Nieuwe cybersecuritywet heeft impact op de zorg
Om organisaties beter te beschermen tegen cyberaanvallen, komt er een nieuwe Europese cybersecuritywet. Grote zorginstellingen, maar ook kleine praktijken moeten maatregelen nemen om straks aan de NIS2-eisen te voldoen.
Op dit moment geldt in Europa nog de eerste NIS (Network and Information Security) richtlijn. Deze werd in 2016 door de EU geïntroduceerd om essentiële sectoren en organisaties in alle lidstaten doeltreffender te beschermen tegen cyberaanvallen. “Omdat we in Europa zo sterk verbonden zijn, is het van belang dat alle landen op hetzelfde hoge veiligheidsniveau zitten”, legt Evert Stamhuis, hoogleraar Recht en Innovatie aan de Erasmus Universiteit, uit. “In 2017 werd dat bijvoorbeeld pijnlijk duidelijk toen de Rotterdamse haven door een aanval met gijzelsoftware NotPetya een paar dagen werd platgelegd. Daar had de rest van de EU ook last van.”
Bij de NIS1 konden de Europese lidstaten deels zelf bepalen welke sectoren en organisaties ‘essentieel’ waren en moesten voldoen aan de cybersecurityeisen. Waar bijvoorbeeld Duitsland de zorg wel aanwees als ‘essentiële sector’, deed Nederland dat niet. Stamhuis: “In de zorg zag men vooral op tegen de administratieve lasten en de kosten die dit met zich mee zou brengen. De minister ging daarin mee.”
‘Je raakt pas van cyberveiligheid doordrongen als het tekortschiet’
Met de komst van de NIS2 heeft de minister geen keus meer. Alle lidstaten moeten deze nieuwe EU-richtlijn medio 2024 in wetgeving hebben omgezet en de vrijblijvendheid is eraf: landen moeten de zorgsector als vitaal behandelen. Logisch, vindt Wouter Scherpenisse, die aan de Erasmus Universiteit promotieonderzoek doet naar cybersecurity-regulering.
“We zien de dreiging toenemen, ook in de zorg, waar digitalisering bovendien een speerpunt is geworden. Een paar jaar terug werden NHS-ziekenhuizen in Engeland getroffen door een grote cyberaanval. Dat kan in Nederland net zo goed gebeuren.”
Dat de nieuwe wetgeving gepaard zal gaan met extra administratie en kosten, staat vast. “De impact is in potentie vergelijkbaar met de invoering van de AVG”, zegt de promovendus, “maar de NIS2 moet niet als last uit Brussel worden gezien. Het is een stap naar een digitaal veiliger sector, al zal dat niet voor iedereen zo voelen. Je raakt pas van cyberveiligheid doordrongen als het tekortschiet.”
Uitgangspunt is dat zorgaanbieders met een werknemersbestand van meer dan 50 personen en een jaaromzet van meer dan 10 miljoen straks volledig aan alle NIS2-eisen moeten voldoen, maar ook kleinere praktijken krijgen te maken met extra eisen. ‘Het steen in de vijver-effect’, noemt Stamhuis dat. “Omdat huisartsen, fysiotherapeuten en tandartsen digitaal verbonden zijn met grotere entiteiten, zoals leveranciers van HIS-systemen, moeten ook zij maatregelen nemen.” Zo worden er verhoogde eisen gesteld aan hard- en software-infrastructuur, maar ook aan gedrag. “Dat betekent bijvoorbeeld cybersecurity-trainingen volgen en die aanbieden aan het personeel én aantonen dat iedereen die trainingen heeft gedaan.”
Niet afwachten
Hoe de implementatiewet er in Nederland precies uit gaat zien, is nog niet bekend. Voor de zomer verwacht het ministerie van Justitie en Veiligheid een conceptwetsvoorstel ter consultatie aan te beiden, maar Stamhuis adviseert niet te wachten tot de wetgeving definitief is. “Een groot deel van de grote instellingen in de zorg voldoet aan de NEN-7510. De verwachting is dat die norm goed zal aansluiten bij de NIS2-wetgeving, dus wie daaraan al voldoet, zit op het goede spoor. Is dat niet het geval, dan kun je met de ICT-beheerder kijken wat er nodig is om aan die norm te voldoen.”
Uiterlijk 17 oktober 2024 moet de definitieve wet in het Staatsblad zijn gepubliceerd. Daarna zal er ook gehandhaafd worden. “Niet meteen de dag erna”, voorspelt Scherpenisse, “maar de toezichthouder krijgt wel instrumenten om een en ander af te dwingen. Voor entiteiten die onder het NIS2-regime vallen, kunnen boetes oplopen tot 10 miljoen euro of 2 procent van de totale jaaromzet.”
