Vraag en antwoord
De concrete vertaling van de NIS2- en CER-richtlijnen in de Nederlandse wetgeving is volop in ontwikkeling en roept mogelijk vragen op. Hieronder geven we antwoord op de meest gestelde vragen. Staat uw vraag hier nog niet bij? Neem dan contact met ons op via nis2-cer@minvws.nl.
Algemene vragen NIS2- en CER-richtlijnen
De Europese lidstaten hebben tot eind 2024 de tijd om de richtlijnen op te nemen in nationale wetgeving. Zo moet volgens beide richtlijnen een zorgplicht en meldplicht worden opgenomen, waaraan zowel publieke als private organisaties binnen bepaalde sectoren moeten voldoen. Hier (CER) en hier (NIS2) wordt samengevat welke verplichtingen de CER- en NIS2-richtlijnen voorschrijven en voor welke sectoren ze gaan gelden, zodat organisaties zich een beeld kunnen vormen van de verplichtingen waaraan ze eind 2024 mogelijk moeten voldoen.
Dit beeld roept waarschijnlijk vragen op die op dit moment helaas nog niet beantwoord kunnen worden, simpelweg omdat de concrete vertaling naar Nederlandse wetgeving pas net gestart is. In het najaar van 2023 start een consulatie-periode waarin burgers, bedrijven en overheidsinstellingen feedback kunnen geven op wet- en regelgeving die in voorbereiding is. Op dat moment kan ook meer duidelijkheid geboden worden over de concrete vertaling van de richtlijnen naar nationale wetgeving, zodat organisaties zich beter kunnen voorbereiden.
De verplichtingen van beide richtlijnen lijken sterk op elkaar. Belangrijke onderdelen zijn:
- Zorgplicht
Beide richtlijnen bevatten een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Bij de CER-richtlijn zijn deze maatregelen gericht op fysieke dreigingen, bij de NIS2-richtlijn op digitale dreigingen.
- Meldplicht
Beide richtlijnen schrijven voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat. vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- Toezicht
Organisaties die onder één of beide richtlijnen vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Beide richtlijnen verplichten lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen fysieke en digitale risico’s. Zo schrijft de CER-richtlijn voor dat de overheid elke vier jaar per sector een risicobeoordeling uitvoert en deelt met kritieke entiteiten in die sector. De NIS2- richtlijn schrijft voor dat essentiële en belangrijke entiteiten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.
NIS2-richtlijn
De Network and Information Systems 2 richtlijn (NIS2) richt zich op het vergroten van de digitale weerbaarheid van organisaties en instellingen (de richtlijn spreekt van entiteiten) in onder meer de zorgsector. Het is een richtlijn die door de Europese Unie is opgesteld en in nationale wetgeving moet worden omgezet. Een verhoogde weerbaarheid zorgt ervoor dat de dienstverlening minder snel wordt verstoord.
Entiteiten waarop de richtlijn van toepassing is, moeten zorgen dat zij hun digitale weerbaarheid op orde hebben en houden (dit wordt in de wetgeving zorgplicht genoemd), incidenten die de levering van de essentiële diensten aanzienlijk verstoren of kunnen verstoren melden bij de bevoegde autoriteit(en) (meldplicht) en betrokkenen informeren over de gevolgen van een incident (informatieplicht). Ook schrijft de richtlijn voor dat entiteiten waarop de NIS2 van toepassing is ondersteuning moeten kunnen krijgen van een Computer Security Incident Response Team (CSIRT) bij het voorkomen en verhelpen van digitale aanvallen.
Op 16 januari 2023 is de NIS2-richtlijn in werking getreden. Nederland en de andere lidstaten hebben een implementatietermijn van 21 maanden om de richtlijn om te zetten in nationale wetgeving.
Op 17 oktober 2024 dient de NIS2 in nationale wetgeving te zijn omgezet en moeten alle entiteiten die onder deze wetgeving vallen hier ook aan voldoen.
