Ga direct naar inhoud

NIS2-richtlijn

Digitale weerbaarheid van organisaties in de zorg

Digitale infrastructuur en dataverkeer zijn essentieel voor het functioneren van de samenleving en de economie. De Europese Unie heeft in 2022 de NIS2-richtlijn (Network and Information Security) aangenomen met als doel de digitale weerbaarheid van lidstaten te versterken. Momenteel wordt de NIS2-richtlijn omgezet in nationale wet- en regelgeving. De Nederlandse wet zal naar verwachting in 2025 in werking treden.

De NIS2-richtlijn is van toepassing op onmisbare processen in ons land zoals de drinkwatervoorziening, energievoorziening en gezondheidszorg. De richtlijn moet bijdragen aan een hoger niveau van informatiebeveiliging bij bedrijven en organisaties binnen de zorgsector. De NIS2-richtlijn is de opvolger van de eerste NIS-richtlijn die is omgezet in de Nederlandse Wet Beveiliging Netwerk- en Informatiesystemen. Deze opvolger richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren, waaronder de sector gezondheidszorg. Dit betekent dat onder meer zorgorganisaties in Nederland de komende tijd hun digitale weerbaarheid moeten verhogen.

De sector gezondheidszorg onder de NIS2-richtlijn

De sector gezondheidszorg is breed gedefinieerd in de NIS2. In de NIS2-richtlijn wordt in bijlage 1 namelijk een aantal deelsectoren benoemd die onder de categorie gezondheidszorg vallen. Dit zijn:

  • Zorgaanbieders
  • EU-referentielaboratoria
  • Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
  • Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen
  • Entiteiten die medische hulpmiddelen vervaardigen

Niet alle organisaties uit bovenstaande deelsectoren vallen automatisch onder de NIS2-richtlijn. Alleen organisaties uit bovenstaande deelsectoren die geïdentificeerd kunnen worden als belangrijke of essentiële entiteit vallen automatisch onder de NIS2-richtlijn.  

Essentiële en belangrijke entiteiten in de sector gezondheidszorg volgens de NIS2-richtlijn

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in een van de bovenstaande (deel)sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Belangrijke entiteiten

  • Organisaties met minimaal 50 werknemers (fte) of;
  • een jaaromzet én balanstotaal van meer dan 10 miljoen euro.

Essentiële entiteiten

  • Organisaties met minimaal 250 werknemers (fte) of;
  • een jaaromzet van meer dan 50 miljoen euro én een balanstotaal van meer dan 43 miljoen euro.
  • Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit. CER staat voor Critical Entities Resilience en heeft betrekking op de fysieke weerbaarheid van organisaties.

Entiteiten die niet automatisch onder de NIS2 vallen, maar wel een essentiële rol vervullen in de maatschappij, kunnen ook direct door het ministerie worden aangewezen als essentiële entiteit.

Hoe er wordt omgegaan met een wisselende omvang of omzet van entiteiten, wordt op dit moment nog uitgewerkt.

Alle bepalingen uit de NIS2-richtlijn zijn zowel op essentiële als belangrijke entiteiten van toepassing. Het verschil is de manier waarop toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ) wettelijk zal worden georganiseerd. Essentiële entiteiten vallen onder een intensiever regime van toezicht, namelijk zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht dat alleen achteraf plaatsvindt bijvoorbeeld als er aanwijzingen voor niet-naleving van de wet zijn of als er een incident heeft plaatsgevonden.

Verantwoordelijkheden van essentiële en belangrijke entiteiten

Zorgplicht
Entiteiten zijn verplicht hun informatiebeveiliging op orde te hebben en zelf een risicobeoordeling uit te voeren. Op basis hiervan dienen zij passende maatregelen te nemen om digitale risico’s te beperken en incidenten te voorkomen.

Registratieplicht
Entiteiten die onder de NIS2-richtlijn vallen dienen zich te registreren. Hiervoor komt een registratieportaal.

Meldplicht
Entiteiten moeten significante incidenten binnen 24 uur melden. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

Informatieplicht
Entiteiten dienen betrokkenen (patiënten, cliënten etc.) te informeren over incidenten.

Bijstand en ondersteuning
De NIS2-richtlijn stelt dat het Cyber Security Incident Response Team (CSIRT) ondersteuning verleent voorafgaand en tijdens een incident aan de organisaties waarop de NIS2-richtlijn van toepassing is. Z-CERT is het CSIRT voor de organisaties in de zorg.

Toezicht en handhaving
De Inspectie Gezondheidszorg en Jeugd (IGJ)zal toezicht houden op naleving van de NIS2-richtlijn in de zorgsector.

Wacht niet af, kom in actie!

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden.