RZCC

Blog: De Europese richtlijn NIS2 in de zorg

In de afgelopen jaren is onze maatschappij en economie steeds meer onder druk komen te staan door ontwikkelingen zoals COVID-19, de oorlog in Oekraïne, cyberdreigingen en klimaatverandering. Om de digitale en economische weerbaarheid van EU-lidstaten te versterken, heeft de Europese Unie sinds 2020 gewerkt aan de Netwerk- en Informatieveiligheidsrichtlijn (NIS2).

NIS2 focust op het minimaliseren van risico’s die de veiligheid van netwerk- en informatiesystemen in gevaar brengen, zoals risico’s op het gebied van cyberbeveiliging. Deze richtlijn zorgt voor een versterkte Europese samenwerking en helpt bedrijven en organisaties een hoger niveau van cybersecurity te bereiken. NIS2 vervangt de oorspronkelijke richtlijn voor netwerk- en informatiebeveiliging (NIB), die in 2016 werd opgenomen in de Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni).

NIS2 en de AVG
De Nederlandse overheid is van plan om de NIS2-richtlijn tegen eind 2024 in wetgeving te implementeren als aanvulling op de Algemene Verordening Gegevensbescherming (AVG). De AVG, een Europese privacywetgeving, biedt individuen meer rechten en legt organisaties meer verantwoordelijkheden op om zorgvuldig om te gaan met (digitale) persoonsgegevens. De gezamenlijke implementatie van de AVG en NIS2 verplicht organisaties om proactief over cybersecurity na te denken en maatregelen te nemen ter verbetering daarvan. Het is essentieel dat organisaties zich bewust zijn van hun verplichtingen onder deze regels en ervoor zorgen dat ze aan de vereisten voldoen om de veiligheid van hun netwerk- en informatiesystemen te waarborgen.

Impact van de richtlijn
Het is de verantwoordelijkheid van organisaties om op basis van de criteria te bepalen of NIS2 op hen van toepassing is. Het is daarom cruciaal dat ICT-managers op de hoogte zijn van de richtlijn en zorgen dat cyberdreigingen worden geïdentificeerd en aangepakt. Hiervoor kunnen aanvullende maatregelen nodig zijn, zoals incidentmanagement, cybersecurity van leveranciers, netwerkbeveiliging, toegangscontrole en encryptie. Organisaties moeten ook documenteren hoe zij handelen in het geval van een groot cyberincident, inclusief herstelsysteem, noodprocedures en crisismanagement. Daarnaast zijn organisaties verplicht om een ernstig incident binnen 24 uur aan de autoriteiten te melden.

De zorg als essentiële sector
Organisaties in bepaalde sectoren worden automatisch door NIS2 bestreken als ze voldoen aan de criteria voor essentiële of belangrijke entiteiten. De gezondheidszorg in Nederland valt ruim binnen deze categorie en wordt beschouwd als uiterst kritiek. Een verstoring van de dienstverlening in deze sector kan een ernstige impact hebben op de economie en maatschappij. Dat betekent dat de zorgsector – inclusief zorgverlening, genezing en leveranciers – cruciaal is voor het functioneren en voortbestaan van onze samenleving.

Verplichtingen en boetes
Afhankelijk van de sector waarin een organisatie actief is zijn er verschillende verplichtingen gekoppeld aan NIS2. Het bestuur van een NIS2-entiteit is eindverantwoordelijk voor het naleven van de zorgplicht en kan voor het niet naleven aansprakelijk worden gesteld. De organisatie moet zelf een risicoanalyse uitvoeren en op basis daarvan de nodige maatregelen nemen. Entiteiten hebben ook een meldplicht en staan onder toezicht. Als ze niet aan de richtlijn voldoen, kunnen ze beboet worden. Voor essentiële sectoren kunnen boetes oplopen tot € 10 miljoen of twee procent van de wereldwijde jaaromzet.

De huidige situatie
In de eerste helft van 2024 zal de internetconsultatie plaatsvinden. De precieze startdatum is nog niet bekend. Dan zijn de conceptteksten van de wetgeving klaar en krijgen sectoren, organisaties en personen de mogelijkheid om feedback te geven. Dit geeft organisaties meer duidelijkheid over de verwachtingen om aan de nieuwe wetgeving te voldoen. Dat betekent echter niet dat de conceptversies meteen alle details helder zullen maken. Na de internetconsultatie worden ontvangen opmerkingen overwogen en mogelijk doorgevoerd. Ook zullen specifieke zaken en details verder worden uitgewerkt in onderliggende wet- en regelgeving. Tegelijkertijd is het mogelijk voor organisaties om nu al voorbereidingen te treffen voor de NIS2-richtlijn. Naar verwachting wordt de NIS2-richtlijn eind 2024 omgezet in wetgeving, na behandeling door het parlement, met een verwachte ingangsdatum van januari 2025. Vanaf dan moeten organisaties die onder NIS2-richtlijn vallen voldoen aan de zorg- en meldplicht.

Aan de slag!
De Rijksoverheid adviseert organisaties niet te wachten tot de wet- en regelgeving volledig is uitgekristalliseerd. De risico’s voor organisaties en hun systemen bestaan nu al. Organisaties die nu proactief handelen, beschermen zich niet alleen tegen bestaande risico’s, maar zijn ook beter voorbereid op de nieuwe wetgeving. Bereid je organisatie voor door de volgende stappen te nemen:

  1. Maak een analyse en beoordeling van de fysieke en digitale risico’s die de dienstverlening van je organisatie kunnen beïnvloeden.
  2. Tref maatregelen om de organisatie beter te beschermen tegen deze risico’s.
  3. Stel procedures op die je organisatie in staat stellen incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.

Jouw organisatie en NIS2
Ben je benieuwd hoe jij jouw zorgorganisatie op tijd en op de juiste manier voorbereid op deze nieuwe wetgeving? Neem dan gerust contact met ons op via info@rzcc.nl.