Cyberbeveiligingswet

Digitale weerbaarheid van organisaties in de zorg

Digitale infrastructuur en dataverkeer zijn essentieel voor het functioneren van de samenleving en de economie. De Europese Unie heeft in 2022 de NIS2-richtlijn (Network and Information Security) aangenomen met als doel de digitale weerbaarheid van lidstaten te versterken. Momenteel wordt de NIS2-richtlijn omgezet in de Cyberbeveiligingswet. De Nederlandse wet zal naar verwachting in 2025 in werking treden.

De Cyberbeveiligingswet is van toepassing op onmisbare processen in ons land zoals de drinkwatervoorziening, energievoorziening en gezondheidszorg. De wet moet bijdragen aan een hoger niveau van informatiebeveiliging bij bedrijven en organisaties binnen de zorgsector. De NIS2-richtlijn, die wordt omgezet in de Cyberbeveiligingswet, is de opvolger van de eerste NIS-richtlijn die is omgezet in de Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze nieuwe wet richt zich op sectoren die al onder de eerste NIS-richtlijn en Wbni vallen en op een aantal nieuwe sectoren, waaronder de sector gezondheidszorg. Dit betekent dat onder meer zorgorganisaties in Nederland de komende tijd hun digitale weerbaarheid moeten verhogen.

De sector gezondheidszorg onder de Cyberbeveiligingswet

De sector gezondheidszorg is breed gedefinieerd in de Cyberbeveiligingswet. In de Cyberbeveiligingswet wordt in bijlage 1 een aantal deelsectoren benoemd die onder de categorie gezondheidszorg vallen. In bijlage 2 wordt de sector vervaardiging genoemd. Hieronder vallen entiteiten die medische hulpmiddelen of medische hulpmiddelen voor in-vitrodiagnostiek vervaardigen.

Organisaties binnen de zorg die onder de Cyberbeveiligingswet vallen behoren dus tot de volgende (deel)sectoren:

  • Zorgaanbieders (bijlage 1, gezondheidszorg)
  • EU-referentielaboratoria (bijlage 1, gezondheidszorg)
  • Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen (bijlage 1, gezondheidszorg)
  • Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen (bijlage 1, gezondheidszorg)
  • Entiteiten die medische hulpmiddelen vervaardigen die in het kader van een noodsituatie op het gebied van volksgezondheid als kritiek worden beschouwd (bijlage 1, gezondheidszorg)
  • Entiteiten die medische hulpmiddelen of medische hulpmiddelen voor in-vitrodiagnostiek vervaardigen (bijlage 2, vervaardiging)

Alleen organisaties uit bovenstaande deelsectoren die geïdentificeerd kunnen worden als belangrijke of essentiële entiteit vallen automatisch onder de Cyberbeveiligingswet.

Essentiële en belangrijke entiteiten in de sector gezondheidszorg volgens de Cyberbeveiligingswet

Organisaties vallen automatisch onder de Cyberbeveiligingswet als zij actief zijn in een van de bovenstaande (deel)sectoren en volgens onderstaande criteria gekenmerkt worden als ‘groot’ of ‘middelgroot’. Organisaties die onder de Cyberbeveiligingswet vallen worden aangemerkt als belangrijke of essentiële entiteit.

Middelgrote organisaties Grote organisaties
  • Organisaties met minimaal 50 werknemers (fte) of;
  • een jaaromzet en/of balanstotaal van meer dan 10 miljoen euro.
  • Organisaties met minimaal 250 werknemers (fte) of;
  • een jaaromzet van meer dan 50 miljoen euro en/of een balanstotaal van meer dan 43 miljoen euro.

Belangrijke entiteiten

  • Middelgrote organisaties die actief zijn in een sector uit bijlage 1 van de Cyberbeveiligingswet.
  • Middelgrote en grote organisaties die actief zijn in een sector uit bijlage 2 van de Cyberbeveiligingswet.

Essentiële entiteiten

  • Grote organisaties die actief zijn in een sector uit bijlage 1 van de Cyberbeveiligingswet.
  • Organisaties die volgens de Wet weerbaarheid kritieke entiteiten zijn aangewezen als kritieke entiteit. Deze wet heeft betrekking op de fysieke weerbaarheid van organisaties.

Entiteiten die niet automatisch onder de Cyberbeveiligingswet vallen, maar wel een essentiële rol vervullen in de maatschappij en de sector zorg, kunnen ook direct door het ministerie worden aangewezen als essentiële entiteit.

Hoe er wordt omgegaan met een wisselende omvang van werknemers of omzet van entiteiten, wordt op dit moment nog uitgewerkt.

Verantwoordelijkheden van essentiële en belangrijke entiteiten

Zorgplicht
Entiteiten zijn verplicht hun informatiebeveiliging op orde te hebben en zelf een risicobeoordeling uit te voeren. Op basis hiervan dienen zij passende maatregelen te nemen om digitale risico’s te beperken en incidenten te voorkomen.

Registratieplicht
Entiteiten die onder de Cyberbeveiligingswet vallen dienen zich te registreren. Hiervoor komt een registratieportaal waar alle entiteiten die onder deze wet vallen zich dienen te registeren en de gegevens in het register actueel te houden.

Meldplicht
Entiteiten dienen significante incidenten binnen 24 uur te melden. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

Informatieplicht
Entiteiten dienen betrokkenen (patiënten, cliënten etc.) te informeren over de nadelige gevolgen van de significante incidenten. Daarnaast dienen de entiteiten de betrokkenen te informeren over welke maatregelen zij kunnen nemen in reactie op de significante cyberdreiging.

Bijstand en ondersteuning
De Cyberbeveiligingswet stelt dat een Cyber Security Incident Response Team (CSIRT) ondersteuning verleent voorafgaand en tijdens een incident aan de organisaties waarop de wet van toepassing is. Z-CERT is het CSIRT voor de entiteiten in de zorg en werkt samen met het nationale CISRT, het NCSC.

Toezicht en handhaving
De Inspectie Gezondheidszorg en Jeugd (IGJ) zal toezicht houden op naleving van de Cyberbeveiligingswet in de genoemde sectoren in de zorg.
Alle bepalingen uit de Cyberbeveiligingswet zijn zowel op essentiële als belangrijke entiteiten van toepassing. Het verschil is de manier waarop toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ) zal worden georganiseerd. Op essentiële entiteiten wordt zowel voor- als achteraf toezicht gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten wordt achteraf toezicht gehouden mocht er een incident hebben plaatsgevonden.

Wacht niet af, kom in actie!

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden.