NIS2-richtlijn

De NIS2-richtlijn is van toepassing op onmisbare processen in ons land zoals de drinkwatervoorziening, energievoorziening en gezondheidszorg. De richtlijn moet bijdragen aan een hoger niveau van informatiebeveiliging bij bedrijven en organisaties binnen de zorgsector. De NIS2-richtlijn is de opvolger van de eerste NIS-richtlijn die is omgezet in de Nederlandse Wet beveiliging Netwerk- en Informatiesystemen. Deze opvolger richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren, waaronder de sector gezondheidszorg. Dit betekent dat onder meer zorgorganisaties in Nederland de komende tijd hun digitale weerbaarheid moeten verhogen.

De sector gezondheidszorg onder de NIS2-richtlijn

De sector gezondheidszorg is breed gedefinieerd in de NIS2. In de NIS2-richtlijn wordt in bijlage 1 een aantal deelsectoren benoemd die onder de categorie gezondheidszorg vallen. In bijlage 2 wordt de sector vervaardiging genoemd. Hieronder vallen entiteiten die medische hulpmiddelen of medische hulpmiddelen voor in-vitrodiagnostiek vervaardigen.

Organisaties binnen de zorg die onder de NIS2-richtlijn vallen behoren dus tot de volgende (deel)sectoren:

• Zorgaanbieders (bijlage 1, gezondheidszorg)
• EU-referentielaboratoria (bijlage 1, gezondheidszorg)
• Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen (bijlage 1, gezondheidszorg)
• Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen (bijlage 1, gezondheidszorg)
• Entiteiten die medische hulpmiddelen vervaardigen die in het kader van een noodsituatie op het gebied van volksgezondheid als kritiek worden beschouwd (bijlage 1, gezondheidszorg)
• Entiteiten die medische hulpmiddelen of medische hulpmiddelen voor in-vitrodiagnostiek vervaardigen (bijlage 2, vervaardiging)
• Alleen organisaties uit bovenstaande deelsectoren die geïdentificeerd kunnen worden als belangrijke of essentiële entiteit vallen automatisch onder de NIS2-richtlijn.

Essentiële en belangrijke entiteiten in de sector gezondheidszorg volgens de NIS2-richtlijn

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in een van de bovenstaande (deel)sectoren en volgens onderstaande criteria gekenmerkt worden als ‘groot’ of ‘middelgroot’. Er wordt in de NIS2-richtlijn onderscheid gemaakt tussen essentiële en belangrijke entiteiten.

Middelgrote organisaties	Grote organisaties
Organisaties met minimaal 50 werknemers (fte) of; een jaaromzet of balanstotaal van meer dan 10 miljoen euro.	Organisaties met minimaal 250 werknemers (fte) of; een jaaromzet van meer dan 50 miljoen euro of een balanstotaal van meer dan 43 miljoen euro.

Belangrijke entiteiten

• Middelgrote organisaties die actief zijn in een sector uit bijlage 1 van de NIS2-richtlijn.
• Middelgrote en grote organisaties die actief zijn in een sector uit bijlage 2 van de NIS2-richtlijn.

Essentiële entiteiten

• Grote organisaties die actief zijn in een sector uit bijlage 1 van de NIS2-richtlijn.
• Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit. CER staat voor Critical Entities Resilience en heeft betrekking op de fysieke weerbaarheid van organisaties.

Entiteiten die niet automatisch onder de NIS2 vallen, maar wel een essentiële rol vervullen in de maatschappij en de sector zorg, kunnen ook direct door het ministerie worden aangewezen als essentiële entiteit.

Hoe er wordt omgegaan met een wisselende omvang van werknemers of omzet van entiteiten, wordt op dit moment nog uitgewerkt.

Verantwoordelijkheden van essentiële en belangrijke entiteiten

Zorgplicht
Entiteiten zijn verplicht hun informatiebeveiliging op orde te hebben en zelf een risicobeoordeling uit te voeren. Op basis hiervan dienen zij passende maatregelen te nemen om digitale risico’s te beperken en incidenten te voorkomen.

Registratieplicht
Entiteiten die onder de NIS2-richtlijn vallen dienen zich te registreren. Hiervoor komt een registratieportaal waar alle entiteiten die onder de NIS2 vallen zich dienen te registeren en de gegevens in het register actueel te houden.

Meldplicht
Entiteiten dienen significante incidenten binnen 24 uur te melden. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

Informatieplicht
Entiteiten dienen betrokkenen (patiënten, cliënten etc.) te informeren over de nadelige gevolgen van de significante incidenten. Daarnaast dienen de entiteiten de betrokkenen te informeren over welke maatregelen zij kunnen nemen in reactie op de significante cyberdreiging.

Bijstand en ondersteuning
De NIS2-richtlijn stelt dat een Cyber Security Incident Response Team (CSIRT) ondersteuning verleent voorafgaand en tijdens een incident aan de organisaties waarop de NIS2-richtlijn van toepassing is. Z-CERT is het CSIRT voor de entiteiten in de zorg en werkt samen met het nationale CISRT, het NCSC.

Toezicht en handhaving
De Inspectie Gezondheidszorg en Jeugd (IGJ) zal toezicht houden op naleving van de NIS2-richtlijn in de genoemde sectoren in de zorg.
Alle bepalingen uit de NIS2-richtlijn zijn zowel op essentiële als belangrijke entiteiten van toepassing. Het verschil is de manier waarop toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ) zal worden georganiseerd. Op essentiële entiteiten wordt zowel voor- als achteraf toezicht gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten wordt achteraf toezicht gehouden mocht er een incident hebben plaatsgevonden.

Wacht niet af, kom in actie!

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden.