswet van kracht wordt, wat naar verwachting in het derde of vierde kwartaal van 2025 zal zijn. Organisaties die geregistreerd zijn, ontvangen informatie over cyberdreigingen.

Om te kunnen registreren moet je inloggen bij het portaal met behulp van e-Herkenning. Via eHerkenning kan de authenticatie voor organisaties worden vastgesteld. eHerkenning is persoonsgebonden en niet overdraagbaar aan anderen. Dit maakt het een zeer veilige toepassing voor inloggen. Wil je inloggen op MijnNCSC met eHerkenning? Vraag dan een machtiging bij de eHerkenning beheerder in jouw organisatie. Alleen deze persoon kan zorgen voor eHerkenning voor MijnNCSC op jouw naam.

Nee, registratie in het NCSC-portaal is op dit moment niet verplicht. Door de vertraagde invoering van de Cyberbeveiligingswet geldt een overgangsperiode van 17 oktober 2024 tot de inwerkingtreding van de wet. Tijdens deze periode hebben organisaties wel rechten, maar nog geen plichten. Meer informatie over deze overgangsperiode lees je hier.

Zodra de Cyberbeveiligingswet van kracht is, zijn organisaties die onder deze wet vallen verplicht om significante cyberincidenten te melden via het NCSC-portaal. De melding wordt vervolgens doorgestuurd naar het sectorale Computer Security Incident Response Team (CSIRT) en de toezichthouder. Voor de zorgsector betreft dit respectievelijk Z-CERT en de Inspectie Gezondheidszorg en Jeugd (IGJ).

Daarnaast kunnen zowel organisaties die niet onder de Cyberbeveiligingswet vallen of waar het cyberincident niet plaatsvindt, ook vrijwillige meldingen doen via het NCSC-portaal. Dit betreft meldingen van niet-significante incidenten. Deze meldingen worden niet doorgestuurd naar de toezichthouder, maar enkel naar Z-CERT. Deze meldingen dragen bij aan het monitoren van de cyberweerbaarheid van de zorgsector en andere sectoren.

De meldplicht geldt alleen voor ‘significante cyberincidenten’. Dit zijn incidenten die:

• Een ernstige verstoring van de dienstverlening of financiële schade voor de organisatie (kunnen) veroorzaken.
• Aanzienlijke materiële of immateriële schade bij andere organisaties (kunnen) veroorzaken.

Dit kan bijvoorbeeld een cyberaanval of een langdurige systeemstoring zijn, die de werking van de organisatie ernstig beïnvloeden of de veiligheid van andere partijen in gevaar brengen.

In de zorgsector kunnen cyberincidenten ingrijpend zijn, omdat ze directe gevolgen kunnen hebben voor patiënten en de kwaliteit van zorg. Daarom worden er voor de zorgsector specifieke drempelwaarden vastgesteld om te bepalen wanneer een incident als significant wordt beschouwd. Deze drempelwaarden worden vastgelegd in een ministeriële regeling, lagere wetgeving van de Cyberbeveiligingswet en als een nadere invulling voor de sector zorg. De inwerkingtreding van de ministeriële regeling is voorzien in het tweede kwartaal van 2026, gelijktijdig met de wet en het Cyberbeveiligingsbesluit.

Wanneer je een significant cyberincident meldt via het NCSC-portaal, wordt deze melding doorgestuurd naar Z-CERT en de Inspectie Gezondheidszorg en Jeugd (IGJ).

• Ondersteuning door Z-CERT: Z-CERT helpt bij de afhandeling van het incident. De ondersteuning die zij bieden, hangt af van de ernst en impact van het incident.
• Toezicht door de IGJ: De IGJ beoordeelt de melding en bepaalt of er vervolgacties nodig zijn op het gebied van toezicht.

De IGJ onderzoekt of de organisatie voldoet aan haar wettelijke zorgplicht voor informatiebeveiliging. Dit betekent dat zij onder meer kijkt naar:

• Hoe de organisatie haar informatiebeveiliging heeft ingericht.
• Welke maatregelen zijn genomen om schade te beperken.
• Hoe de organisatie omgaat met het herstellen van incidenten.

Indien nodig kan de IGJ aanvullende informatie opvragen of een verder onderzoek starten. Zo wordt gewaarborgd dat organisaties niet alleen reageren op incidenten, maar ook structureel werken aan een veilige digitale zorg.

Het NCSC verzamelt via hun meldportaal zowel significante meldingen als vrijwillige meldingen van niet-significante incidenten of bijna-incidenten. Dit stelt hen in staat om de cyberweerbaarheid in Nederland te monitoren en tijdig waarschuwingen te geven tegen dreigingen.

