Tijdens de themabijeenkomst over de NIS2-richtlijn, georganiseerd door ICTRecht en Sigra, stond één vraag centraal: hoe kunnen zorgorganisaties zich voorbereiden op de toenemende eisen rondom digitale veiligheid? Met de NIS2 op komst wordt cybersecurity een cruciaal onderdeel van verantwoord bestuur, en dat vraagt om actie.
Sprekers van VWS, IGJ, Z-CERT en ICTRecht doken samen met de experts uit de zorgsector in de belangrijkste verplichtingen en praktische tips om compliant te blijven in deze digitale transformatie. In deze blog delen we de vijf belangrijkste takeaways van deze middag!
1. De urgentie van NIS2
Birte van Elk van het ministerie van VWS benadrukte dat de NIS2-richtlijn die wordt omgezet in de Cyberbeveiligingswet een aantal nieuwe verplichtingen zal introduceren voor de zorgsector. De NIS2-richtlijn is gericht op de digitale weerbaarheid van kritieke sectoren, waaronder ook de zorg. Deze wet treedt naar verwachting in het derde of vierde kwartaal van 2025 in werking zonder overgangsperiode. Dit betekent dat zorginstellingen onmiddellijk aan de nieuwe eisen moeten voldoen, waaronder de zorgplicht, registratieplicht en meldplicht. Birte spoorde bestuurders aan om nu al actie te ondernemen en niet te wachten tot de wetgeving daadwerkelijk van kracht is.
Zorginstellingen moeten nu beginnen met het inventariseren van hun huidige cyberweerbaarheid op basis van de NEN 7510 en voorbereidingen treffen voor de zorgplicht, registratieplicht en meldplicht die Cyberbeveiligingswet met zich meebrengt. Let op: zorg als organisatie ook voor de continuïteit van contactpersonen, ook buiten kantoortijden! Dit in verband met de 24-uurs meldplicht bij incidenten.
2. Een risicogebaseerde aanpak vereist proactief handelen
Tessa van Schijndel van ICTRecht ging in op de Digital Decade en de rol van bestuurders bij het waarborgen van digitale veiligheid en compliance. Europa wil wereldwijd vooroplopen in digitale innovatie. Cybersecurity is daarin essentieel. De wetgeving introduceert een risicogebaseerde aanpak, waarbij organisaties zelf verantwoordelijk zijn voor het identificeren en aanpakken van de risico’s die voor hen relevant zijn. Dit biedt flexibiliteit maar vraagt ook om daadkracht van organisaties. Het advies aan bestuurders is om deze risico's in kaart te brengen en actief te werken aan de implementatie van maatregelen.
Zorginstellingen moeten niet alleen hun interne processen op orde hebben, maar ook nadenken over de ketenverantwoordelijkheid. Hoe gaan we om met toeleveranciers? Voldoen zij bijvoorbeeld aan NEN7510? Wat doen we als kleinere leveranciers tijdens het weekend getroffen worden door een hack of ander incident? Hoe waarborgen we de 24/7 beschikbaarheid van diensten?
3. NEN7510 is een goed startpunt
Jaco van Duivenboden van de Inspectie Gezondheidszorg en Jeugd (IGJ) lichtte de toezichthoudende rol van IGJ toe in het kader van NIS2. Hij maakte duidelijk dat de inspectie nu al zorgaanbieders die niet aantoonbaar werk maken van informatiebeveiliging daarop aanspreken. Als zorginstellingen onvoldoende stappen zetten om aan de NEN 7510 en de zorgplicht onder NIS 2 te voldoen, kan de inspectie handhaven. Ook de IGJ roept bestuurders op nu al actie te ondernemen: het voldoen aan NEN 7510 is daarvoor een belangrijke stap.
4. Z-CERT als de digitale brandweer voor de zorg
Onno Theuvenet van Z-CERT legde de rol van Z-CERT als sectoraal Cyber Security Incident Response Team (CSIRT) uit. Z-CERT wordt de "digitale brandweer" voor zorginstellingen, die ondersteuning biedt bij het afhandelen van cyberincidenten. Z-CERT speelt onder NIS2 een cruciale rol bij het beschermen van zorginstellingen tegen cyberdreigingen. Onno benadrukte dat zorginstellingen bij Z-CERT terecht kunnen voor advies en begeleiding bij incidentrespons en het verbeteren van hun cybersecurity. De samenwerking met Z-CERT biedt zorginstellingen een belangrijke steunpilaar in hun inspanningen om weerbaarder te worden tegen cyberaanvallen.
5. Live simulatie: Wat te doen bij een ransomware-aanval?
Kors Monster en Thijs Pas van ICTRecht sloten de middag af met een live simulatie van een ransomware-aanval. Dit was een eyeopener voor veel bestuurders. Hoewel veel zorginstellingen denken dat ze goed voorbereid zijn, bleek tijdens de simulatie dat er vaak onduidelijkheid bestaat over de precieze stappen die moeten worden genomen bij een aanval. Weten hoe je reactief handelt op een aanval is in deze tijd minstens zo belangrijk als het proberen te voorkomen van datalekken.
Hoe ga je met NIS2 aan de slag?
- Start met een gap-analyse: Kijk welke maatregelen je al hebt genomen en waar nog hiaten zitten in je beveiliging. Gebruik normen zoals de NEN7510 als uitgangspunt om te beoordelen waar je organisatie nu staat en wat er nog nodig is om compliant te zijn met NIS2. Dit geeft je een goed startpunt om te beoordelen hoe je organisatie er nu voorstaat.
- Voer een risicoanalyse uit: Breng in kaart welke risico's er spelen voor jouw organisatie op het gebied van cyberbeveiliging.
- Maak een implementatieplan: Zorg dat je een concreet plan hebt voor het implementeren van de benodigde maatregelen. Stel prioriteiten op basis van de risico's die voor jouw organisatie het grootst zijn.
- Betrek de juiste partners: Werk samen met experts om je cyberweerbaarheid te vergroten en je voor te bereiden op nieuwe wet- en regelgeving. Zorg ervoor dat je niet alleen reactief, maar ook proactief werkt aan je beveiliging.
- Train je personeel: Zorg dat alle lagen binnen de organisatie op de hoogte zijn van de nieuwe verplichtingen en weten wat te doen in geval van een cyberincident. Een effectief middel hiervoor is het leer-werktraject van Sigra of de Certified Cybersecurity Compliance Officer (CCCO®) opleiding van ICTRecht.
Beide opleidingen combineren training en praktijkervaring om de digitale weerbaarheid te versterken. De opleiding van Sigra richt zich specifiek op het verbeteren van de operationele cyberveiligheid binnen de zorg. De CCCO opleiding van ICTRecht legt de nadruk op juridische en technische kennis met betrekking tot cybersecurity en compliance, met een sterke focus op het naleven van wet- en regelgeving, zoals de NIS2.