Ja, de conceptwetgeving van de NIS2 en de CER wordt door het Ministerie van Justitie en Veiligheid gepubliceerd op www.internetconsultatie.nl. Hier kan iedereen opmerkingen en suggesties meegeven, die vervolgens kunnen worden gebruikt om de wetgeving te verbeteren. Verwacht wordt dat de internetconsultatie in het eerste kwartaal van 2024 zal plaatsvinden, maar de exacte datum is nog niet bekend.
Communicatie verloopt voornamelijk via www.gegevensuitwisselingindezorg.nl, via de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Daarnaast verloopt de berichtgeving aan de koepelverenigingen en andere samenwerkingsverbanden in de zorgsector via het ministerie van VWS. Zie ook Welke organisaties behoren tot de sector gezondheidszorg en via berichtgeving aan de koepelverenigingen en andere samenwerkingsverbanden in de zorgsector.
Nee, er wordt geen geld beschikbaar gesteld voor individuele organisaties. Wel denkt het ministerie van VWS na over hoe de zorgsector kan worden ondersteund, bijvoorbeeld door het beschikbaar stellen van kennisproducten en hulpmiddelen om te helpen met de implementatie.
De sector gezondheidszorg is breed gedefinieerd in de NIS2. In de NIS2-richtlijn wordt in bijlage 1 namelijk een aantal deelsectoren benoemd die onder de categorie gezondheidszorg vallen. Dit zijn:
- Zorgaanbieders;
- EU-referentielaboratoria;
- Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen;
- Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen;
- Entiteiten die medische hulpmiddelen vervaardigen die in het kader van de noodsituatie op het gebied van de volksgezondheid als kritiek worden beschouwd.
Niet alle entiteiten uit bovenstaande deelsectoren vallen automatisch onder de NIS2. Er wordt een ondergrens gehanteerd van entiteiten die een omvang hebben van ten minste 50 fte en/of ten minste 10 miljoen jaarlijks aan omzet maken. Zie ook de vraag 'Op wie is de NIS2-richtlijn van toepassing?'
De NIS2 kent twee soorten entiteiten waarop de NIS2 van toepassing is; belangrijke entiteiten en essentiële entiteiten.
Belangrijke entiteiten zijn organisaties die in een categorie uit bijlage 1 of 2 van de NIS2 actief zijn en een omvang hebben van meer dan 50 fte en/of 10 miljoen euro jaarlijks aan omzet maken, maar kleiner zijn dan 250 fte omvang en minder dan 50 miljoen euro jaarlijks aan omzet maken. Essentiële entiteiten zijn organisaties die in een categorie uit bijlage 1 van de NIS2 actief zijn en een omvang hebben van meer dan 250 fte en/of 50 miljoen jaarlijks aan omzet maken. Entiteiten die niet automatisch onder de NIS2 vallen, maar wel een essentiële rol vervullen in de maatschappij, kunnen ook direct door het ministerie worden aangewezen als essentiële entiteit.
Hoe en wanneer de omvang en omzet van entiteiten precies wordt bepaald, en hoe er wordt omgegaan met een wisselende omvang of omzet van entiteiten, wordt op dit moment nog uitgewerkt.
Alle bepalingen uit de NIS2 zijn zowel op essentiële als belangrijke entiteiten van toepassing. Het verschil is de manier waarop toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ) wettelijk zal worden georganiseerd. Hoe dit wordt opgenomen in de wet- en regelgeving voor de zorg wordt momenteel uitgewerkt.
De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt al toezicht op informatiebeveiliging in de zorgsector en zal zodra de NIS2 wetgeving van kracht is, ook toezicht gaan houden op de naleving van deze wet.
De NIS2-richtlijn stelt dat bestuurders van een entiteit vallend onder de NIS2 aansprakelijk kunnen worden gesteld als ze niet voldoen aan hun plicht om te zorgen voor de naleving van de richtlijn. Hoe dit artikel wordt opgenomen in nationale wetgeving is op dit moment nog niet bekend.
