De continuïteit en veiligheid in de zorgverlening is sterk afhankelijk van digitale en fysieke weerbaarheid. Door toenemende cyberdreigingen, klimaatverandering en pandemieën zetten de stabiliteit van maatschappij en economie onder druk. Om deze risico’s beter te beheersen, worden in Nederland twee belangrijke Europese richtlijnen geïmplementeerd: de NIS2-richtlijn en de CER-richtlijn. Deze richtlijnen worden opgenomen in respectievelijk de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Beide wetten zijn gericht op sectoren met een grote maatschappelijke impact, zoals de zorg.
Het omzetten van de NIS2-richtlijn en de CER-richtlijn door het ministerie van Justitie en Veiligheid naar nationale wetgeving gaat meer tijd kosten dan vooraf gedacht. Dit betekent dat Nederland, net als veel andere EU-lidstaten, niet de oorspronkelijke deadline van 17 oktober 2024 heeft gehaald. Dit komt door de complexiteit en de omvang van het wetstraject. Naar verwachting treden beide wetten volgens de nieuwe planning in het najaar van 2025 in werking. Ondanks dat de wetten nog niet in werking zijn getreden, moeten (zorg)organisaties (ook wel entiteiten genoemd) nu al rekening houden met of actie ondernemen voor de nieuwe wetten.
Rechten en plichten
Een aantal bepalingen uit de NIS2-richtlijn heeft een directe werking. Dit betekent dat zorgorganisaties die onder de Cyberbeveiligingswet vallen vanaf 17 oktober 2024 al wel rechten hebben, maar nog geen wettelijke verplichtingen uit de NIS2-richtlijn. In de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet kunnen organisaties die onder de Cyberbeveiligingswet gaan bijstand ontvangen bij een cyberincident door een Computer Security Incident Response Team (CSIRT). Voor de zorgsector is dit Z-CERT.
De verplichtingen in de NIS2-richtlijn gaan voor zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen pas gelden als de wet in werking is getreden. De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt tot de inwerkingtreding van de Cyberbeveiligingswet nog geen toezicht op de naleving van de wet. Dit neemt niet weg dat zorgorganisaties verplicht zijn te voldoen aan de NEN7510-norm, waarop de IGJ nu al wel toezicht houdt. Deze norm biedt een sterke basis voor de toekomstige eisen van de Cyberbeveiligingswet en helpt organisaties zich voor te bereiden op hun digitale weerbaarheid en wettelijke verplichtingen.
CER-richtlijn
In de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn. De CER-richtlijn wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Organisaties vallen pas onder de wet zodra ze zijn aangewezen als ‘kritieke entiteit’. De minister van VWS zal deze kritieke entiteiten niet eerder dan het vierde kwartaal van 2025 aanwijzen. Voor deze organisaties zullen de zorgplicht en de meldplicht uit deze wet pas van toepassing zijn vanaf 10 maanden na hun aanwijzing als kritieke entiteit.
Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden op de komst van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten.
