Het omzetten van de NIS2-richtlijn in Nederlandse wetgeving heeft nogal wat voeten in de aarde. Hoewel minister Yeşilgöz (J&V) heeft aangekondigd dat de introductiedatum van 17 oktober 2024 voor Nederland niet haalbaar is, zullen we ons toch moeten voorbereiden op de regels en voorwaarden uit de NIS2. Maar waar begint u daarmee? Z-CERT helpt alvast een handje.
Achter de schermen werkt Z-CERT, cybersecurity expertisecentrum voor de zorg, al maandenlang aan de voorbereiding op de NIS2. Want er gaat zeker in de zorg nogal wat veranderen. Z-CERT krijgt waarschijnlijk de wettelijke taak als Computer Security Incident Response Team (CSIRT) voor de zorg. Dit betekent dat wij onze huidige diensten aan bestaande deelnemers grotendeels niet meer op hun verzoek leveren, maar omdat het vanuit de wet moet. Een ander deel van onze diensten moeten we reorganiseren. Maar vooral: in plaats van 350, zullen we op termijn 1.500 organisaties moeten kunnen ondersteunen.
Z-CERT is er om de zorg digitaal veiliger te maken, maar zorginstellingen zijn zelf verantwoordelijk voor een goede beveiliging van hun gegevens en computersystemen. Welke beveiligingsmaatregelen kunt u nu alvast nemen om straks klaar te zijn voor NIS2?
Doel of middel?
Eigenlijk zou de doelstelling van een zorgorganisatie niet moeten zijn om te voldoen aan NIS2, maar om de informatiebeveiliging goed op orde te hebben (wat ook het doel van NIS2 is). Voor de eigen continuïteit en voor de veiligheid van patiënten en cliënten.
De NIS2-regulering is een middel om bij alle relevante partijen een bepaalde mate van beveiliging af te dwingen. Maar de vertaling van de richtlijn in nationale wetgeving laat ruimte als het gaat om definities. Zo schrijft de richtlijn voor dat zorgorganisaties ‘passende technische en organisatorische maatregelen moeten implementeren om de beveiliging van hun netwerk- en informatiesystemen te waarborgen’. Dit kan bijvoorbeeld bestaan uit het gebruik van firewalls, antivirussoftware, encryptie en toegangscontrolesystemen. Ook het opstellen van strikte procedures voor het omgaan met gevoelige informatie valt hieronder. Z-CERT verwacht dat voor de zorg de NEN7510-norm als ‘passend’ zal worden beschouwd.
Meldplicht voor incidenten
Organisaties die straks onder de wetgeving vallen, zijn verplicht om incidenten te melden. Factoren die dit bepalen, zijn bijvoorbeeld de duur van een incident en het aantal personen dat door het incident getroffen wordt. Dit krijgt nog nadere invulling.
Los hiervan is het goed om u af te vragen of u klaar bent om straks binnen 24 uur een incident te melden. Leg de procedures vast in uw organisatie. Evalueer bij onverhoopte incidenten nu al of u verwacht dat deze straks met NIS2 gemeld moeten worden, of dat u ze vrijwillig zou willen melden. Dit schept duidelijkheid en versnelt het proces als u het ooit nodig heeft.
Verplichte audits
De wereld van cybersecurity staat bekend om continue verandering, dus moeten zorgorganisaties hun beveiligingsmaatregelen steeds (laten) checken en upgraden om beschermd te blijven. Dat betekent regelmatig beveiligingsaudits (laten) uitvoeren, software en systemen updaten en het personeel trainen over de nieuwste bedreigingen en hoe ze die kunnen aanpakken.
Vanuit Z-CERT benadrukken we het belang van geregeld testen en oefenen van cybernood-scenario’s. Red teaming tests, zoals ZORRO (red teaming tests voor de zorg) worden op live-systemen uitgevoerd, zonder dat het leidt tot verstoringen. Organisaties die zo hun IT op de proef stellen, kunnen eventuele zwakke plekken in hun beveiliging ontdekken. Ook ervaren ze hoe lang het duurt om van een incident te herstellen en hoe hun detectie- en responsesystemen werken. Waardevolle kennis voor als er echt kwaadwillenden proberen binnen te dringen.
Denk als een aanvaller
Als zorgorganisatie is het goed om je te verplaatsen in het hoofd van de aanvaller. Waar zoeken cybercriminelen naar? Welke data of assets zijn interessant? Die moet u (extra) beveiligen. Door in kaart te brengen welke zaken voor uw organisatie en dienstverlening van groot of minder groot belang zijn, kunt u de afweging maken waarvoor welke beveiligingsmaatregelen genomen moeten worden.
Wellicht is het nodig om detectiecapaciteit te vergroten. Dat is prijzig, dus moet er budget voor zijn. De discussie over budgetten komt vast eerder dan NIS2 (de vertaling naar Nederlandse wetgeving van 17 oktober 2024 wordt niet gehaald, red.). Alle reden dus om NU in actie te komen om straks goed voorbereid te zijn op de vereisten vanuit de NIS2.
CV
Edwin Feldmann is communicatieadviseur bij Z-CERT.
Z-CERT is het cyber-ecurity expertisecentrum voor de zorg.