Ja, de Inspectie Gezondheidszorg en Jeugd kan een geldboete opleggen met een maximumbedrag van 10.000.000 euro of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming, afhankelijk van welk bedrag hoger is. Hoe dit wordt opgenomen in de nationale wetgeving is op dit moment nog niet bekend. Toezicht op de NIS2 voor de zorgsector zal worden uitgevoerd.
De huidige Wbni en de uitwerking van de regels in het Besluit beveiliging netwerk- en informatiesystemen (Bbni) gelden op dit moment nog, maar worden herzien in lijn met de nieuwe verplichtingen die voortkomen uit de NIS2.
De AVG en de NIS2 staan los van elkaar. De AVG komt wel net als de NIS2 voort uit Europese wetgeving, maar richt zich op privacy maatregelen en geeft kaders aan bedrijven en organisaties over het verzamelen, opslaan en beheren van persoonsgegevens. Daarnaast stelt de AVG regels onder welke voorwaarden er met (bijzondere) persoonsgegevens gewerkt mag worden. De NIS2 richt zich op de informatiebeveiliging van bedrijven en organisaties. De wettelijke kaders van de NIS2 moeten voorkomen dat (persoons)gegevens niet in verkeerde handen vallen.
Bij NEN, Stichting Koninklijk Nederlands Normalisatie Instituut, worden nationale normen opgesteld en vastgelegd. De bestaande NEN norm over informatiebeveiliging in de zorg (NEN 7510) biedt een passend normenkader en wordt op dit moment herzien om, onder meer, aan te blijven sluiten op Europese normenkaders op het gebied van informatiebeveiliging.
De NEN 7512 ‘vertrouwensbasis voor gegevensuitwisseling’ en NEN 7513 ‘vastleggen van acties op elektronische patiëntdossiers’ geven uitwerking aan een aantal vereisten uit de NEN 7510.
De NEN7510 is momenteel al verplicht voor zorginstellingen en dekt een aantal verplichtingen van de NIS2 af, maar niet allemaal. Naast het nemen van maatregelen op het gebied van digitale veiligheid (de zorgplicht, waarop de NEN7510 het kader biedt) dienen belangrijke en essentiële entiteiten volgens de NIS2 grootschalige incidenten te melden (meldplicht) en bij ernstige bedreigingen van hun netwerk de ontvangers van hun diensten te informeren over mogelijke gevolgen (informatieplicht). Aanvullend verplicht de NIS2 dat deze organisaties zich registreren in een nog te ontwikkelen register (registratieplicht). Ook benadrukt de NIS2 dat bestuurders van belangrijke en essentiële entiteiten de verantwoordelijkheid dragen als het gaat om informatiebeveiliging.
Voor een overzicht van de vereisten uit de NIS2 ten opzichte van de NEN 7510 1/2 zie tabel.
beleid inzake risicoanalyse en beveiliging van informatiesystemen | 7510-1 6.1 Maatregelen om risico's te beperken en kansen te benutten 7510-1 8.2 Risicobeoordeling van informatiebeveiliging |
incidentenbehandeling | 7510-2 16 Beheer van informatiebeveiligingsincidenten |
bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer | 7510-2 12.3 Back-up - volledig 7510-2 16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen - gedeeltelijke dekking van crisis- en continuïteitsbeheer 7510-2 17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer - gedeeltelijke dekking crisis- en continuïteitsbeheer 7510-2 12.1.2 Wijzigingsbeheer - gedeeltelijke dekking crisis- en continuïteitsbeheer |
de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners | 7510-2 14.2.7 Uitbestede softwareontwikkeling 7510-2 15.1.3 Toeleveringsketen van informatie- en communicatietechnologie |
beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden | 7510-2 14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen 7510-2 12.6 Beheer van technische kwetsbaarheden |
beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen | 7510-1 6.1 Maatregelen om risico's te beperken en kansen te benutten |
basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging | 7510-2 bevat legio maatregelen, een groot deel waarvan als basispraktijken zouden kunnen worden bestempeld |
beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie | 7510-2 10 Cryptografie |
beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa | 7510-2 7 Veilig personeel 7510-2 8 Beheer van bedrijfsmiddelen 7510-2 9 Toegangsbeveiliging |
wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit | 7510-2 9.4.1 Beperking toegang tot informatie (MFA) 7510-2 9 Toegangsbeveiliging Het tweede gedeelte (spraak, video, tekst) wordt niet in zoveel specifieke woorden gecovered in de 7510. Een deel kan je nog zien onder: 7510-2 15.1.3 Toeleveringsketen van informatie- en communicatietechnologie |
Entiteiten moeten incidenten op meerdere plekken melden, omdat een incident verschillende aspecten kan hebben. Afhankelijk van de aard van het incident, moet er melding worden gemaakt bij de Inspectie Gezondheidszorg en Jeugd, het Computer Security Incident Response Team (CSIRT) en/of de Autoriteit Persoonsgegevens. Op dit moment wordt uitgewerkt hoe het maken van een melding bij meerdere instanties kan worden vereenvoudigd, bijvoorbeeld door het gebruik van een algemeen meldloket.
