NIS2, de laatste tijd is er veel berichtgeving over. Wat gaat dit mogelijk betekenen voor zorgorganisaties? Zoals het er nu naar uit ziet moet je als (zorg)organisatie eind 2024 voldoen aan de wetgeving vanuit NIS2.

Wat is het?
De NIS2 is een Europese richtlijn onder nummer 2022/2555 en heeft als titel ‘richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie’. De eerdere versie van de NIS2 stond bekend als NIS of NIB richtlijn; Netwerk en Informatie Systemen. Feitelijk is dus enkel de titel veranderd.  In artikel 2 van de richtlijn, het Toepassingsgebied, staan de punten waarop je kunt baseren of jouw organisatie aan de NIS2 moet gaan voldoen. De Rijksoverheid heeft een handige tool gemaakt waarmee je kunt controleren of de richtlijn voor jouw organisatie van toepassing is.

Governance: hoe regel je dat zelf én regionaal?
Net zoals bij de AVG-wetgeving draagt het bestuursorgaan bij de NIS2 verantwoordelijkheid en aansprakelijkheid op het gebied van cyberbeveiliging. Wat dit nu precies in de praktijk betekent, is nog niet helemaal duidelijk. Geldt dit dan voor de bestuurder, het gehele management of de Raad van Bestuur? Daarnaast is binnen de NIS2 sprake van ketenverantwoordelijkheid en moet je governance dus breder zien dan alleen binnen je eigen organisatie.

Maatregelen
De richtlijn beschrijft een minimaal aantal maatregelen op het gebied van cyberbeveiliging waaraan je als organisatie moet voldoen. Deze maatregelen lijken hetzelfde te zijn als de reeds bestaande maatregelen uit bijvoorbeeld de normen NEN 7510 en ISO 27001/27002:

  • Beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  • Incidentenafhandeling;
  • Bedrijfscontinuïteit van de gehele keten;
  • Basispraktijk op het gebeid van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
  • Beleid en procedures inzake het gebruik van cryptografie en mogelijk encryptie;
  • Toegangsbeheer;
  • Beheer van activa;
  • Wanneer gepast, het gebruik van Multifactor authenticatie.

(dit is slechts een opsomming van maatregelen zoals deze in de NIS2 staan en geeft nog niet een compleet overzicht).

Meldplicht
Naast de vooral preventieve en detectieve maatregelen beschrijft de NIS2 ook wat de plichten zijn bij een mogelijke inbreuk door cybercriminaliteit. De organisatie heeft dan een meldplicht bij de voor de organisatie van toepassing zijnde CSIRT of CERT zoals voor de zorg Z-CERT. Deze meldplicht kun je vergelijken met de meldplicht van Datalekken bij de Autoriteit Persoonsgegevens.

Sanctie
De richtlijn heeft ook artikelen over mogelijke sancties wanneer organisaties niet voldoen aan de eisen vanuit de NIS2. Het gaat hier dan bijvoorbeeld om sancties zoals audits door controlerende instanties. Sancties kunnen uiteindelijk wel een boete tot gevolg hebben, ook hier gaat een vergelijking met AVG op, aangezien ook hier een boete opgelegd kan worden van maximaal 10 miljoen euro of 2% van de jaaromzet.

Voorbereiden
Om eind 2024 niet verrast te worden door de Nederlandse wetgeving is het verstandig om nu al te beginnen met het voorbereiden op de NIS2. Hoe? Door eerste te bepalen of NIS2 van toepassing is voor jouw organisatie. Dit kan je checken door middel van de eerder genoemde tool. Vervolgens is het belangrijk om de maatregelen uit te gaan voeren als dit al niet is gedaan, waarbij bestaande normen zoals NEN 7510 kunnen helpen. Mochten er nog vragen zijn of wil je ondersteuning bij het implementeren van de maatregelen neem dan contact op met de servicedesk via servicedesk@zorgring.nl .

Waar ben je naar opzoek?

Waar ben je naar opzoek?