”De nieuwe Europese richtlijn voor informatiebeveiliging wordt in 2024 van toepassing binnen de zorgsector. Reden voor aandacht, maar zeker geen reden tot paniek.
In de steeds complexer wordende digitale gezondheidszorgomgeving is het handhaven van een hoog niveau van informatiebeveiliging van vitaal belang. In Nederland moeten zorginstellingen al jaren aantoonbaar aan NEN7510 voldoen, die de normen voor informatiebeveiliging in de gezondheidszorg bepaalt. Daarbij komt binnenkort de Europese Richtlijn Network and Information Systems (NIS) 2.0 bij (hierna NIS2).
Informatieveiligheid en privacy hebben de afgelopen jaren al verhoogde aandacht gehad bij bestuurders en binnen zorginstellingen, mede door de verplichting om aan NEN7510 te voldoen. NIS2 legt hiernaast extra nadruk op de digitale weerbaarheid en bescherming tegen cyberdreigingen. Hoewel de exacte Nederlandse invulling van de Europese regelgeving pas eind 2024 definitief bekend wordt gemaakt, kan van de Europese tekst al wel het een en ander worden afgeleid. Naar verwachting treedt de wet in de loop van 2025 in Nederland in werking.
”Nuchterheid is op zijn plaats: Voor zorginstellingen die nu reeds voldoen aan NEN7510 is de impact van de Europese Richtlijn NIS2 naar verwachting goed te overzien.
Het doel van NIS2 is de cybersecurity in de Europese Unie te verbeteren en de veerkracht van kritieke infrastructuur en digitale diensten te vergroten. NIS2 beschrijft welke maatregelen organisaties en instellingen minimaal zouden moeten nemen om hun digitale systemen te beveiligen, op welke organisaties die richtlijn van toepassing is en welke consequenties non-compliance met zich meebrengt. Het omvat specifieke vereisten voor vitale sectoren, waaronder dus ook de gezondheidszorg.
In deze bijdrage lichten we toe waar een zorginstelling die al aantoonbaar voldoet aan NEN 7510 rekening moet houden bij de komst van NIS2 en welke specifieke acties nodig zijn om deze overgang te bewerkstelligen.
Wat is NIS2?
NIS2 bestaat uit grofweg vier pijlers: Zorgplicht, Registratieplicht, Meldplicht en Toezicht.
- De zorgplicht vereist dat organisaties passende en evenredige technische, operationele en organisatorische maatregelen nemen om digitale veiligheid en continuïteit te waarborgen.
- De registratieplicht betekent dat organisaties die vallen onder NIS2 verplicht zijn zich te registreren.
- Organisaties hebben een meldplicht om incidenten binnen 24 uur (bij verstoring van dienstverlening) of binnen 72 uur (in andere gevallen) te melden aan de betreffende autoriteit.
- De naleving van NIS2 zal worden gecontroleerd (toezicht), met proactieve controles voor essentiële organisaties en controles op aanleiding voor belangrijke organisaties.
De zorgplicht houdt in dat de organisatie en instellingen de nodige securitymaatregelen moet treffen gericht op het waarborgen van de digitale veiligheid en de continuïteit van de dienstverlening. NIS2 schrijft niet exact voor welke technologieën of oplossingen organisaties moeten gebruiken. De richtlijn spreekt van ‘passende en evenredige technische, operationele en organisatorische maatregelen’, en ook ‘rekening houdend met de stand van de techniek’. In NIS2 is aangegeven welke aandachtsgebieden minimaal moeten zijn afgewogen:
- beleid inzake risicoanalyse en beveiliging van informatiesystemen;
- incidentenbehandeling;
- bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
- de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
- beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
- beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
- basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
- beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
- beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
- wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Deze aandachtsgebieden kunnen direct gerelateerd worden aan NEN7510 en worden met een grondige NEN7510 implementatie ook gerealiseerd. Met andere woorden:
NEN7510 vormt een belangrijk fundament om aan de zorgplicht uit NIS2 te voldoen.
Daarnaast dient voor compliance aandacht besteed te worden aan de registratieplicht, de meldplicht en toezicht.
De registratieplicht houdt in dat entiteiten die vallen onder de NIS2-richtlijn verplicht zijn zich te registreren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2.
De meldplicht is sterk vergelijkbaar met de verplichting om datalekken te melden, gezien de aantallen meldingen die jaarlijks vanuit de zorgsector bij de AP binnenkomen valt te verwachten dat dit geen grote verzwaring van de interne processen zal betekenen.
De zorgsector is gewend aan toezicht, de afgelopen jaren heeft de Inspectie voor Gezondheidzorg en Jeugd regelmatig thematische onderzoeken rondom informatiebeveiliging uitgevoerd. Ook de AP heeft aandacht gevraagd voor informatieveiligheid gezien het feit dat bijzondere persoonsgegevens worden verwerkt. Het is nog niet definitief bepaald wie toezicht gaat houden op naleving van NIS2, maar het is de verwachting dat de IGJ dat gaat doen. De mate van toezicht verschilt afhankelijk van de categorie waarbinnen uw organisatie valt (zie kader).
