Om vitale sectoren zoals de zorg beter te beschermen tegen cyberaanvallen, nam de Europese Unie in 2022 de Network and Information Security Directive (NIS2-richtlijn) aan. Die richtlijn wordt nu in Nederland omgezet in de Cyberbeveiligingswet (Cbw). Welke instellingen en bedrijven uit de zorgsector vallen onder de Cyberbeveiligingswet? En welke rechten en plichten horen daarbij – voor die organisaties en hun bestuurders?

Reikwijdte van de wet

De Cyberbeveiligingswet is van toepassing op verschillende categorieën organisaties die cruciaal zijn voor het functioneren van de zorg, zoals:

• Zorgaanbieders: zoals ziekenhuizen, huisartsenpraktijken, ggz‑instellingen en verpleeghuizen.
• EU‑referentielaboratoria: dit zijn laboratoria die zijn aangewezen door de EU als een refentielab voor de zorg.
• Organisaties voor onderzoek en ontwikkeling van geneesmiddelen: onderzoeksbedrijven die klinische studies doen naar geneesmiddelen voor gebruik bij mensen.
• Fabrikanten van farmaceutische basisproducten en bereidingen:variërend van vaccins tot infuusvloeistoffen.
• Fabrikanten van medische hulpmiddelen: van implantaten tot geavanceerde beeldvormingsapparatuur.

De size cap

Niet alle organisaties die binnen deze categorieën vallen, moeten aan de bepalingen uit de wet voldoen. Dat geldt alleen voor organisaties van een bepaalde omvang en jaaromzet.

De organisatie moet ten minste 50 fte in dienst hebben, of een jaaromzet hebbenvan meer dan 10 miljoen euro én een balanstotaal van meer dan 10 miljoen euro. Voldoet een organisatie aan deze zogenoemde size cap, dan wordt ze – afhankelijk van de omvang – geclassificeerd als belangrijke of essentiële entiteit.

Speciale categorieën en aanwijzingen

In een aantal gevallen bepaalt de grootte en omvang van een instelling of bedrijf niet of die onder de Cbw valt:

• Fabrikanten van medische hulpmiddelen worden altijd als belangrijke entiteit aangemerkt en niet als een essentiële entiteit, ongeacht hun grootte.
• Organisaties die door VWS zijn aangewezen als kritieke entiteit onder de Wet weerbaarheid kritieke entiteiten, worden ook als essentiële entiteit beschouwd onder de Cbw.

Belangrijk of essentieel: wat is het verschil?

De bepalingen uit de Cyberbeveiligingswet gelden zowel voor belangrijke als essentiële entiteiten. Het verschil zit in de manier waarop de Inspectie Gezondheidszorg en Jeugd toezicht houdt op de naleving van de verplichtingen. Voor belangrijke entiteiten vindt het toezicht plaats ná een incident of bij een vermoeden van een overtreding, bijvoorbeeld dat de zorgplicht niet wordt nageleefd. Essentiële entiteiten worden proactief gecontroleerd, dus zowel vóór als ná incidenten. Zo waarborgt IGJ dat deze organisaties hun cyberbeveiliging altijd op orde hebben en op tijd maatregelen nemen om incidenten te voorkomen.

Over welke verplichtingen hebben we het?

Of een entiteit nu als belangrijk of als essentieel is aangemerkt, de verplichtingen zijn hetzelfde:

• Zorgplicht:Organisaties moeten hun informatiebeveiliging op orde hebben. Dat betekent dat ze een risicobeoordeling moeten doen en op basis daarvan passende maatregelen moeten nemen om digitale risico’s te beperken en incidenten te voorkomen.
• Registratieplicht: Organisaties moeten zich registreren in het NCSC-registratieportaal en hun gegevens in dat portaal actueel houden.
• Meldplicht: Significante incidenten moeten binnen 24 uur worden gemeld. Daarbij wordt gekeken naar factoren zoals het aantal getroffen personen, de duur van de verstoring en mogelijke financiële schade.
• Informatieplicht: Betrokkenen (zoals patiënten) moeten geïnformeerd worden over de gevolgen van een significant incident én over de maatregelen die zij zelf kunnen nemen.

NEN7510 als basis

Veel zorgaanbieders moeten wettelijk al voldoen aan NEN7510, de Nederlandse norm voor informatiebeveiliging in de zorg. Daarnaast werken farmaceuten en fabrikanten met ISO27001, een internationale norm voor het opzetten en onderhouden van een informatiebeveiligings­managementsysteem. Aan deze normen voldoen betekent dat instellingen en organisaties uit de zorg al goed op weg zijn.

Ketenverantwoordelijkheid

De zorgplicht onder de Cyberbeveiligingswet houdt in dat organisaties verantwoordelijk zijn voor de toetsing van de cyberveiligheid van hun rechtstreekse ICT‑leveranciers en -dienstverleners. Organisaties moeten zelf de mogelijke ICT-risico’s in kaart brengen en nagaan of hun toeleveranciers de netwerk- en informatiebeveiliging op orde hebben.

Van CISO-dossier naar bestuursagenda

De Cyberbeveiligingswet regelt dat de eindverantwoordelijkheid voor de netwerk- en informatiebeveiliging van organisaties expliciet bij de bestuurders en de raden van bestuur komt te liggen. Verder verplicht de wet bestuurders om een training te volgen waarin ze leren beveiligingsrisico’s te herkennen, hun rollen en verantwoordelijkheden hierin te begrijpen en inzicht te krijgen in de juridische gevolgen van onvoldoende naleving. Die training moet binnen twee jaar na inwerkingtreding van de wet worden afgerond.

En hoe zit het met die rechten?

De verplichtingen uit de NIS2‑richtlijn gelden pas na implementatie in nationale wetgeving. Maar de rechten hebben directe werking en gelden al sinds 17 oktober 2024, de datum waarop de implementatie eigenlijk afgerond had moeten zijn. Dat betekent dat organisaties bij een cyberincident nu al ondersteuning kunnen krijgen van een Computer Security Incident Response Team (CSIRT). Voor de zorgsector is dat Z‑CERT.

Incident response houdt in dat Z‑CERT snel reageert op beveiligingsincidenten, zoals een cyberaanval of datalek. Z-CERT helpt zorgorganisaties die onder de Cyberbeveiligingswet vallen bij het onderzoeken van het incident, het beperken van de schade en het herstellen van systemen.

Meer weten over Z‑CERT en hun rol bij cyberincidenten in de zorg? Lees het interview met Wim Hafkamp, directeur van Z‑CERT.