Digitale infrastructuur en dataverkeer zijn essentieel voor het functioneren van de samenleving en de economie. In een tijd waarin zowel de digitale ontwikkelingen als de toename van digitale dreigingen razendsnel gaan, neemt de aandacht voor de beveiliging van digitale informatiesystemen toe. De EU heeft daarom in 2022 de Network and Information Security 2 (NIS2) richtlijn aangenomen, met als doel de digitale weerbaarheid van lidstaten te versterken. Deze richtlijn wordt omgezet in nationale wet- en regelgeving die in 2025 in werking zal treden. Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. Het zal niemand verbazen dat de zorg essentieel én belangrijk is.
NIS2 betekent dat ook de zorgsector aan strengere digitale veiligheidseisen moet gaan voldoen. Het doel is een hoger niveau van informatiebeveiliging bij bedrijven en organisaties indien deze meer dan 50 fte of een omzet van groter dan 10 miljoen én balanstotaal van meer dan 10 miljoen euro hebben.
Shirin Golyardi, projectleider EGIZ (elektronische gegevensuitwisseling in de zorg) bij NEN wijst erop dat informatiebeveiliging voor de zorg niet nieuw is. “We hebben al de NEN 7510-norm, die de standaard zet voor informatiebeveiliging in de zorg. Alle zorgaanbieders moeten aantoonbaar aan deze norm voldoen. In tegenstelling tot de NIS2 is dit ongeacht de aard en omvang van de organisatie. Aangezien NEN 7510 een deel van de vereisten van de NIS2 voor informatiebeveiliging afdekt daar waar het zorgaanbieders betreft, is het een eerste en belangrijke stap om aan deze richtlijn te voldoen.”
Impact NIS2 op zorg
De NIS2-richtlijn zal in Nederland de cyberbeveiligingswet (Cbw) gaan heten en onderscheidt meerdere categorieën binnen de gezondheidszorg, de zorg, zoals: zorgaanbieders, organisaties die onderzoek en ontwikkeling naar geneesmiddelen verrichten, en fabrikanten van farmaceutische producten en medische hulpmiddelen.
De Nederlandse wetgeving die voortvloeit uit deze richtlijn definieert een zorgaanbieder op basis van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Organisaties in het sociale domein (maatschappelijke ondersteuning) en jeugdhulp vallen niet onder de definitie zorgaanbieder (zoals gedefinieerd in de Wkkgz) en vallen niet onder de Cbw. Zogenaamde combinatieorganisaties, waar bijvoorbeeld zowel jeugdhulp als langdurige zorg wordt aangeboden, vallen wel onder de Cbw.
Voorbereiden op de Cbw
De organisaties die aan de Cbw moeten voldoen, zijn verplicht tot een zelfstandige risicobeoordeling en het op peil houden van hun informatiebeveiliging. Dit wordt in de wet zorgplicht genoemd. Op basis hiervan moeten passende maatregelen getroffen worden om digitale risico's te minimaliseren en incidenten te voorkomen.
Bovendien is er een meldplicht voor significante incidenten binnen 24 uur, waarbij de impact van de verstoring, de duur en mogelijke financiële schade bepalen of een incident meldingswaardig is. Indien er een digitale en significante verstoring voordoet kunnen de zorginstellingen een beroep doen op Z-CERT, de digitale brandweer die ondersteuning biedt aan de organisaties in de zorg die onder de NIS2 vallen.
"Het is zonde om nu al geld uit te geven aan maatregelen die straks niet nodig zijn"
De NIS2-richtlijn benadrukt ook dat bestuurders van belangrijke en essentiële entiteiten hoofdelijke verantwoordelijkheid dragen voor informatiebeveiliging. Hiervoor dienen de leden van de Raad van Bestuur een opleiding te volgen binnen twee jaar nadat de Cbw in werking treedt, zodat ze gezamenlijk expertise en kennis hebben op het terrein van informatieveiligheid.
Birte van Elk, werkzaam bij de directie Informatiebeleid van het ministerie van VWS als projectleider Weerbaarheid: NIS2 en CER voor de zorg, waarschuwt er echter voor om nu al definitieve maatregelen te nemen.
“Natuurlijk is het belangrijk dat organisaties én personen zich bewust zijn van de aanstaande wet en noodzakelijke voorbereidingen treffen. We doen ook zeker een oproep aan zorginstellingen om daar nu al middelen en tijd voor te reserveren. Maar het is nog niet bekend hoe de cyberbeveiligingswet exact gaat worden ingevuld en het is wel verstandig om daar even op te wachten. Het is zonde om nu al geld uit te geven aan maatregelen die straks niet nodig blijken te zijn.”
NEN 7510
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg en de basis voor stapsgewijs verbeteren van alle facetten van informatiebeveiliging door middel van een managementsysteem binnen een instelling.
De norm is gebaseerd op de internationale normen voor informatiebeveiliging: ISO 27001, ISO 27002 en ISO 27799. Deze normen stellen eisen aan een managementsysteem voor informatiebeveiliging (NEN 7510-1) en bieden een reeks beheersmaatregelen (NEN 7510-2) om de beschikbaarheid, vertrouwelijkheid en integriteit van persoonlijke gezondheidsinformatie in de zorg te waarborgen.
NEN 7510 stelt geen eisen aan specifieke producten zoals EPD’s, maar richt zich op het algemene beveiligingsmanagement binnen zorgorganisaties. In de praktijk betekent dit dat elke zorgorganisatie op basis van een risicobeheerproces zelf het passende beveiligingsniveau bepaalt, rekening houdend met de eigen unieke kenmerken en positie van de organisatie in de zorgketen. Hierbij kunnen beroepsgroepen samen optrekken om sectorspecifieke beheersmaatregelen te ontwikkelen. Dit soort initiatieven gebeuren nu al bij bijvoorbeeld huisartsenpraktijken en ambulancediensten.
Reguliere evaluatie
Elke vijf jaar ondergaat NEN 7510 een evaluatie om ervoor te zorgen dat de norm blijft aansluiten op de laatste ontwikkelingen en internationale normen. In de recente updates van ISO 27002 is er meer nadruk op cybersecurity en het gebruik van clouddiensten. Dit zal ook worden meegenomen in de herziene editie van NEN 7510. Deze is naar verwachting eind 2024 gereed.
Door aan NEN 7510 te voldoen, heeft een zorgaanbieder belangrijke stappen gezet om te voldoen aan de zorgplicht uit de Cbw. NEN 7510 omvat al een meldplicht voor incidenten, die onder de Cbw nog specifieker wordt: meldingen moeten binnen 24 uur plaatsvinden. Hoewel certificering voor NEN 7510 niet verplicht is, vereist de Cbw dat zorgaanbieders aantoonbaar aan de normen voldoen. De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de naleving op de Cbw bij onder meer zorgaanbieders via NEN 7510.
CV
Shirin Golyardi is projectleider EGIZ bij NEN.
Birte van Elk is projectleider iBeleid bij ministerie van VWS.