Zodra de Cyberbeveiligingswet in werking treedt, worden organisaties die onder deze wet vallen verplicht om significante cyberincidenten te melden. Het meldproces bestaat uit wettelijk vastgelegde stappen voor het melden van een significant cyberincident.

• Vroegtijdige waarschuwing: De eerste stap is het doen van een vroegtijdige melding binnen 24 uur via het NCSC-portaal. Indien het een melding uit de sector zorg betreft wordt de melding doorgestuurd  naar Z-CERT en de Inspectie Gezondheidszorg en Jeugd.
• Vervolgmelding: De tweede stap is het doen van een vervolgmelding binnen 72 uur. Deze update bevat aanvullende informatie over het incident, gebaseerd op de eerste melding.
• Eindverslag: De laatste stap is het indienen van een eindverslag uiterlijk één maand na de eerste melding. Dit verslag wordt ingediend bij de Z-CERT en Inspectie Gezondheidszorg en Jeugd, en bevat een gedetailleerde omschrijving van het incident, de ernst en de gevolgen ervan.

Het is mogelijk dat een CSIRT of toezichthoudende instantie, zoals Z-CERT of de Inspectie Gezondheidszorg & Jeugd, het verzoek bij de organisatie indient voor een tussentijdsverslag. Dit is geen verplichte eis onder de meldplicht, maar het biedt de mogelijkheid voor de CSIRT of toezichthoudende instantie om meer informatie op te vragen in het afhandelen van een incident.

De specifieke vereisten voor het melden van incidenten worden verder uitgewerkt in de wet.

Vanaf 17 oktober 2024 hebben organisaties die onder de Cyberbeveiligingswet gaan vallen bepaalde rechten. Organisaties die onder de Cyberbeveiligingswet vallen kunnen bij Z-CERT terecht voor ondersteuning in het geval van cyberincidenten (incident response).

Incident response betekent dat Z-CERT snel reageert op beveiligingsincidenten, zoals een cyberaanval of datalek. Ze helpen bij het onderzoeken van het incident, het beperken van de schade en het herstellen van de systemen. Organisaties dienen datalekken ook te melden bij de Autoriteit Persoonsgegevens (AP).

Organisaties die onder de Cyberbeveiligingswet vallen hebben een zorgplicht. Dit houdt in dat zij maatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen tegen significante incidenten. Significante incidenten zijn gebeurtenissen die ernstige verstoringen in de dienstverlening veroorzaken of aanzienlijke schade, zowel materieel als immaterieel, tot gevolg hebben. Een voorbeeld hiervan is een cyberaanval.

De Cyberbeveiligingswet stelt diverse eisen aan de zorgplicht. Een organisatie moet onder andere een risicoanalyse uitvoeren, de beveiliging van informatiesystemen waarborgen, en beleid en procedures opstellen voor incidentenbehandeling en bedrijfscontinuïteit.
De specifieke vereisten voor de maatregelen onder de zorgplicht worden verder uitgewerkt in de concept Cyberbeveiligingswet en de lagere wetgeving; de algemene maatregel van bestuur (AMvB) en de Ministeriele regeling.

De Cyberbeveiligingswet heeft als doel om organisaties digitaal weerbaarder te maken en daarmee Nederland als geheel. Bestuurders, en met name de Raad van Bestuur, spelen hierin een sleutelrol. Zij zijn verantwoordelijk voor beslissingen over netwerk- en informatiebeveiliging en moeten voldoende kennis hebben om weloverwogen keuzes te maken.

Bestuurders zijn verplicht om actief betrokken te zijn bij de informatiebeveiliging binnen hun organisatie. Als zij hierin tekortschieten, kunnen zij aansprakelijk worden gesteld. Dit geldt met name wanneer ernstige nalatigheid leidt tot een groot cyberincident.

Nalatigheid betekent dat een organisatie niet voldoet aan haar wettelijke verplichtingen op het gebied van informatiebeveiliging. Dit kan bijvoorbeeld gebeuren als:

• Er geen passende beveiligingsmaatregelen zijn getroffen.
• Bestuurders onvoldoende kennis hebben en geen stappen ondernemen om dit te verbeteren.
• Wettelijke verplichtingen, zoals verplichte trainingen, niet worden nageleefd.

Wanneer een organisatie ernstig nalatig is, kan de Inspectie Gezondheidszorg & Jeugd (IGJ) ingrijpen. De IGJ beoordeelt onder andere het risico van de normafwijking en kan haar interventiebeleid inzetten. Daarbij kan de IGJ zo nodig ook handhavend optreden. Dit kan variëren van een waarschuwing tot strengere maatregelen. In uitzonderlijke gevallen kan de IGJ de burgerlijke rechter verzoeken om een bestuurder van een essentiële entiteit te schorsen.

