Binnen Zorgring zijn wij sinds vorig jaar verscherpingen aan het doorvoeren om de IT-omgevingen nóg veiliger te houden. Om hier helemaal in detail op in te gaan voert wat ver, maar hier ligt onder andere de NIS2-richtlijn aan ten grondslag. Ook voor jou, als zorgverlener, is dit relevant. Mogelijk heb je hier wel eens van gehoord, echter zijn de ins en outs nog een vergezicht. In het volgende artikel willen wij jou meenemen in wat de NIS2-rechtlijn is en in hoeverre dit betrekking heeft op jou als zorgverlener.  

Wat is de NIS2-richtlijn? 
De afkorting staat voor Network and Information Security directive. De NIS2-richtlijn is de opvolger van de NIS-richtlijn. Deze richtlijn is vastgesteld door de Europese Unie (EU) en bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten (dus ook de zorgsector) in EU-lidstaten te verbeteren. De richtlijn zal in Nederland worden vertaald naar de Cyberbeveiligingswet. In de basis is het een richtlijn waarbij een aantal maatregelen voor het beheer van cyberbeveiligingsrisico’s opgenomen waaraan minimaal moet worden voldaan. Met het oog op de verdere digitalisering van onze sectoren is ook cybercriminaliteit een steeds grotere bedreiging, NIS2 wil deze dreiging afwenden door verscherpte maatregelen in te voeren.  

Voor wie geldt de NIS2-richtlijn? 
Deze richtlijn is opgesteld voor organisaties én sectoren die van vitaal belang zijn. Waar we dan aan moeten denken zijn de zeer kritieke sectoren voor energie, vervoer, drinkwater en ook de gezondheidssector! 

Wat zijn de gevolgen van de NIS2-richtlijn? 
NIS2 kan aanzienlijke gevolgen hebben, ook voor jouw (zorg)organisatie. De wetgeving die hieruit voortvloeit, is niet vrijblijvend. Niet voldoen aan de eisen kan niet alleen het risico op ernstige cyberincidenten vergroten, maar ook leiden tot zware boetes. 

Wat zijn de verplichtingen van de NIS2-richtlijn? 
Uiteindelijk kunt u de NIS2 in vier verplichtingen uiteen zetten, namelijk: 

• Registratieplicht: Organisaties die vallen onder de NIS2-richtlijn, en dus ook onder de Cyberbeveiligingswet, zijn wettelijk verplicht zich te registreren in het entiteitenregister. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2. Er wordt door het Nationaal Cybersecurity Centrum (NCSC) gewerkt aan een online registratievoorziening waarin organisaties zichzelf registreren en aanmelden als NIS2-entiteit. 

• Zorgplicht: De richtlijn bevat een zorgplicht die organisaties verplicht zelf een risicobeoordeling uit te voeren. Op basis van deze risicobeoordeling nemen zij passende maatregelen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Vanuit de verschillende sectoren van NIS2 worden nadere vereisten gesteld aan de zorgplicht. Voor de overheid omvat dit in elk geval de Baseline Informatiebeveiliging Overheid (BIO) 2.0. 

• Meldplicht: De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de continuïteit van dienstverlening van de essentiële entiteit aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet deze ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), die hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen. De drempelwaarden in specifieke sectoren wordt in nadere regelgeving verder uitgewerkt. 

• Toezicht: Organisaties die onder de richtlijn vallen, krijgen ook verplicht toezicht. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder (niet te verwarren met interbestuurlijk toezicht in het geval van medeoverheden) kijkt naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Voor de overheid wordt de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder. De RDI maakt voor het toezicht op NIS2 voor de overheid gebruik van bestaande verantwoordingsstructuren. Dit om mogelijke administratieve lasten van het toezicht tot een minimum te beperken. 

Wanneer gaat de NIS2-richtlijn in? 
De NIS2-richtlijn gaat vermoedelijk in het eerste kwartaal van 2025 in. Dit is nog geen vaststaand feit, aangezien de politieke besluitvorming in Nederland veel tijd vraagt door goede afstemming tussen de toezichthouders en betrokken sectoren. Oorspronkelijk was het streven om de richtlijn in te laten gaan op 17 oktober 2024, dit is echter uitgesteld.  

Hoe kan ik voldoen aan de NIS2-richtlijn? 
Voldoen aan NIS2 is niet vanzelfsprekend. Voor een solide en weerbare securityomgeving is het noodzakelijk deze onder de loep te nemen en waar nodig verbeteringen aan te brengen. Tegelijkertijd is compliance zelf niet het allerbelangrijkste. Cyberincidenten kunnen verstrekkende gevolgen hebben voor de organisatie, de klanten en de maatschappij als geheel. Daarmee is een goede security een haast vanzelfsprekende voorwaarde voor een stabiele bedrijfsvoering, en tegelijkertijd een morele en maatschappelijke verplichting. Een intrinsieke motivatie om de security op orde te krijgen is noodzakelijk, wil het niet bij een eenmalige exercitie blijven. 

Mogelijk is uw organisatie NEN 7510 en/óf ISO 27001 gecertificeerd. Dit is absoluut geen overbodige luxe en lijkt ook meer dan ooit een must have om NIS2 compliant te zijn. Echter zegt een certificaat niet alles, daar waar je als organisatie continu moet verbeteren en alert moet zijn op risico’s en dreigingen binnen het cyberdomein. 

Ook raden we u aan te kijken naar de praktische werkplekomgeving. Het borgen van unieke gebruikersomgevingen met unieke accounts en wachtwoorden, kan al veel bijdragen aan de veiligheid. Zoals u wellicht weet komen de meeste risico’s voort uit het gebruik van verouderde omgevingen, gebruik van generieke wachtwoorden/accounts en het simpelweg aanklikken/openen van phishing linkjes in e-mail. 

Mocht u meer informatie of advies willen opvragen, dan staan wij u hier graag in bij. Neem hiervoor contact met ons op via servicedesk@zorgring.nl .