NIS2 komt eraan. Deze Europese Network and Information Security directive volgt NIS1 op, in Nederland bekend als de NIB uit de Wet Beveiliging Netwerk- en Informatiesystemen. Veel woorden, maar echt ingewikkeld is het eigenlijk niet, betogen zorgorganisatie de Dimence Groep, Cyberveilig Nederland en Cisco.
“Groot verschil tussen NIS1 en NIS2 is dat in NIS2 duidelijk onderscheid wordt gemaakt tussen ‘essentiële organisaties’ - waarbij uitval ontwrichtend kan zijn voor de samenleving - en ’belangrijke’ organisaties”, weet Liesbeth Holterman, strategisch adviseur bij Cyberveilig Nederland. “Grotere zorgorganisaties vallen nu onder de essentiële organisaties, een les die we door COVID-19 hebben geleerd.” Onder 'groot' valt: met meer dan 250 werknemers, een omzet van 50 miljoen euro of een balanstotaal van meer dan 43 miljoen euro.
Slimmere cybercriminelen
De update van de richtlijnen was hard nodig omdat de risico’s toenemen. “De zorg is snel aan het digitaliseren”, vertelt Martijn Mol, Cyber Security Specialist bij Cisco. “We maken meer gebruik van robotica, wisselen meer gegevens uit in de keten, maken gebruik van EPD’s, Internet of Things en AI en werken hybride. Het aanvalsoppervlak is daardoor vele malen groter geworden. Tegelijkertijd organiseren cybercriminelen zich steeds beter en bedienen zij zich van steeds geavanceerdere tools. Daardoor wordt het risico dat kritische applicaties door aanvallen niet beschikbaar zijn, steeds groter. Dat kan een hele organisatie of zelfs een keten van organisaties lamleggen.”
Holterman vult aan: “Het is goed om te beseffen dat we het niet alleen hebben over applicaties binnen de kantoorautomatisering, maar ook over bijvoorbeeld een MRI-scan of een koelkast waarin medicijnen worden bewaard.”
Wachten op 2024? Zeker niet.
De Europese Commissie zag dit risico ook en kwam daarom met NIS2. Eind 2024 moet die zijn omgezet in lokale - lees: Nederlandse - wetgeving. “Het is de bedoeling dat we in de Nederlandse wet zo dicht mogelijk bij NIS2 blijven”, aldus Holterman. “Toch komt er veel bij kijken: we moeten afstemmen met sectorale wet- en regelgeving - die gaat altijd voor - er moet een internetconsultatie komen en daarna moet de wet nog langs de Raad van State en het parlement. Eind 2024 is dus best ambitieus. Dat is alleen geen reden om er nog niet mee aan de slag te gaan. Heel veel maatregelen die in NIS2 staan, kunnen al genomen worden.”
In vijf stappen naar NIS2
- Zorg voor awareness en commitment bij
het bestuur. - Voer een risicoanalyse uit.
- Breng je basis-cybersecurity op orde.
- Breng de toeleveringsketen in kaart en vereenvoudig waar nodig. Maak afspraken
met leveranciers. - Ga als zorgorganisaties onderling in gesprek.
Bovendien is de tekst van NIS2 eind 2022 al gepubliceerd. Het is dus duidelijk wat er moet gebeuren. Artikel 21 van NIS2 vormt daarbij een handige checklist, maar er zijn ook diverse standaarden en frameworks beschikbaar. Mol: “Je hoeft niet zelf te bedenken hoe het moet, je moet gewoon bestaande standaarden volgen. Dat soort dingen veranderen met de NIS2 niet.”
‘Het gaat om mensenlevens’
Er komt een toezichthouder die gaat controleren en boetes kan uitdelen waar nodig. Ook is er sprake van hoofdelijke aansprakelijkheid. “Maar handhaving of niet, uiteindelijk gaat het erom dat je je eigen organisatie zo goed mogelijk wilt beschermen”, aldus Mol.
De Overijsselse ggz-instelling de Dimence Groep is daarmee al een heel eind op weg. Wim Jellema, CISO Privacy Officer bij Dimence Groep, denkt dat veel collega-zorginstellingen nog flink aan de bak moeten. Hij benadrukt dat het lang niet meer alleen gaat om informatiebeveiliging, maar om de continuïteit van essentiële diensten.
“In ziekenhuizen bijvoorbeeld gaat het om mensenlevens. IC-apparatuur, hartlongmachines: die kunnen gekoppeld zijn aan kritieke netwerken. Mensenlevens staan direct in contact met systemen. In de GGZ gaat het bijvoorbeeld om persoonsalarmering, liften, deuren en allerlei domotica-toepassingen. Strengere maatregelen zijn dus heel logisch.”
Jellema benadrukt dat Dimence een wat grotere organisatie is, met aardig wat kennis en kunde in huis. “Maar ook wij kunnen het niet alleen. We hebben veel aan Avit en Cisco, al jaren onderdeel van de strategische partners waarop we kunnen vertrouwen. Cisco is geen platte verkoopmachine, maar adviseert en investeert veel in kennisoverdracht en neemt ons mee in de laatste strategische ontwikkelingen op het gebied van networking en security. Dat maakt hen veel meer dan alleen een leverancier. Het is belangrijk dat soort partijen om je heen te verzamelen.”
Ken je vijand
Hein Dekkers, directeur Digitale Versnelling Nederland van Cisco: “Met Digitale Versnelling Nederland willen wij bijdragen aan een veilige, duurzame en inclusieve digitale samenleving. Door samen met partners als Cyberveilig Nederland en de NCTV proactief te informeren en adviseren, kunnen we een veilige digitale versnelling binnen de zorg optimaal ondersteunen.”
Dat doet Cisco onder meer via Talos, het Threat Intelligence Research Team van Cisco, vertelt Mol: “Wij hebben wereldwijd meer dan vijfhonderd researchers die ontwikkelingen volgen op het gebied van bedreigingen en advies daarover geven.” Talos levert input aan Z-CERT, een helpdesk voor ziekenhuizen en ggz-instellingen als zij te maken krijgen met cyberincidenten. Mol hierover: “Zij publiceren een dreigingsbeeld van de zorgsector, gebaseerd op data. Zij weten waar dreiging vandaan komt en welke maatregelen daarbij horen.”
De blik naar buiten
NIS2 ‘dwingt’ organisaties de blik meer naar buiten te richten. Over de muren van de eigen instelling heen. Naar collega-zorginstellingen, maar ook naar leveranciers. “NIS2 maakt de zorginstelling verantwoordelijk voor het maken van goede afspraken rond cybersecurity met degene die applicaties levert”, aldus Holterman. “Dat betekent dat je keuzes moet maken: kan jouw leverancier niet instaan voor de veiligheid van gegevens, dan moet je misschien afscheid van elkaar nemen of aanvullende maatregelen nemen.”
Mol tot slot: ”Het is belangrijk daarbij ook te kijken naar het totaal aan leveranciers waarmee je samenwerkt. Je kunt bij verschillende gespecialiseerde leveranciers allemaal verschillende tools afnemen, of je kijkt naar een of enkele grotere partijen die alles voor je kunnen doen. Hoe minder partners, hoe overzichtelijker en dus: hoe veiliger.”
Tips van (ervarings)deskundigen
Wim Jellema, Dimence Groep: “Doe het er niet ‘even bij’. Je moet er echt iemand voor vrijmaken. Wacht niet tot volgend jaar, je had er al lang mee bezig moeten zijn. En: maak informatiebeveiliging integraal onderdeel van je beleid. Neem bij ieder project een paragraaf op over cybersecurity. Net als dat er ook altijd een paragraaf is over budget.”
Liesbeth Holterman, Cyberveilig Nederland: “Maak het niet te ingewikkeld. Je hebt in je organisatie al veel vormen van risicomanagement en procedures voor andere incidenten, bijvoorbeeld als de stroom uitvalt of er brand uitbreekt. Daar kan je gebruik van maken. Veeg dus vooral eerst bij elkaar wat je al hebt.”
Martijn Mol, Cisco: “Maak het leuk voor de gebruiker en lastig voor de hacker. Als de gebruikerservaring van securitymaatregelen niet goed is, gaan gebruikers omwegen bedenken. Dat wil je niet hebben. En doe incidentoefeningen met de hele organisatie. Dat brengt veel boven tafel.”