De Cyberbeveiligingswet verplicht leden van de Raad van Bestuur (RvB) om een training te volgen. De specifieke eisen voor deze training worden vastgelegd in de wet en de bijbehorende algemene maatregel van bestuur (AMvB), die naar verwachting in het derde of vierde kwartaal van 2025 van kracht wordt. Vanaf dat moment hebben bestuurders maximaal twee jaar om aan deze verplichting te voldoen.

Deze training helpt bestuurders om beveiligingsrisico’s voor netwerk- en informatiesystemen beter te herkennen. Daarnaast leren zij welke rollen en verantwoordelijkheden binnen hun organisatie bestaan op het gebied van netwerk- en informatiebeveiliging en hoe zij hierin een actieve rol kunnen spelen. Ook krijgen zij inzicht in de juridische consequenties van onvoldoende naleving, waaronder mogelijke hoofdelijke aansprakelijkheid.

De Cyberbeveiligingswet verplicht organisaties om betrokkenen van het cyberincident te informeren over de gevolgen van een significant incident. Daarnaast moeten ze uitleggen welke maatregelen de betrokkenen kunnen nemen bij een cyberincident.

De Inspectie Gezondheidszorg en Jeugd (IGJ) is binnen de Cyberbeveiligingswet aangewezen als toezichthouder voor de zorgsector. De wet bevat verschillende verplichtingen voor organisaties. Dit zijn:

Registratieplicht: Organisaties die onder de wet vallen, moeten zich registreren.

• Meldplicht: Organisaties die onder de wet vallen moeten significante cyberincidenten melden.
• Zorgplicht: Organisaties moeten passende maatregelen nemen om hun informatiebeveiliging op orde te hebben.
• Informatieplicht: Afnemers van diensten van de organisatie moeten op de juiste manier worden geïnformeerd over het significante incident en de daarop te nemen mogelijke maatregelen.

De IGJ controleert of organisaties die onder de reikwijdte van de wet vallen zich aan de verplichtingen houden. Bij essentiële entiteiten kan de IGJ proactief toezicht houden. Dit gebeurt steekproefsgewijs en op basis van risico-inschattingen. Voor belangrijke entiteiten kan de IGJ toezicht houden als zij bewijs, de aanwijzing of informatie heeft van een mogelijke overtreding van de verplichtingen.

Voor toetsing van het voldoen aan de zorgplicht door zorgaanbieders vraagt IGJ deze organisaties tenminste aantoonbaar te werken in overeenstemming met de norm NEN7510. Werken in overeenstemming met deze norm is een bestaande wettelijke verplichting voor alle zorgaanbieders in Nederland. Deze verplichting komt voort uit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).

Voor andere organisaties dan zorgaanbieders in de zorgsector (zoals fabrikanten van farmaceutische producten en medische hulpmiddelen) kan voldoen aan de internationale norm voor informatiebeveiliging, ISO27001/2 een manier zijn om aantoonbaar aan de zorgplicht te voldoen.

Organisaties die onder de Cyberbeveiligingswet vallen, moeten vanaf de inwerkingtreding van de wet voldoen aan de wettelijke verplichtingen. De inwerkingtreding is voorzien voor het tweede kwartaal van 2026. Vanaf dat moment gelden onder andere de zorgplicht, meldplicht en registratieplicht.

Let op: Sommige bepalingen uit de Europese NIS2-richtlijn waarop de wet is gebaseerd, hebben al rechtstreekse werking vanaf 17 oktober 2024. Dit betekent dat organisaties vanaf die datum bepaalde rechten kunnen ontlenen aan de richtlijn, maar dat de verplichtingen pas gelden vanaf het moment dat de Nederlandse wet van kracht is. Meer informatie over de rechten en verplichtingen vanaf 17 oktober 2024 tot en met de inwerkingtreding van de Cyberbeveiligingswet vind je hier

Communicatie vanuit VWS verloopt via deze website. Daarnaast vindt er directe berichtgeving aan koepelverenigingen en andere samenwerkingsverbanden in de zorgsector plaats via het ministerie van VWS.

Ja, toezichthouders op de sectoren van de Cyberbeveiligingswet kunnen  een geldboete opleggen met een maximumbedrag van 10.000.000 euro of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming, afhankelijk van welk bedrag hoger is. Voor andere overtredingen uit de wet kan de IGJ een boetemaximum van 1 miljoen euro. De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de Cyberbeveiligingswet in de zorg.

Het verschil tussen belangrijke en essentiële entiteiten zit in de manier waarop toezicht wordt gehouden. Beide typen entiteiten moeten voldoen aan dezelfde verplichtingen, zoals de zorgplicht, registratieplicht en meldplicht. Het verschil zit echter in het toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ).

