Hoe groter het belang van digitalisering voor onze samenleving wordt, hoe steviger ook de wet- en regelgeving erover. Zeker in de zorgsector, waar storingen en hacks levensbedreigend en zelfs ontwrichtend voor de maatschappij kunnen zijn, wil de overheid de digitale weerbaarheid omhoog brengen. En daarom groeit de regeldruk vanuit Den Haag en Brussel, met NIS2 in de hoofdrol.
Je hoort het overal in de zorgsector gonzen: NIS2, moeten wij daar iets mee? In het kort: ja, die kans is groot. Maar eerst even wat NIS2 precies is. NIS staat voor Network and Information Security, de 2 voor het feit dat NIS2 de opvolger van de bestaande NIS is. Deze Europese richtlijn voor cybersecurity en bescherming van kwetsbare ICT-systemen is in Nederland verankerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Vanaf 2024 gaat NIS2 in en wordt dan in ons land – naar verwachting – verwerkt in een vernieuwde Wbni. We loodsen je in de 5 belangrijkste vragen door de impact van NIS2 op je zorgorganisatie.
Vraag 1: Vallen wij onder NIS2?
Wat NIS2 zo anders maakt dan de huidige NIS is dat het voor veel meer organisaties gaat gelden, in meer sectoren. Van energie tot vervoer, van water tot – jawel – de zorg. Als je zorgorganisatie ‘belangrijk’ is voor de maatschappij – en dat ben je vanaf 50 werknemers of een jaaromzet van 10 miljoen euro – dan moeten jullie je vanaf volgend jaar ook aan NIS2 gaan houden. Voor ‘essentiële’ zorgorganisaties – met meer dan 250 medewerkers, een omzet van meer dan 50 miljoen euro of een balanstotaal van meer dan 43 miljoen euro – komen daar nog extra voorwaarden en regels bovenop. En ook andere organisaties, zoals ketenpartners, krijgen met NIS2 te maken. Mocht je twijfelen of je aan NIS2 moet voldoen: de officiële documentatie bij de richtlijn geeft per sector, dus ook voor de zorg, een uitgebreide beschrijving van organisaties en bedrijfsactiviteiten.
Vraag 2: Waar moeten wij als zorgorganisatie rekening mee houden?
Ben je als zorgorganisatie ‘essentieel’, dan kun je straks proactieve en steekproefsgewijze controles verwachten. Dat betekent dat je ieder moment, zonder enige aanleiding, moet kunnen aantonen dat je aan NIS2 voldoet. Voor ‘belangrijke’ zorgorganisaties gelden de proactieve controles niet. Zij hoeven pas aan te tonen dat ze aan NIS2 voldoen wanneer daar een duidelijke aanleiding voor is, zoals een ernstig cyberincident.
Vraag 3: Wat gebeurt er als we bij zo’n controle niét aan NIS2 voldoen?
Dan kan je toezichthouder je een boete geven. Als lidstaat mag Nederland zelf de hoogte van die boete te bepalen, als het maar ‘passend bij de aard en ernst van de nalatigheid’ is. Voor essentiële organisaties noemt Brussel minimaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, voor belangrijke organisaties minimaal 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Een opvallende toevoeging is daarnaast dat álle bestuurders persoonlijk verantwoordelijk en hoofdelijk aansprakelijk zijn. Niemand kan zich verschuilen achter de beslissingen of nalatigheid van een ander – een incident raakt de héle boardroom.
Vraag 4: Aan welke verplichtingen moeten we volgens NIS2 voldoen?
NIS2 bestaat uit 2 belangrijke verplichtingen: een zorg- en een meldplicht. De zorgplicht houdt in dat je alle benodigde securitymaatregelen moet nemen om de digitale veiligheid en de continuïteit van de dienstverlening te waarborgen. De richtlijn schrijft overigens niet voor welke technologie of oplossingen je precies moet gebruiken. Er staat alleen dat je ‘passende en evenredige technische, operationele en organisatorische maatregelen’ moet nemen, ‘rekening houdend met de stand van de techniek’. De tweede verplichting, de meldplicht, is nieuw in NIS2. Heb je te maken met een verstoring in de digitale dienstverlening, dan ben je verplicht deze binnen 24 uur of 72 uur, afhankelijk van de ernst van het incident, te rapporteren bij de betreffende autoriteit of toezichthouder – in Nederland het Nationaal Cybersecuritycentrum (NCSC). Deze meldplicht is vergelijkbaar met die in de Algemene verordening gegevensbescherming (AVG).
Vraag 5: Waar kan ik het beste mee beginnen?
Belangrijk is allereerst de samenwerking te zoeken met de juiste securityaanbieders. Meer over deze en andere maatregelen lees je in ons blog over de 3 belangrijkste securitymaatregelen, specifiek voor zorgorganisaties. Natuurlijk kun je ook veel zelf doen. Zo vind je in ons eBook over NIS2 niet alleen veel uitleg over NIS2, maar ook een praktisch stappenplan. Hoe je bijvoorbeeld de risicoanalyse start en dreigingen in kaart brengt.
NIS2: een pragmatisch eBook voor compliance in de zorg
Wat zijn de kernprincipes van NIS2 en is NIS2 voor jouw organisatie van toepassing? Je leest het allemaal in het eBook.
DownloadVeiligheid is meer dan aan regels voldoen
Met een ervaren securityaanbieder – zoals KPN Security – vertrouw je op veel kennis en expertise over passende veiligheidsmaatregelen. Ook kunnen wij je helpen bij ISO-normeringen en NEN-certificeringen, waarmee je aantoonbaar voldoet aan meer dan alleen NIS2. Zo is er bijvoorbeeld ook nog de Wet elektronische gegevensuitwisseling in de zorg, de Wegiz, waar je sinds kort aan moet voldoen. Overigens betekent voldoen aan wet- en regelgeving niet automatisch dat je veilig bent. Wetten zijn nuttige meetinstrumenten, maar wil je echt veilig zijn, dan zou je uitgangspunt je eigen organisatie moeten zijn. Met KPN Security zorgen wij ervoor dat je veilig bent, en daarmee ook aan wet- en regelgeving voldoet.
Maak een afspraak
Wil je weten hoe je als zorgorganisatie veilig verder digitaliseert? Ontdek meer over onze securitydiensten die je veiligheid waarborgen, zoals de extra beveiligde bericht- en opslagdiensten – ontworpen voor mensen in de zorgsector. Deze en andere diensten houden je persoonlijke informatie en gegevens veilig en goed beschermd. Maak nu een afspraak.
Alles over security in de Cyber Security Perspectives
Lees de nieuwste inzichten, recente cases en gesprekken met experts – ook uit de zorg, zoals CISO Joost Boele van het Antoni van Leeuwenhoek. Download de Cyber Security Perspectives en ontdek hoe we de samenleving veiliger maken.