NIS 2 maakt onderscheid tussen ‘belangrijke entiteiten’ en ‘essentiële entiteiten’. De indeling is afhankelijk van sector, aantal FTE’s en omzet. Alle organisaties die binnen de categorie ‘essentieel’ vallen, kunnen proactieve, steekproefsgewijze controles verwachten. Dat betekent dat ze ieder moment, zonder enige aanleiding moeten kunnen aantonen dat ze aan de wet voldoen. Ook organisaties uit de categorie ‘belangrijk’ moeten aan de NIS2-richtlijn voldoen. Voor hen gelden de proactieve controles echter niet. Zij moeten pas aantonen dat ze aan de wet voldoen wanneer daar een duidelijke aanleiding voor is. Dat is in de praktijk doorgaans een (ernstig) cyberincident.
Naast de in NIS 2.0 genoemde sectoren is er nog een categorie organisaties die moeten voldoen aan NIS2: de zogenaamde ketenpartners, wanneer zij onderdeel zijn van het kernproces van de toeleveringsketen van een essentiële of belangrijke organisatie of instelling. Het kan dus zijn dat jouw toeleveranciers of dienstverlenende partners zelf niet actief zijn in een van de genoemde sectoren of minder dan 50 medewerkers hebben en dus niet het ‘essentieel’ of ‘belangrijk’- stempel dragen, maar toch moeten voldoen aan NIS2. De EU heeft deze categorie niet zonder reden toegevoegd. In het verleden zijn namelijk diverse grote cyberaanvallen op organisaties in de vitale sectoren begonnen bij een ketenpartner. Het is dus van groot belang dat ook zij hun security op orde hebben. Om te bepalen of NIS2 van toepassing is op uw organisatie en in welke categorie uw organisatie valt, is via de volgende link een hulpmiddel beschikbaar: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
Wat betekent NIS2 voor een instelling die reeds aan NEN7510 voldoet?
NEN7510 vormt een solide basis biedt voor informatiebeveiliging. Daarbij is wel van belang dat zorginstellingen nagaan of hun huidige NEN7510 implementatie ook in voldoende mate de aandachtsgebieden van NIS2 afdekt. Voor de volgende aandachtspunten stelt NIS2 mogelijk aanvullende vereisten:
Risicoanalyse: Zorginstellingen zullen in hun risicoanalyse rekening houden met de nieuwste cyberdreigingen. Dit omvat onder meer het identificeren van kwetsbaarheden in systemen en netwerken en het vaststellen van passende beveiligingsmaatregelen.
Versterking van Digitale Weerbaarheid: NIS2 benadrukt het belang van robuuste digitale weerbaarheid. Zorginstellingen zullen aandacht besteden aan geavanceerde beveiligingstechnologieën, zoals intrusion detection en preventie systemen, om zich effectief te beschermen tegen cyberaanvallen.
Implementatie Incidentresponsplannen: Een effectieve respons op beveiligingsincidenten is een kernvereiste van NIS2. Zorginstellingen zullen in hun incidentresponsplannen specifieke procedures opnemen voor het omgaan met cyberincidenten.
Evaluatie van de getroffen (technische) maatregelen: Een belangrijk aspect van NEN7510 is de PDCA cyclus. Onderdeel van de PDCA cyclus is dat de organisatie haar informatiebeveiligingsprocessen en – maatregelen periodiek onafhankelijk laat toetsen. Een evaluatie van de getroffen technisch maatregelen tegen cyberdreigingen is in het kader van NIS2 ook op zijn plaats.
Continue Monitoring en Rapportage: NIS2 legt de nadruk op continue monitoring van informatiesystemen. Zorginstellingen zullen systemen implementeren die verdachte activiteiten automatisch detecteren en melden aan de toezichthouder.
Betrokkenheid van Medewerkers en Bestuurders: Een cultuur van informatiebeveiliging vereist de betrokkenheid van alle medewerkers en bestuurders. Zorginstellingen dragen zorg voor regelmatige training en bewustmakingsprogramma’s om het bewustzijn van cybersecurity te vergroten.
”Nieuw is een persoonlijke aansprakelijkheid van bestuurders en een verplichting tot scholing ten aanzien van informatiebeveiliging. Verschillende brancheorganisaties nemen al initiatieven om deze te verzorgen.
Door deze stappen te nemen, kunnen zorginstellingen niet alleen voldoen aan de huidige normen maar ook een veerkrachtige beveiligingsinfrastructuur opbouwen om de gezondheidsinformatie van patiënten te beschermen in een voortdurend veranderend cyberlandschap.
Wilt u hier verder over van gedachten wisselen, of een keer uw organisatie laten doormeten op NIS2 readiness, schroom dan niet om contact op te nemen met Jan de Boer (06-51546750, jandeboer@wedotrust.nl) en/of Reinder Attema.