Voor belangrijke entiteiten vindt het toezicht plaats na een incident of bij een vermoeden van een overtreding, bijvoorbeeld dat de zorgplicht niet wordt nageleefd. Dit betekent dat IGJ pas in geval van een aanleiding controleert of de organisatie voldoet aan de vereisten van de Cyberbeveiligingswet.

Essentiële entiteiten worden daarentegen proactief gecontroleerd. IGJ houdt zowel vóór als na incidenten toezicht om te waarborgen dat deze organisaties hun cyberbeveiliging op orde hebben en tijdig maatregelen nemen om incidenten te voorkomen.

Let wel: voor zorgaanbieders geldt dat de IGJ ook nu al op basis van de Wet aanvullende bepalingen gegevensverwerking in de zorg proactief kan controleren of de NEN 7510 wordt nageleefd, ook bij zorgaanbieders die op basis van de Cyberbeveilingswet onder de ‘belangrijke’ entiteiten vallen.

De eerdere richtlijn NIS1 is in Nederland omgezet in de huidige Wbni en de uitwerking van de regels in het Besluit beveiliging netwerk- en informatiesystemen (Bbni). De Wbni en Bbni zijn op dit moment van kracht en vervallen zodra de Cyberbeveiligingswet van kracht is.

De Algemene verordening gegevensbescherming (AVG) en de Cyberbeveiligingswet staan los van elkaar. Hoewel zowel de AVG als de Cyberbeveiligingswet voortkomen uit Europese wetgeving, behandelen ze verschillende aspecten. De AVG richt zich op privacy en biedt richtlijnen aan bedrijven en organisaties over het verzamelen, opslaan en beheren van persoonsgegevens. Daarnaast stelt de AVG voorwaarden vast waaronder er met (bijzondere) persoonsgegevens mag worden gewerkt.

Aan de andere kant richt de Cyberbeveiligingswet zich op de informatiebeveiliging van bedrijven en organisaties, zonder specifiek in te gaan op persoonsgegevens van individuen. De wettelijke kaders van de Cyberbeveiligingswet zijn ontworpen om te voorkomen dat (persoons)gegevens in verkeerde handen vallen.

Entiteiten die significante incidenten moeten melden volgens de Cyberbeveiligingswet dienen zich te registreren in het NCSC portaal. Registreren en melden kan straks in hetzelfde portaal.

Het melden van significante incidenten onder de Cyberbeveiligingswet staat los van andere meldplichten, zoals die van de AVG. Het is daarom mogelijk dat entiteiten incidenten op meerdere plekken moeten melden, aangezien een incident verschillende aspecten kan hebben (zie de tabel hieronder).

De gezondheidszorg heeft te maken met veel persoonlijke patiëntgegevens die vertrouwelijk van aard zijn. Daarom is informatiebeveiliging heel belangrijk en is de NEN 7510 verplicht. NEN 7510 en NIS2 hebben beide als doel de informatiebeveiliging binnen organisaties te verbeteren, maar richten zich op verschillende aspecten.

• NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm, gebaseerd op internationale standaarden zoals ISO 27001 en ISO 27002, stelt eisen aan het beveiligen van persoonlijke gezondheidsinformatie en helpt zorginstellingen om vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te waarborgen.
• NIS2 is een Europese richtlijn die bredere eisen stelt aan netwerk- en informatiebeveiliging voor essentiële en belangrijke sectoren, waaronder de zorg.
• Voor overheidsorganisaties geldt in plaats van NEN 7510 de Baseline Informatiebeveiliging Overheid (BIO). Deze norm stelt specifieke eisen aan informatiebeveiliging binnen de publieke sector en is gebaseerd op dezelfde internationale standaarden als NEN 7510.
• De recent herziene versie van NEN 7510 bevat elementen uit NIS2, zoals risicobeheer en incidentrapportage. Hierdoor sluit de norm beter aan op de Europese wetgeving en helpt het zorginstellingen om te voldoen aan zowel nationale als internationale eisen op het gebied van cybersecurity.

Voldoen aan de NEN7510 is nu al verplicht voor zorgaanbieders en dekt een aantal verplichtingen van de NIS2-richtlijn en de Cyberbeveiligingswet af. Naast het implementeren van maatregelen op het gebied van digitale veiligheid (de zorgplicht waarvoor de NEN7510 het kader biedt), dienen belangrijke en essentiële entiteiten volgens de Cyberbeveiligingswet grootschalige incidenten te melden (meldplicht) en bij ernstige bedreigingen van hun netwerk de ontvangers van hun diensten te informeren over mogelijke gevolgen (informatieplicht).

