NIS2 komt er nog steeds aan! Dit is Europese regelgeving om de cyberweerbaarheid van lidstaten en organisaties te vergroten. Meer weten over de criteria en verplichtingen van de NIS2? Download dan onze cheatsheet hier. We zijn nog steeds in afwachting van de nationale wetgeving en dit is een kans voor zorgorganisaties om nu juist aan de slag te gaan met het implementeren van de NIS2 waar dat kan. De NIS2 geeft aan dat bestuursorganen verantwoordelijk zijn voor het goedkeuren en toezien op de uitvoering van maatregelen om aan de zorgplicht uit de NIS2 te voldoen. Op het moment dat er inbreuk gemaakt wordt op de zorgplicht dan kan mogelijk het bestuursorgaan aansprakelijk gesteld worden. Maar wat is nu de rol van de bestuurder in informatiebeveiliging? Een bestuurder kan tenslotte niet alles weten. Deze blog zal dat verder uitdiepen.
Het is de rol van de bestuurder om betrokken te zijn bij het ontwikkelen van een strategie voor informatiebeveiliging die past bij de doelstellingen en het risicoprofiel van de organisatie. Daarnaast nemen bestuurders onder andere strategische beslissingen over investeringen in beveiligingsmaatregelen, technologieën en personeel.
Het is belangrijk dat het bestuur een cultuur creëert waarin het belang van informatiebeveiliging voor de organisatie duidelijk is en die medewerkers aanmoedigt om het informatiebeveiligingsbeleid te volgen.
Vaak is informatiebeveiliging niet de expertise van een bestuurder in een zorgorganisatie. Het wordt ook niet verwacht dat een bestuurder ineens een technische expert wordt, maar wel dat deze voldoende kennis heeft over informatiebeveiliging om constructieve discussies te hebben met key staff zodat je zeker weet dat risico’s met betrekking tot informatiebeveiliging op de juiste manier gemanaged worden.
De NIS2 verplicht dat bestuurders een cyberopleiding gaan volgen. Hoe deze er precies uit moet komen te zien is nog niet duidelijk, dit moet nog verder uitgewerkt worden in de nationale wet. We weten al wel dat in deze opleiding onder andere de volgende onderwerpen aan bod moeten komen: de basisbeginselen van informatiebeveiliging, welke dreigingen er zijn en waarom informatiebeveiliging belangrijk is.
Om te weten welke maatregelen jouw organisatie moet nemen of waar de prioriteit moet komen, moet je begrijpen welke risico’s jouw organisatie loopt. En om te begrijpen waarom de organisatie die risico’s loopt moet je begrijpen hoe het dreigingslandschap op het gebied van informatiebeveiliging eruitziet.
Onlangs heeft het Z-Cert het Cybersecurity Dreigingsbeeld voor de zorg 2023 gepubliceerd. Hierin komt naar voren dat ransomware, hacking, spionage, financiële fraude, DDoS-aanvallen, phishing en ransomware en DDoS aanvallen bij de leverancier nog steeds reële dreigingen voor zorgorganisaties zijn. Het is daarom belangrijk te begrijpen welke dreigingen het meest reëel zijn voor de organisatie.
Wanneer je weet wat het dreigingslandschap is kan je beter begrijpen waar de kwetsbaarheden voor de organisatie zitten, wat de impact zal zijn wanneer een aanval plaatsvindt en kunnen er maatregelen genomen worden. De NIS2 gaat ook uit van het nemen van maatregelen op basis van de risico’s die een organisatie loopt door het uitvoeren van een risicoanalyse.
Met een risicoanalyse identificeer je verschillende risico’s op basis van kans * impact. Het is de verantwoordelijkheid van de bestuurder om te bepalen welke risico’s binnen de risk appetite (wat valt binnen de acceptatiecriteria van de organisatie) vallen en welke risico’s gemitigeerd moeten worden. Het is vervolgens belangrijk dat de bestuurder erop toeziet dat deze maatregelen ook uitgevoerd worden.
Om meer te weten over welke maatregelen passend zijn voor bepaalde risico’s voor informatiebeveiliging zou je al kunnen beginnen met het stellen van de juiste vragen aan bijvoorbeeld de Information Security Officer of de IT Manager. Voorbeelden van vragen die je zou kunnen stellen zijn:
Als bestuurder is het dus belangrijk om basiskennis te hebben van informatiebeveiliging, om te weten met welke dreigingen jouw organisatie te maken heeft en welke impact dit kan hebben en de juiste vragen te stellen.
Meer weten over de NIS2? Bezoek onze presentatie tijdens de Zorg & ICT Beurs op 10 april. Onze presentatie heeft tot doel de NIS2 te ontrafelen. We belichten niet alleen de verplichtingen vanuit de NIS2, maar ook praktische inzichten over hoe je jouw organisatie cyberweerbaar(der) kunt maken.
Wij bieden ook een inhouse training over de NIS2 aan en hoe jouw organisatie hier mee om kan gaan. Op deze manier borg je kennis direct in de organisatie.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.