‘Er is nog geen reden voor paniek, maar de dreiging van grote cyberaanvallen en datalekken neemt toe,’ zegt Floor. ‘En sinds deze zomer weten we allemaal dat het niet bij dreiging blijft. De wereldwijde onrust – van de oorlogen in Oekraïne en Gaza tot onze veranderende relatie met Amerika – toont dat we zelf onze zaken rondom digitale weerbaarheid op orde moeten hebben.’

Zeker ook in de zorgsector is de dreiging reëel, vervolgt Floor. ‘Want er worden daar steeds meer gegevens gecreëerd en uitgewisseld - nationaal én internationaal. En specifiek Nederland is een gegevensrijk doelwit. Dat maakt digitale weerbaarheid cruciaal voor de continuïteit en kwaliteit van zorg.’

Meer dan techniek

Floor is blij dat digitale weerbaarheid tegenwoordig hoog op de agenda staat bij zowel politici als bij zorgbestuurders. Tegelijk benadrukt hij dat digitale weerbaarheid meer is dan cybersecurity en technische infrastructuur. ‘Het vraagt ook om investeringen in bewustwording, processen en gedrag. Want digitale weerbaarheid gaat ook over preventie en over hoe je als organisatie een cyberaanval snel te boven komt.’ VWS werkt daarom gericht aan het vergroten van dat bewustzijn bij iedereen in de sector, bijvoorbeeld via webinars en werkbezoeken.

Zorg inbegrepen in NIS2

Om organisaties te helpen hun digitale weerbaarheid planmatig op orde te krijgen en houden is er onder andere de Europese Network and Information Security Directive (NIS2). Deze richtlijn moet de cyberbeveiliging en -weerbaarheid van vitale sectoren in EU-lidstaten verbeteren, en richt zich op risico's die netwerk- en informatiesystemen bedreigen.

Floor: ‘Onder NIS1 mochten lidstaten zelf bepalen of ze de zorg hierin meenamen - en Nederland deed dat niet. Gelukkig valt de zorg wel onder de reikwijdte van NIS2. Terecht ook, gelet op de rol van digitale systemen, data en gegevensuitwisseling in de zorg.’

VWS vult wetgeving in voor de zorg

De coördinatie van de Cyberbeveiligingswet en het Cyberbeveiligings­besluit ligt bij het ministerie van Justitie en Veiligheid. De vakdepartementen (zoals VWS) zorgen voor de sectorafhankelijke inhoudelijke invulling. Floor: ‘Zo helpt VWS zorgorganisaties met praktische ondersteuning en duidelijke informatie zodat ze op tijd aan de nieuwe verplichtingen kunnen voldoen. En in nauwe consultatie met het zorgveld bereiden we een ministeriële regeling voor, met sectorspecifieke regels voor de zorg.’

Bestuurders hoofdelijk aansprakelijk

Nieuw aan de Cyberbeveiligingswet, is dat bestuurders van bepaalde, grotere zorgorganisaties hoofdelijk aansprakelijk kunnen worden gesteld voor beslissingen over netwerk- en informatiebeveiliging. En dat ze voldoende kennis moeten hebben om weloverwogen keuzes hierover te maken. Floor: ‘Dat is echt een doorbraak. Hoewel digitale weerbaarheid natuurlijk eigenlijk allang structureel in de bestuurskamers thuishoort.’

Herziene versie NEN7510

Ook belangrijk voor het op orde brengen van de digitale weerbaarheid is NEN7510, de nationale wettelijke norm voor informatiebeveiliging in de zorg. Begin dit jaar overhandigde NEN aan VWS een eerste exemplaar van een herziene versie, die beter aansluit op nieuwe dreigingen, technologische ontwikkelingen en wetgeving.

‘Die herziene norm is een goede basis voor zorgorganisaties om te voldoen aan de eisen van de Cyberbeveiligingswet, zegt Floor, ‘maar om dat doel te bereiken zijn extra stappen nodig. De governancestructuur van organisaties moet bijvoorbeeld glashelder zijn. Incidentmeldingen moeten worden geformaliseerd. En zorgbestuurders moeten zorgen dat ze jaarlijks getraind worden rondom digitale weerbaarheid en cybersecurity.’

Versnelling nodig voor kleinere organisaties

De Inspectie Gezondheidszorg en Jeugd monitort de naleving van NEN7510. In 2022 constateerde de IGJ dat het merendeel van de ziekenhuizen niet aan de norm voldeed. Na meerdere rondes waren de meeste ziekenhuizen in het najaar van 2023 alsnog op niveau. Inmiddels zijn ook andere sectoren aan de beurt, zoals de gehandicaptenzorg en ouderenzorg. Een plan om ook kleine en middelgrote zorgaanbieders mee te krijgen is in de maak.

Floor: ‘De eerste resultaten laten zien dat die kleinere zorgaanbieders nog niet voldoende paraat zijn. Dat is ook niet gek. Zelfs bij grote ziekenhuizen, met de nodige kennis, was de cyberveiligheid aanvankelijk niet op orde. Laat staan bij kleine organisaties, waar het vaak een neventaak is van de applicatiebeheerder. Daarom moeten we nú zorgen dat ook daar het cyberbewustzijn groeit en dat dit zich vertaalt naar risicoanalyses en maatregelen.’

Veilig gedrag stimuleren

‘De dreiging is er en wordt alleen maar groter’, waarschuwt Floor. ’De vraag is niet of het misgaat, maar wanneer. NEN7510 en de Cyberbeveiligingswet kunnen zorgorganisaties helpen om aan hun verplichtingen te voldoen. Maar ik zei al: ook bewustwording, processen en gedrag zijn belangrijk. Van alle datalekken bijvoorbeeld is 60 procent gedragsgerelateerd. Daar moet je dus iets mee.’

Daarbij helpt bijvoorbeeld het nieuwe stelsel voor identificatie en authenticatie voor zorgprofessionals: dé nieuwe zorgidentiteit, afgekort Dezi. Daarmee kunnen zorgprofessionals kiezen tussen verschillende inlogmiddelen op het hoogste betrouwbaarheidsniveau, afgestemd op het zorgproces en persoonlijke voorkeuren. ‘Door zo de drempel naar hoogbeveiligde inlogmiddelen voor iedereen te verlagen, stimuleer je veilig gedrag’, aldus Floor.

Ketensamenwerking

Volgens Floor is het voor digitale weerbaarheid niet voldoende dat afzonderlijke zorgorganisaties voldoen aan de wettelijke eisen. ‘Elke zorgorganisatie is onderdeel van een keten of een netwerk – juist daar zit de kwetsbaarheid. Gegevens worden uitgewisseld tussen zorgorganisaties, ICT-leveranciers en digitale platforms. Dat vraagt om nauwe samenwerking en gedeelde verantwoordelijkheid.’

Niet voor niets staat in de Cyberbeveiligingswet een uniforme aanpak centraal om verschillen tussen lidstaten te voorkomen. Juist omdat er nu nog verschillen zijn in de digitale weerbaarheid van landen, zijn die kwetsbaar voor cyberdreigingen. Floor: ‘Als het om digitale weerbaarheid gaat, is het nu nog vaak ieder voor zich. Met de Cyberbeveiligingswet moeten zorgorganisaties meer oog hebben voor de hele keten.’