Een deel van de zorgsector zal vanaf oktober 2024 vallen onder als vitaal beschouwde infrastructuur van Nederland. Het gaat om maximaal 2.000 organisaties vanaf 50 fte en/of 10 miljoen euro omzet. Dat schrijft demissionair minister Ernst Kuipers in een brief aan de Tweede Kamer, mede namens collega-bewindslieden Conny Helder van Langdurige Zorg & Sport en minister Dilan Yeşilgöz (Justitie & Veiligheid). Het als vitaal benoemen vindt plaats binnen de kaders van de implementatie van de Europese Critical Entities Resilience-richtlijn (CER) en van de herziene richtlijn Network- and Information Security2 (NIS2). NIS2 betreft regels op het gebied van bescherming van de digitale infrastructuur.
De minister van Justitie en Veiligheid voert de regie op de implementatie van de richtlijnen als coördinerend bewindspersoon voor de bescherming van de vitale infrastructuur. De vakdepartementen beoordelen welke processen vitaal zijn binnen hun systeemverantwoordelijkheid en stellen algemene kaders en sectorale beleid, wet- en regelgeving vast. Kuipers doet dit namens de zorgsector.
Van NIS1 naar NIS2
In Nederland is de NIS1-richtlijn sinds 2018 geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze wet streeft ernaar de digitale weerbaarheid van Nederland, en in het bijzonder van vitale aanbieders, de Rijksoverheid en digitale dienstverleners, te waarborgen. Momenteel zijn er geen aanbieders in de zorgsector aangewezen. Dat gaat veranderen met NIS2, die vanaf oktober 2024 in Nederlandse wetgeving verankerd moet zijn.
De herziene NIS2-richtlijn heeft tot doel om de digitale weerbaarheid van essentiële en belangrijke entiteiten binnen de EU naar een hoger gemeenschappelijk niveau te brengen (zie ook verderop in dit artikel vanaf 'Over NIS2)'. De sector zorg valt onder de reikwijdte van de NIS2-richtlijn. Onder meer zorgaanbieders, farmaceutische fabrikanten en medische hulpmiddel-producenten krijgen rechten en plichten krijgen ten aanzien van de beveiliging van hun organisatie, zoals een zorgplicht (bescherming van data) en een meldplicht (melden van een datalek bij de relevante toezichthouder).
Bij de Stichting Koninklijk Nederlands Normalisatie Instituut (NEN) zijn alle nationale normen over de informatiebeveiliging in de zorg vastgelegd. De bestaande NEN-normen over informatiebeveiliging in de zorg, waaronder de NEN 7510, bieden een uitgangspunt als normenkader.
Concrete vertaling
De conceptwetgeving voor CER en NIS2 wordt volgend jaar (2024) in consultatie worden gebracht, zodat bedrijven en organisaties er kennis van kunnen nemen en hierop kunnen reageren. Op dat moment kan meer duidelijkheid geboden worden over de concrete vertaling in nationale wetgeving (bijvoorbeeld welke entiteiten in de zorg wel of niet onder de richtlijnen gaan vallen), zodat iedereen zich kan voorbereiden.
De komende periode wordt uitgewerkt hoe de wettelijk kaders voor de verplichtingen uit de richtlijn nader vormgegeven kunnen worden. Om ervoor te zorgen dat er passende beveiligingsmaatregelen genomen worden, krijgen bedrijven en organisaties (entiteiten) die onder de wetgeving gaan vallen, te maken met wettelijke verplichtingen.
Nieuwe verplichtingen
De NIS2-richtlijn zal naar verwachting gaan gelden voor maximaal 2.000 organisaties die actief zijn in de Nederlandse zorgsector, zoals zorgaanbieders, EU-referentielaboratoria en bedrijven die farmaceutische producten of medische hulpmiddelen vervaardigen. Deze organisaties dienen verplicht preventieve maatregelen te nemen tegen cyberincidenten (zorgplicht), grootschalige incidenten te melden (meldplicht) en bij ernstige bedreigingen van hun netwerk de ontvangers van hun diensten te informeren over mogelijke gevolgen (informatieplicht).
Aanvullend verplicht de NIS2-richtlijn dat deze organisaties zich registeren (registratieplicht) en aan de verplichtingen dienen te voldoen vanaf de inwerkingtreding. Dit betekent onder meer dat ziekenhuizen, laboratoria en andere zorginstellingen bij het ingaan van de implementatiewet hun netwerk- en informatiebeveiliging op orde moeten hebben overeenkomstig de eisen zoals gesteld in de NIS2.
Onderscheid in NIS2
De NIS2-richtlijn maakt onderscheid tussen belangrijke en essentiële 'entiteiten'.
- Entiteiten met meer dan 50 fte en/of 10 miljoen euro omzet worden geclassificeerd als belangrijk.
- Entiteiten met meer dan 250 fte en/of 50 miljoen euro omzet die actief zijn in de gezondheidszorg worden geclassificeerd als essentieel.
Het onderscheid tussen belangrijke of essentiële entiteit heeft te maken met hoe de relevante toezichthouder zal toezien en zal handhaven, evenals de maatregelen die de toezichthouder in dat kader kan treffen.
Naast plichten krijgen essentiële en belangrijke entiteiten ook rechten. Zo kunnen ze aanspraak maken op dienstverlening van een Computer Security Incident Response Team. Op dit moment voert Z-CERT vergelijkbare taken uit voor partijen in de zorgsector. De taken van het Computer Security Incident Response Team voor de verschillende sectoren4 onder de NIS2-richtlijn zullen worden geregeld in de implementatiewet en de bijbehorende lagere regelgeving, zo schrijft Kuipers.
Over NIS2
In Europa is sinds 14 december 2022 een nieuwe cyberrichtlijn van kracht. De NIS2-richtlijn (Network and Information Systems Security Directive) is bedoeld om de Europese Unie veiliger te maken door het verhogen van de digitale bescherming en verlagen van de consequenties door cyberincidenten. De NIS2-richtlijn wordt op dit moment omgezet in Nederlandse wetgeving. Tot die tijd geldt nog de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
De afgelopen jaren hebben verschillende ontwikkelingen de veiligheid van maatschappij en economie in EU-lidstaten steeds meer onder druk gezet. Denk aan de COVID-19 pandemie, de Oekraïne-oorlog (en de oorlog tussen Israël en Hamas), groeiende en meer complexe cyberdreigingen en de gevolgen van klimaatverandering. Reden waarom de uit 2016 stammende eerste NIS-richtlijn - de NIB - een opvolger krijgt die deze ontwikkelingen meeneemt. Sinds 2020 is aan NIS2 gewerkt.
Veranderingen onder NIS2
NIS2 stuurt op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van de richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. Een belangrijke wijziging is onder meer de forse uitbreiding van het aantal als vitaal aangeduide sectoren waarvoor een zorg- en meldplicht geldt.
Voorbeelden van vitale processen en sectoren zijn momenteel de energiesectoren, ICT/telecom, burgerluchtvaart en de financiële sector. NIS2 duidt dus meer sectoren aan als vitaal. Denk aan gezondheidszorg, transport en energieaanbieders. Maar ook overheidsdiensten, levensmiddelenaanbieders, waterbeheerbedrijven en digitale aanbieders - zoals MSP's en system integrators.
Verplichtingen onder NIS2
Er zijn drie belangrijke verplichtingen waar organisaties die onder de wet vallen, rekening mee moeten houden: de meldplicht, de zorgplicht, en toezicht. Daarnaast geldt er nog een registratieplicht.
Zorgplicht: de NIS2-richtlijn bevat een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
Meldplicht: NIS2 schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Toezicht: organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt nog uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Lees ook deze berichten over NIS2 op ICT&health:
Wat betekent NIS2 voor jouw cybersecurity?
Z-CERT begint met levering van SOC-diensten