EU nis2 plaatje

De impact van NIS2 op de zorgsector en hoe je ervoor kan zorgen dat je optimaal bent voorbereid

This section could provide testimonials, links to training or documentation, or introduce other actions your audience may want to take.

Het zal niemand zijn ontgaan: NIS2 komt eraan. NIS2 is de opvolger van de Network and Information Security Directive van de Europese Unie. Deze nieuwe wetgeving heeft een grote impact op de zorgsector. Waar de gezondheidszorg in Nederland niet onder de scope viel van NIS1 omdat de sector niet als ‘vitaal’ was aangemerkt door het ministerie van VWS, moeten veel zorginstellingen vanaf eind 2024 wel gaan voldoen aan NIS2. En hier is lang niet iedereen op voorbereid.

Met de NIS-richtlijn wil de Europese Unie de digitale weerbaarheid en cybersecurity van belangrijke diensten in de EU vergroten om de kans op en schade als gevolg van een cyberaanval te verlagen en om de continuïteit van kritische processen te waarborgen. De herziende richtlijn moet zorgen voor meer harmonisatie tussen lidstaten wat betreft de reikwijdte en scope. Ook stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten.

Welke zorginstellingen vallen onder de NIS2?
Zorgaanbieders, farmaceuten, en producenten van medische hulpmiddelen moeten gaan voldoen aan de nieuwe wettelijke eisen, als zij meer dan 50 medewerkers hebben en/of meer dan 10 miljoen euro omzet en balanstotaal. Naar schatting geldt dit voor o.a. ruim 100 ziekenhuizen, honderden verpleging-, verzorging- en thuiszorgorganisaties, instellingen in geestelijke gezondheidszorg (GGZ) en gehandicaptenzorg (GHZ), tientallen GGD’s, grote apotheken, jeugdzorginstellingen, huisartsenpraktijken, fysiotherapeuten, en tandartsen.

Waaraan moeten zorginstellingen voldoen?
Zorgplicht
Volgens de richtlijn moeten organisaties ‘passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen zo veel mogelijk te beheersen’. De maatregelen moeten proportioneel zijn aan geïdentificeerde risico’s. De IGJ ziet erop toe dat organisatie zich aan deze richtlijn houden.

Meldplicht
Naast deze zorgplicht, zijn zorginstellingen verplicht om significante incidenten binnen 72 uur te melden bij Z-CERT, het Computer Security Incident Response Team voor de zorgsector. Binnen een maand moet ook een rapportage opgeleverd worden.

Persoonlijke aansprakelijkheid van bestuursleden
Bestuursorganen zijn verantwoordelijk voor het goedkeuren van de maatregelen tegen cybersecurity risico’s, en houden toezicht op de uitvoering van deze maatregelen. Bestuursleden worden onder NIS2 ook persoonlijk aansprakelijk als een organisatie de wettelijke eisen voor de zorgplicht niet naleven.

Verplichte trainingen en cursussen
Bestuursleden zijn verplicht om een hun kennisniveau te verhogen en op peil te houden door opleidingen en cursussen te volgen. Het is nog niet vastgelegd wat voor opleidingen en cursussen dit zijn en aan welke eisen ze moeten voldoen.

Inzicht dankzij Modelverse
Maar hoe wordt bepaald wat passende en evenredige maatregelen zijn? Wat zijn de belangrijkste risico’s voor de netwerk- en informatiesystemen van een zorginstelling? Bij ValueTracks gebruiken we hiervoor een digitale oplossing, Modelverse, die inzicht geeft in de belangrijkste risico’s én middelen waarmee die risico’s kunnen worden beheerst. Door een gestandaardiseerde aanpak kunnen we dit op een efficiënte en effectieve manier in kaart brengen. Waardoor focus wordt gelegd op wat écht belangrijk is voor de digitale veiligheid. Dit wordt vertaald naar een concrete roadmap met de belangrijkste verbeteringen. Om de bestuurders van zorginstellingen nog beter te kunnen helpen bij het identificeren van de risico’s en het implementeren van NIS2, bieden wij ook trainingen en cursussen aan die rekening houden met ontwikkelingen en uitdagingen in de zorgsector.

Wees voorbereid
Meer weten over NIS2 of de mogelijkheden van Modelverse? Neem dan vrijblijvend contact op met Lili Guo via lili@valuetracks.io.