Aanvullend schrijft de Cyberbeveiligingswet voor dat organisaties (in alle sectoren onder de Cyberbeveiligingswet, inclusief de gezondheidszorg) zich registreren in een nog te ontwikkelen register en de gegevens actueel houden(registratieplicht). Bovendien benadrukt de Cyberbeveiligingswet dat bestuurders van belangrijke en essentiële entiteiten verantwoordelijkheid dragen voor informatiebeveiliging. Het is dus raadzaam om aanvullende acties te ondernemen om te voldoen aan specifieke vereisten van de Cyberbeveiligingswet die niet volledig door de NEN7510 worden afgedekt.

Voor een overzicht van de vereisten uit de Europese NIS2-richtlijn ten opzichte van de NEN 7510 zie onderstaande tabel.

Nee, de Cyberbeveiligingswet verplicht niet tot het aanstellen van een security functionaris in loondienst. Een functionaris die zich richt op informatiebeveiliging binnen het bedrijf kan wel helpen om de vereisten uit de regelgeving vorm te geven en na te leven.

Nee, dit is geen verplichting in de Cyberbeveiligingswet. Het hebben van goede mogelijkheden om incidenten te detecteren kan de impact ervan wel beperken. Organisaties zijn vrij om te bepalen hoe zij dit inrichten.

Vanaf 17 oktober 2024 is de NIS2-richtlijn in werking getreden. Dit betekent dat zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen vanaf deze datum wél bepaalde rechten hebben, maar nog geen wettelijke verplichtingen op basis van de NIS2-richtlijn. Deze verplichtingen gelden pas zodra de Cyberbeveiligingswet in Nederland officieel van kracht is. De rechten houden in dat zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen nu al bij Z-CERT terecht  kunnen voor ondersteuning in het geval van cyberincidenten.

Wil je meer weten over jouw rechten en plichten? Bekijk dan de pagina Rechten en plichten Cyberbeveiligingswet.

Twijfel je of jouw organisatie in één van de subsectoren van de zorg valt? Bekijk de vragen en antwoorden per subsector.

De Cyber Resilience Act (CRA) en de NIS2-richtlijn hebben beide als doel de cyberweerbaarheid binnen de EU te versterken, maar richten zich op verschillende aspecten van digitale beveiliging.

De Cyber Resilience Act is een verordening die zich richt op de beveiliging van digitale producten en diensten, zoals software en hardware. Fabrikanten en leveranciers worden verplicht om veilige producten te leveren en moeten voldoen aan eisen zoals security-by-design. Dit betekent dat alle producten met digitale elementen vanaf eind 2027 inherent veilig moeten zijn ontworpen en geproduceerd. Daarnaast geldt een zorgplicht voor fabrikanten en andere partijen in de toeleveringsketen, waaronder het aanbieden van ondersteuning en beveiligingsupdates en het melden van kwetsbaarheden en incidenten. De CRA is eind 2024 in werking getreden en geldt direct in alle EU-lidstaten.

De NIS2-richtlijn richt zich op de beveiliging van netwerken en informatiesystemen binnen essentiële en belangrijke sectoren, zoals de zorg. In tegenstelling tot de CRA is NIS2 een richtlijn en moet deze eerst worden omgezet in nationale wetgeving. Organisaties die onder NIS2 vallen, moeten voldoen aan specifieke eisen om hun cyberweerbaarheid te verhogen.

Kort samengevat: de CRA richt zich op digitale producten en diensten die veilig moeten zijn, terwijl NIS2 zich richt op organisaties die cyberweerbaar moeten zijn door aan bepaalde beveiligingsvereisten te voldoen.

Het EU Actieplan voor ziekenhuizen en zorgaanbieders is ontwikkeld om de kwaliteit, toegankelijkheid en veerkracht van de gezondheidszorg binnen de Europese Unie te verbeteren. Een belangrijk speerpunt is het versterken van de samenwerking tussen ziekenhuizen en zorgaanbieders in verschillende lidstaten, zodat kennis, best practices en innovatieve benaderingen beter kunnen worden gedeeld. Dit draagt bij aan een hogere kwaliteit van zorg, met extra aandacht voor patiëntveiligheid, effectiviteit en tevredenheid.

Daarnaast ondersteunt het actieplan de digitale transformatie van de zorg. Denk hierbij aan het bredere gebruik van elektronische gezondheidsdossiers en telemedicine, die de efficiëntie en toegankelijkheid van zorg vergroten. Ook richt het plan zich op het versterken van de veerkracht van gezondheidszorgsystemen, zodat ze beter voorbereid zijn op toekomstige uitdagingen zoals pandemieën en de vergrijzing van de bevolking.

Een ander belangrijk aspect is duurzame zorg, waarbij gekeken wordt naar de milieueffecten en de lange termijn levensvatbaarheid van zorgsystemen. Het uiteindelijke doel is een gezamenlijke aanpak te creëren die leidt tot betere gezondheidsresultaten voor alle Europeanen.

Het actieplan is nauw verbonden met de NIS2-richtlijn, die zich richt op de cyberbeveiliging van essentiële zorgentiteiten, zoals grote zorgaanbieders. Tegelijkertijd wordt erkend dat ook kleinere zorgaanbieders kwetsbaar zijn voor cyberdreigingen. Daarom zet het actieplan in op ondersteuning, richtlijnen en middelen om ook deze groep te helpen bij de digitale transformatie. Door zowel NIS2- als niet-NIS2-entiteiten te betrekken, wordt de algehele veerkracht van de zorgsector versterkt, wat bijdraagt aan een veiligere en efficiëntere gezondheidszorg in de EU.

Het EU Actieplan voor ziekenhuizen en zorgaanbieders richt zich op het versterken van de digitale weerbaarheid van zorginstellingen, die een cruciale rol spelen in de patiëntenzorg maar vaak minder middelen hebben om zich te beschermen tegen cyberdreigingen dan grotere organisaties in andere sectoren.

Dit actieplan vormt een aanvulling op de NIS2-wetgeving, die zorginstellingen verplicht om hun digitale beveiliging op orde te brengen. Waar NIS2 de norm stelt, biedt het actieplan concrete ondersteuning in de vorm van financiering en training. Hierdoor krijgen zorginstellingen niet alleen de middelen om te voldoen aan de wettelijke eisen, maar kunnen ze ook hun algehele cyberweerbaarheid versterken.

Deze bevoegdheid houdt in dat essentiële of belangrijke organisaties die in de toekomst onder de Cyberbeveiligingswet vallen, verplicht kunnen worden bepaalde producten of diensten van specifieke leveranciers niet te gebruiken binnen aangewezen delen van hun netwerk- en informatiesystemen. Zo’n verplichting kan alleen worden opgelegd wanneer dit noodzakelijk wordt geacht om risico’s voor de beveiliging van deze systemen die de nationale veiligheid beïnvloeden te beheersen, of om incidenten die de nationale veiligheid raken te voorkomen. De minister die verantwoordelijk is voor het betreffende beleidsterrein – voor de zorgsector de minister van VWS – neemt hierover een besluit in overleg met de minister van Justitie en Veiligheid en, indien andere sectoren betroffen zijn, met de betreffende andere vakministers.

Een entiteit kan verplicht worden om producten of diensten van leveranciers uit haar netwerk- en informatiesystemen te weren. Zo’n verplichting wordt alleen opgelegd als dit noodzakelijk is om risico’s voor de beveiliging van die systemen te beheersen. Het gaat daarbij om risico’s of incidenten die niet alleen de entiteit kunnen treffen maar juist de nationale veiligheid raken. Voor de wettelijke regeling van de bevoegdheid tot het opleggen hiervan is aanleiding gezien, omdat: 

•  Nederland wordt steeds vaker geconfronteerd met cyberaanvallen op (al dan niet vitale) processen, die worden uitgevoerd door zowel statelijke als criminele actoren.
• De verwachting is dat deze dreiging de komende jaren aanhoudt, omdat een digitaal aanvalsprogramma relatief eenvoudig is op te zetten en aanvallen steeds moeilijker te herleiden naar de daders.

Recente jaarverslagen van de inlichtingen- en veiligheidsdiensten laten zien dat steeds meer landen offensieve cyberprogramma’s ontwikkelen en inzetten om hun politieke doelstellingen na te streven.

Dit is geregeld in artikel 18 van het Cyberbeveiligingsbesluit (Cbb). Daarin staat dat essentiële entiteiten en belangrijke entiteiten in het kader van de voor hen wettelijk geldende zorgplicht in het uiterste geval verplicht kunnen worden producten of diensten van bepaalde leveranciers in onderdelen van hun netwerk- en informatiesystemen te weren als dat naar het oordeel van de vakminister noodzakelijk is. Dit ter beheersing van risico’s voor de beveiliging van die systemen die de nationale veiligheid raken of ter voorkoming van incidenten die de nationale veiligheid raken. De minister van VWS dient hiervoor een beoordelingskader te doorlopen en aan de hand daarvan te bepalen of er al dan niet sprake is van de noodzaak om de verplichting op te leggen. 
De voor het beleidsterrein verantwoordelijke minister – voor de sector zorg is dit de minister van VWS – neemt hierover een besluit altijd in overleg met de minister van Justitie en Veiligheid.

De verplichting om producten of diensten van bepaalde leveranciers te weren geldt alleen voor de onderdelen die in de ministeriële beschikking expliciet zijn aangewezen. Een ministeriële beschikking is een besluit van de minister dat gericht is op een specifiek geval en specifiek aan de betrokken entiteit of entiteiten wordt gericht; het heeft geen algemene werking.

