NIS2 in de zorgsector
De NIS2-richtlijn is een Europese richtlijn die als doel heeft om de digitale weerbaarheid van essentiële en belangrijke entiteiten binnen de EU te verhogen, waaronder organisaties in de zorgsector. In Nederland wordt de NIS2-richtlijn uitgewerkt in de Cyberbeveiligingswet (Cbw).
Onder de zorgsector vallen bijvoorbeeld ziekenhuizen, Universitair Medische Centra (UMC's), ggz-instellingen, zorginstellingen voor langdurige zorg, laboratoria of zorgaanbieders die informatie- en communicatietechnologie (ICT) inzetten als kernonderdeel van hun dienstverlening.
In alle sectoren worden entiteiten ingedeeld in essentiële entiteiten en belangrijke entiteiten. De indeling hangt onder andere af van omvang, impact en maatschappelijke relevantie. Je bent als organisatie zelf verantwoordelijk voor het vaststellen of je onder NIS2 valt en, als dat zo is, voor de bijbehorende registratie.
Hiervoor is bijvoorbeeld een NIS2-zelfevaluatie beschikbaar die wordt aangeboden door de Rijksinspectie Digitale Infrastructuur (RDI).
Voor Nedap is de Rijksinspectie Digitale Infrastructuur (RDI) de aangewezen toezichthouder in het kader van NIS2. Het Nationaal Cyber Security Centrum (NCSC) is aangewezen als hoofd-CSIRT.
Verantwoordelijkheden van zorgorganisaties
De NIS2-richtlijn verplicht zorgorganisaties tot het nemen van passende technische, operationele en organisatorische maatregelen. Deze moeten het risico op cyberincidenten verkleinen en continuiteit waarborgen.
Op hoofdlijnen bestaan de verantwoordelijkheden uit:
- risicobeheer en beveiligingsmaatregelen
- meldplicht voor cyberincidenten
- meer nadruk op governance op directieniveau
Net als bij de AVG kan ook hier de toezichthouder handhavend optreden bij non-compliance, inclusief boetes of tijdelijke sluiting.
Ketenverantwoordelijkheid
Een belangrijk aspect van NIS2 is de uitgebreide ketenverantwoordelijkheid. Zorgorganisaties zijn verantwoordelijk voor hun gehele toeleveringsketen, inclusief externe dienstverleners en leveranciers.
In het kader van deze ketenverantwoordelijkheid komt Nedap in veel gevallen als leverancier naar voren. Zoals in het Concept Cyberbeveiligingsbesluit is opgenomen, geldt dat de uitwerking van de zorgplicht voor het overgrote deel in lijn is met bestaande normenkaders voor cyberbeveiliging in de gezondheidszorg, namelijk NEN 7510 en ISO 27001.
Wij bieden als leverancier de volgende documentatie aan om zorgaanbieders te ondersteunen bij deze ketenverantwoordelijkheid:
- de ISO 27001-certificering van Nedap Healthcare
- de NEN 7510-certificering van Nedap Healthcare
- de Z-CERT-leveranciersbeoordeling van Nedap
- de pagina Beveiliging van Ons, Caren, Luna en MediKIT
- de pagina Continuïteit (Ons, Caren en Luna)
Z-CERT ondersteunt zorgorganisaties daarnaast met informatie en templates om invulling te geven aan leveranciersmanagement. De ingevulde Z-CERT-Leveranciersbeoordeling van Nedap kan worden gebruikt als vertrekpunt, maar moet altijd worden aangevuld door de zorgorganisatie zelf.
Relevante documentatie van Nedap
Voor informatie over onze beveiligingsmaatregelen, monitoring, certificeringen en kwetsbaarhedenmanagement verwijzen we naar de pagina Beveiliging van Ons, Caren, Luna en MediKIT.
Voor informatie over beschikbaarheid, redundantie en maatregelen bij verstoringen verwijzen we naar de pagina Continuïteit (Ons, Caren en Luna).
Voor het melden van kwetsbaarheden verwijzen we naar de Coordinated Vulnerability Disclosure Policy van Nedap.
Stappenplan voor zorgorganisaties
De nieuwe richtlijn vraagt om realistische en proportionele stappen. Denk aan goede beveiliging van systemen, heldere incidentmeldingen en verantwoordelijkheid op directieniveau. NIS2 schrijft niet voor hoe je dit exact moet doen, maar dat je passende maatregelen treft, afgestemd op je risico's.
Voor veel zorgorganisaties is dit grotendeels een versterking van bestaande normen, zoals NEN 7510, en geen volledig nieuw kader. Met een gestructureerde aanpak en aandacht voor samenwerking in de keten is NIS2 goed uitvoerbaar. Er bestaat geen NIS2-certificering.
Een voorbeeld van een stappenplan voor een zorgorganisatie is:
- Bepaal of je onder NIS2/Cbw valt.
- Voer een risicoanalyse uit van je IT-infrastructuur en keten.
- Stel een cybersecuritybeleid op.
- Implementeer technische en organisatorische maatregelen.
- Richt monitoring, logging en meldprocedures in.
- Train personeel op bewustwording en incidentafhandeling.
- Beoordeel en borg beveiliging in leverancierscontracten.
- Bereid je voor op toezicht en audits.
Externe informatie
Onderstaande externe bronnen kunnen door zorgaanbieders worden geraadpleegd om meer informatie over NIS2/Cbw te krijgen:
- NIS2-zelfevaluatie van de Rijksinspectie Digitale Infrastructuur (RDI)
- Ministerie van Volksgezondheid, Welzijn en Sport over fysieke en digitale weerbaarheid
- de Cyberbeveiligingswet (consultatieversie) en het Cyberbeveiligingsbesluit (consultatieversie)
- het NIS2 Registratieportaal van het NCSC
- Z-CERT
- de Z-CERT whitepaper en template voor leveranciersmanagement
