NIS2 in de zorg: wat betekent de nieuwe wetgeving en wat kunnen zorgorganisaties nu al regelen? | deel 1

Naar verwachting treedt begin 2025 ook in Nederland NIS2 in werking. Wat houdt deze nieuwe securitywetgeving in en wat betekent dit voor zorgorganisaties? 

Wat houdt NIS2 in?
Laten we beginnen met wat NIS2 eigenlijk precies is. De afkorting “NIS2” wijst op de nieuwste versie van de Network and Information Security-richtlijn die rond 2016 in het leven is geroepen om de cybersecurity in de Europese Unie te versterken. Deze oude richtlijn, NIS, vormde de basis voor de Nederlandse Wet Beveiliging Netwerk- en Informatiesystemen (WBNI). Deze wet legde wettelijke meldplichten en beveiligingsmaatregelen op aan digitale dienstverleners en aanbieders van essentiële diensten.  

De NIS2-richtlijn gaat dieper in op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s, en moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties in de EU. Deze richtlijn verplicht diverse zaken waar organisaties aan moeten voldoen om cybercriminelen buiten de deur te houden. Maar anders dan bij NIS, is bij NIS2 straks ook sprake van bestuurlijke verantwoordelijkheid en aansprakelijkheid voor natuurlijke personen. Je zult als organisatie je risico’s nog beter in kaart moeten brengen en met een juiste risicobehandeling naar een acceptabel niveau brengen. 

Wanneer gaat NIS2 gelden in Nederland?
Alles wat we nu weten over NIS2 is vastgesteld op Europees niveau. De Nederlandse overheid is deze op dit moment aan het vertalen naar Nederlandse wetgeving. De verwachting is dat begin 2025 duidelijk zal worden hoe deze Nederlandse NIS2 er precies uit komt te zien. In de Europese variant wordt bijvoorbeeld gesproken over een meldplicht. De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Voor Nederland moet nog verder worden vastgesteld wie die “toezichthouder” gaat zijn en hoe dat melden in zijn werk gaat.  

Wat sowieso al wel duidelijk is, is dat deze wetgeving gaat gelden voor alle sectoren en organisatie die cruciaal zijn voor de maatschappij. De gezondheidszorg, en haar ketenpartners, vallen hier ook onder. 

We weten nog niet hoe de Nederlandse NIS2-wetgeving er precies uit gaat zien, kan een zorgorganisatie dan nu al maatregelen nemen om zich voor te bereiden?
Jazeker, met de aanpassing van de Europese NIS2-richtlijn naar Nederlandse wetgeving zullen geen grote afwijkingen plaatsvinden. Het is dus zeker mogelijk, en ook aan te raden, om je als zorgorganisatie al voor te bereiden op deze wetgeving. 

Omdat het bij NIS2 belangrijk is om naar je hele keten te kijken kan PinkRoccade Cloud Solutions als leverancier zorgorganisaties ontzorgen. Wij hanteren intern een streng securitybeleid en laten ons hier ook periodiek op auditeren. Wanneer er een dienst bij PinkRoccade Cloud Solutions wordt afgenomen, wordt het risico daarmee overgedragen van bijvoorbeeld een ziekenhuis naar PinkRoccade Cloud Solutions. Wij treffen altijd de beste securitymaatregelen om het risico te mitigeren. Op deze manier hoeven de zorgorganisaties zich hierover geen zorgen meer te maken. 

Ik hoop dat dit artikel meer duidelijk heeft gemaakt wat NIS2 is en vooral wat dit gaat betekenen voor zorgorganisaties. Lees ook dit 2e artikel waarin we dieper ingaan op de verschillende eisen die aan zorgorganisatie worden gesteld.