Een Computer Security Incident Response Team is een gespecialiseerd team van ICT-professionals, dat in staat is snel te handelen in het geval van een beveiligingsincident met computers of netwerken. Op dit moment vervult stichting Z-CERT voor een deel van de zorgsector deze rol.
De toekomstige NIS2 wetgeving stelt een security functionaris niet verplicht. Een functionaris die zich voornamelijk of uitsluitend richt op informatiebeveiliging binnen het bedrijf kan wel helpen om de regelgeving die voortvloeit uit de NIS2 beter te implementeren en na te leven.
CER-richtlijn
De Critical Entities Resilience richtlijn (CER) richt zich op het vergroten van de fysieke weerbaarheid van organisaties en instellingen (de richtlijn spreekt van entiteiten) in onder meer de zorgsector. Het is een richtlijn die door de Europese Unie is opgesteld en in nationale wetgeving moet worden omgezet. Een verhoogde weerbaarheid zorgt ervoor dat de dienstverlening minder snel wordt verstoord.
Entiteiten waarop de richtlijn van toepassing is, moeten zorgen dat zij hun fysieke weerbaarheid op orde hebben en houden (dit wordt in de wetgeving zorgplicht genoemd) en dat zij incidenten die de levering van de essentiële diensten aanzienlijk verstoren of kunnen verstoren melden bij de bevoegde autoriteit (meldplicht). Het ministerie van VWS zal entiteiten aanwijzen die onder de CER komen te vallen voor de sector gezondheidszorg.
Op 16 januari 2023 is de CER-richtlijn in werking getreden. Nederland en de andere lidstaten hebben een implementatietermijn van 21 maanden om de richtlijn om te zetten in nationale wetgeving.
Op 17 oktober 2024 dient de CER in nationale wetgeving te zijn omgezet. Het ministerie van VWS heeft tot uiterlijk 17 juli 2026 om entiteiten in de zorgsector aan te wijzen waarop de CER van toepassing is. Aangewezen entiteiten hebben na het moment van aanwijzing 10 maanden om aan de verplichtingen uit de wet te voldoen.
Ja, de conceptwetgeving wordt door het ministerie van Justitie en Veiligheid gepubliceerd op www.internetconsultatie.nl. Hier kan iedereen opmerkingen en suggesties meegeven, die vervolgens kunnen worden gebruikt om de wetgeving te verbeteren. Verwacht wordt dat de internetconsultatie eind 2023 zal plaatsvinden, maar de exacte datum is nog niet bekend.
Communicatie verloopt voornamelijk via www.gegevensuitwisselingindezorg.nl, via de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en via berichtgeving aan de koepelverenigingen en andere samenwerkingsverbanden in de zorgsector. Op dit moment wordt nog uitgewerkt op welke entiteiten de wet van toepassing wordt. De entiteiten waarop de CER van toepassing wordt, worden hier per brief van op de hoogte gesteld door het ministerie van VWS. Dit zal naar verwachting eind 2024 gebeuren.