Bij het bepalen welke onderdelen worden aangewezen wordt het volgende proces gevolgd:

1. Identificatie van kritieke onderdelen: Het moet hierbij gaan om onderdelen waarvoor geldt dat leveranciers uitgebreide toegang krijgen tot bijvoorbeeld gevoelige locaties of gevoelige ICT-systemen én waarbij misbruik daarvan een risico kan vormen voor de nationale veiligheid.
2. Beoordeling van noodzaak: De verplichting wordt alleen opgelegd als die in relatie tot die kritieke onderdelen noodzakelijk is om risico’s voor de nationale veiligheid te beheersen. Dat houdt in dat er geen andere beveiligingsmaatregelen in het kader van de zorgplicht mogelijk en realiseerbaar zijn om het risico voldoende te beheersen.
3. Beperking van reikwijdte: Alleen de onderdelen waarvoor deze noodzaak geldt worden in de beschikking aangewezen. De verplichting om enkel gebruik te maken van producten of diensten van vertrouwde leveranciers wordt dus tot die onderdelen beperkt.
4. Toezichthouder: Voor de zorgsector is de toezichthouder de Inspectie Gezondheidszorg en Jeugd (IGJ). De IGJ wordt geïnformeerd over de ministeriële beschikking en ziet toe op de naleving daarvan door de entiteiten.

Risico’s voor de nationale veiligheid die tot opleggen van de verplichting tot het weren van producten of diensten van leveranciers in specifieke onderdelen van de netwerk- en informatiesystemen van een entiteit aanleiding kunnen geven, zijn bijvoorbeeld:

• Sabotage, spionage of beïnvloeding door statelijke actoren of andere derden.
• Ransomware-aanvallen die bijvoorbeeld de continuïteit van (vitale) processen verstoren of vertrouwelijke informatie doen weglekken.

Met complexe bedrijfsmodellen wordt bedoeld dat een organisatie zó is opgebouwd dat het niet in één oogopslag duidelijk of een entiteit onder de Cyberbeveiligingswet valt. Binnen de zorgsector in de Cbw komt dit vaak voor bij organisaties die uit meerdere rechtspersonen bestaan, zoals maatschappen of bv’s die gezamenlijk zorg verlenen, ondersteunende diensten leveren of digitale systemen beheren.

Bij complexe bedrijfsstructuren is het belangrijk om goed te bepalen welke entiteiten onder de Cyberbeveiligingswet vallen. Op grond van de wet dient per entiteit beoordeeld te worden of deze kwalificeert als een essentiële of belangrijke entiteit, en niet de hele organisatie of het concern als geheel.

De handreiking complexe bedrijfsmodellen heeft als doel organisaties in de zorg te helpen bepalen welke entiteiten onder de Cyberbeveiligingswet vallen. Veel zorgorganisaties hebben een complexe structuur, bijvoorbeeld met meerdere bv’s, stichtingen of samenwerkingsverbanden die samen zorg verlenen of digitale diensten aanbieden. Het is daardoor niet altijd direct duidelijk welke entiteit precies onder de wet valt.

De handreiking biedt praktische uitleg en voorbeelden om:

• de structuur van de organisatie inzichtelijk te maken;
• te bepalen welke entiteiten kwalificeren als essentiële of belangrijke entiteit, en
• te begrijpen hoe verantwoordelijkheden binnen de organisatie verdeeld zijn.

De handreiking is bedoeld als hulpmiddel bij het toepassen van de Cyberbeveiligingswet binnen organisaties met meerdere entiteiten of samenwerkingsvormen.

Je kunt de handreiking complexe bedrijfsmodellen hier bekijken.

Ja, als de organisatie in Nederland is gevestigd, kan zij onder de Cyberbeveiligingswet vallen.
Een entiteit valt onder de Cyberbeveiligingswet wanneer:

• de vestigingsplaats zich in Nederland bevindt,
• de entiteit diensten verleent of activiteiten verricht in Nederland of in een andere lidstaat van de Europese Unie,
• de dienst die de entiteit verricht in bijlage 1 of bijlage 2 is opgenomen én
•  de entiteit voldoet aan de omvangscriteria (size cap) die in de wet zijn vastgelegd.

Als aan deze voorwaarden wordt voldaan, is de Cyberbeveiligingswet van toepassing. 

Wat staat er in bijlage 1 en bijlage 2?
In bijlage 1 en 2 van de Cbw staan de sectoren die onder de reikwijdte van deze wet vallen. De sectoren zijn verdeeld in subsectoren en soorten entiteiten.
In bijlage 1 is de sector gezondheidszorg opgenomen. Hieronder vallen:

• zorgaanbieders
• EU-referentielaboratoria
• entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
• entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen
• entiteiten die medische hulpmiddelen vervaardigen in een noodsituatie

Afhankelijk van grootte en omvang (size cap) worden deze entiteiten gezien als belangrijke of essentiële entiteiten.

Bijlage 2
In bijlage 2 is de sector vervaardigen opgenomen. Voor de zorg is de subsector vervaardiging van medische hulpmiddelen en in-vitrodiagnostiek (MDR/IVDR) relevant. Hieronder vallen entiteiten die deze hulpmiddelen vervaardigen. Entiteiten die onder bijlage vallen, worden altijd geclassificeerd als belangrijke entiteiten.

De Cyberbeveiligingswet is ingedeeld in sectoren en is gericht op organisaties. Hierdoor kan het voorkomen dat een organisaties onder verschillende sectoren valt. Bijvoorbeeld als zij zowel medische hulpmiddelen vervaardigt (sector vervaardiging)  en digitale diensten (sector digitale infrastructuur) aanbiedt die onder de wet vallen. Dat betekent dat de organisatie die in meerdere sectoren valt dat in beginsel dient te voldoen aan verschillende normen om aan de zorgplicht te voldoen. In het geval van het voorbeeld hiervoor dient de entiteit te voldoen aan de NEN7510, dan wel de ISO 27001 en ISO27002 op grond van de Cyberbeveiligingsregeling in de zorg (CrbZ) en de regels ten aanzien van de zorgplicht die zijn opgenomen in de uitvoeringshandeling van de Europese Commissie voor digitale dienstverleners¹. Het betekent ook dat de organisaties meerdere toezichthouders en CSIRT’s te maken kan hebben.

In het geval van het voorbeeld hiervoor dient de entiteit te voldoen aan de NEN7510, dan wel de ISO 27001 en ISO27002 op grond van CrbZ en de regels ten aanzien van de zorgplicht die zijn opgenomen in de uitvoeringshandeling van de Europese Commissie voor digitale dienstverleners².  

Het is daarom belangrijk om duidelijk in kaart te brengen welke diensten worden geleverd en onder welke sector de dienst valt  en welke eisen daarbij horen.
 

^{Uitvoeringsverordening (EU) 2024/2690  
Uitvoeringsverordening (EU) 2024/2690}

Er is sprake van een entiteit indien zij is ingeschreven in het Handelsregister van de Kamer van Koophandel en beschikt over een KvK-nummer. Per entiteit moet worden bekeken of deze onder de reikwijdte valt van de Cyberbeveiligingswet. Binnen één organisatie kunnen dus sommige entiteiten wél onder de wet vallen en andere niet. Dat hangt af van het soort dienst dat ze leveren, of deze dienst is opgenomen in bijlage 1 of 2 van de wet, en of ze voldoen aan de omvangscriteria (size cap).Het is dus niet mogelijk om de gehele organisatie te registreren. 

Het is wel mogelijk dat een organisatie die uit meerdere entiteiten bestaat, één registratie in het NCSC-portaal aan maakt en daarna de verschillende entiteiten toevoegt door hun KvK-nummers in te voeren. Hierdoor hoeft de organisatie geen aparte registraties aan te maken voor alle entiteiten afzonderlijk.

Ongeacht of de hoofdvestiging in een andere lidstaat is gevestigd, geldt dat de entiteit die in Nederland is gevestigd onder de Cyberbeveiligingswet valt, op basis van sector, grootte en omvang (size cap). Wanneer aan deze criteria wordt voldaan, valt de organisatie in Nederland onder de Cbw.

De locatie van de hoofdvestiging in een andere lidstaat is alleen relevant voor organisaties die onder de sector digitale infrastructuur vallen en als digitale dienstverlener worden aangemerkt. In dat geval valt de digitale dienstverlener wel onder de Cyberbeveiligingswet, maar hoeft zij zich niet in Nederland te registreren omdat de hoofdvestiging zich buiten Nederland bevindt. De in Nederland gevestigde entiteit valt in dit scenario niet onder de Cyberbeveiligingswet, maar onder de nationale implementatiewetgeving van de lidstaat waar de hoofdvestiging van de digitale dienstverlener is gevestigd.

Entiteiten die in Nederland zijn gevestigd én een essentiële of belangrijke entiteiten zijn, vallen onder Cyberbeveiligingswet. Entiteiten die die in een andere lidstaat zijn gevestigd én een essentiële of belangrijk entiteit zijn, vallen onder de implementatiewetgeving van die lidstaat en hoeven zich in Nederland niet te registeren. De entiteiten die buiten de EU zijn gevestigd vallen niet onder de Cyberbeveiligingswet.