NIS2 komt eraan. Deze Europese Network and Information Security directive volgt NIS1 op, in Nederland bekend als de NIB uit de Wet Beveiliging Netwerk- en Informatiesystemen. Veel woorden, maar echt ingewikkeld is het eigenlijk niet, betogen zorgorganisatie de Dimence Groep, Cyberveilig Nederland en Cisco.
“Groot verschil tussen NIS1 en NIS2 is dat in NIS2 duidelijk onderscheid wordt gemaakt tussen ‘essentiële organisaties’ - waarbij uitval ontwrichtend kan zijn voor de samenleving - en ’belangrijke’ organisaties”, weet Liesbeth Holterman, strategisch adviseur bij Cyberveilig Nederland. “Grotere zorgorganisaties vallen nu onder de essentiële organisaties, een les die we door COVID-19 hebben geleerd.” Groot wil zeggen: met meer dan 250 werknemers, een omzet van 50 miljoen euro of een balanstotaal van meer dan 43 miljoen euro.
Slimmere cybercriminelen
De update van de richtlijnen was hard nodig omdat de risico’s toenemen. “De zorg is snel aan het digitaliseren”, vertelt Martijn Mol, Cyber Security Specialist bij Cisco. “We maken meer gebruik van robotica, wisselen meer gegevens uit in de keten, maken gebruik van EPD’s, Internet of Things en AI en werken hybride. Het aanvalsoppervlak is daardoor vele malen groter geworden."
Tegelijkertijd organiseren cybercriminelen zich steeds beter en bedienen zij zich van steeds geavanceerdere tools. Daardoor wordt het risico dat kritische applicaties door aanvallen niet beschikbaar zijn, steeds groter. Mol: "Dat kan een hele organisatie of zelfs een keten van organisaties lamleggen.”
Komst NIS2
De Europese Commissie zag dit risico ook en kwam daarom met NIS2. Eind 2024 moet die zijn omgezet in lokale - lees: Nederlandse - wetgeving. Het is volgens Holterman de bedoeling dat de Nederlandse wet zo dicht mogelijk bij NIS2 blijft.
Er komt een toezichthouder die gaat controleren en boetes kan uitdelen waar nodig. Ook is er sprake van hoofdelijke aansprakelijkheid. “Maar handhaving of niet, uiteindelijk gaat het erom dat je je eigen organisatie zo goed mogelijk wilt beschermen”, aldus Mol.
Flink aan de bak
De Overijsselse ggz-instelling de Dimence Groep is daarmee al een heel eind op weg. Wim Jellema, CISO Privacy Officer bij Dimence Groep, denkt dat veel collega-zorginstellingen nog flink aan de bak moeten. Hij benadrukt dat het lang niet meer alleen gaat om informatiebeveiliging, maar om de continuïteit van essentiële diensten.
“In ziekenhuizen bijvoorbeeld gaat het om mensenlevens. IC-apparatuur, hartlongmachines: die kunnen gekoppeld zijn aan kritieke netwerken. Mensenlevens staan direct in contact met systemen. In de GGZ gaat het bijvoorbeeld om persoonsalarmering, liften, deuren en allerlei domotica-toepassingen. Strengere maatregelen zijn dus heel logisch.”
Lees het hele artikel over de komst van NIS2 in ICT&health 4, die op 24 augustus verschijnt.