Nee, er wordt geen geld beschikbaar gesteld voor individuele organisaties. Wel denkt het ministerie van VWS na over hoe de zorgsector kan worden ondersteund, bijvoorbeeld door het beschikbaar stellen van kennisproducten en hulpmiddelen om te helpen met de implementatie.
De sector gezondheidszorg is breed gedefinieerd in de CER. In de CER-richtlijn worden in bijlage 1 de deelsectoren benoemd die onder de categorie gezondheidszorg vallen. Dit zijn:
- Zorgaanbieders;
- EU-referentielaboratoria;
- Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen;
- Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen;
- Entiteiten die medische hulpmiddelen vervaardigen die in het kader van de noodsituatie op het gebied van de volksgezondheid als kritiek worden beschouwd.
Op dit moment wordt nog uitgewerkt welke entiteiten onder deze deelsectoren zouden moeten worden aangewezen
De Inspectie Gezondheidszorg en Jeugd (IGJ) zal toezicht houden op naleving van de CER wetgeving bij entiteiten die vallen onder de zorgsector en waarop de CER van toepassing wordt.
De CER-richtlijn biedt de ruimte om gebruik te maken van nationaal recht om bestuurders van entiteiten (die door het ministerie van VWS zijn aangewezen in het kader van de CER) aansprakelijk te stellen. Hoe dit wordt opgenomen in nationale wetgeving is op dit moment nog niet bekend.
Volgens de CER-richtlijn dient Nederland voorschriften vast te stellen ten aanzien van het opleggen van sancties. Hoe dit wordt opgenomen in de nationale wetgeving is op dit moment nog niet bekend. Toezicht op de CER voor de zorgsector zal worden uitgevoerd door de Inspectie Gezondheidszorg en Jeugd.
Kritieke entiteiten zijn publieke of private organisaties en instellingen die onder de CER vallen. De CER wordt op dit moment omgezet in nationale wetgeving. Na publicatie van de wet wijzen ministeries de kritieke entiteiten voor hun sector aan. Het ministerie van Volksgezondheid, Welzijn en Sport zal dit doen voor de zorgsector.
Er zijn wettelijke criteria opgenomen in de CER om entiteiten aan te wijzen, dit zijn de algemene criteria die gaan gelden voor Nederland. Op basis van deze criteria werkt het ministerie van VWS meer specifieke criteria uit voor de zorgsector. Momenteel wordt bijvoorbeeld gedacht aan criteria om entiteiten in de zorg aan te wijzen met een unieke functie of voorziening in de zorg in Nederland. Mogelijk wordt er ook gekeken naar de spreiding van voorzieningen over het land. Zie hier voor een uitgebreide tijdlijn.
Weerbaarheid is het vermogen om een incident te voorkomen, te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op of, zich aan te passen aan en te herstellen van een incident. Het gaat daarbij om de bescherming ten aanzien van alle risico’s, dat wil zeggen zowel natuurrampen als rampen die, onbedoeld of opzettelijk, door de mens veroorzaakt worden. Je kunt hierbij bijvoorbeeld denken aan ongevallen, overstromingen, noodsituaties op het gebied van de volksgezondheid zoals een pandemie, terroristische misdrijven, criminele infiltratie of sabotage.
Zorgaanbieders die zijn aangewezen door het ministerie van VWS als kritieke entiteit, moeten maatregelen nemen om de fysieke weerbaarheid te borgen (zorgplicht) en om incidenten die de levering van de vitale diensten aanzienlijk verstoren of kunnen verstoren te melden (meldplicht). Hiermee wordt de continuïteit van belangrijke processen in de zorgsector gewaarborgd. Kritieke entiteiten worden ook beschouwd als "essentiële entiteit" volgens de NIS2-richtlijn en moeten dus, naast de CER-wetgeving, ook voldoen aan de NIS2-wetgeving.
Nee, dit is niet de insteek van de wet. Wel wordt de lijst van kritieke entiteiten regelmatig en minstens vierjaarlijks geëvalueerd en geactualiseerd.