Begin dit jaar is de NIS2-richtlijn in werking getreden. Deze richtlijn is onderdeel van de EU-strategie voor cybersecurity en heeft als doel kritieke sectoren beter te beschermen. Op 17 oktober 2024 moet de richtlijn in alle EU-lidstaten zijn geïmplementeerd. Wat deze nieuwe richtlijn inhoudt en wat het betekent voor de zorgsector wordt in dit artikel nader besproken.
NIS2-richtlijn
‘NIS’ staat voor Network and Information Security. De richtlijn is gericht op een betere digitale en economische weerbaarheid van EU-lidstaten. Het richt zich op risico’s die netwerk- en informatiesystemen bedreigen zoals cyber-beveiligingsrisico’s. Denk hierbij aan het hacken van de systemen met patiëntgegevens erin. De richtlijn moet leiden tot een hoger niveau van cybersecurity bij bedrijven en organisaties.
Met de NIS2-richtlijn wordt de huidige NIS-richtlijn (EU/2026/1148) vervangen, die in Nederland is geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (“Wbni”). De NIS2-richtlijn moet uiterlijk 17 oktober 2024 zijn omgezet in nationaal recht. In Nederland zal hiervoor waarschijnlijk in de Wbni worden aangepast.
Welke organisaties vallen onder de richtlijn?
Organisaties vallen automatisch onder de NIS2-richtlijn wanneer de organisatie actief is in een sector die opgenomen is in een van de twee bijlagen van de richtlijn, én ze aan te merken zijn als ‘essentiële’ of ‘belangrijke’ entiteit.
- Bijlage 1 bevat bijvoorbeeld de sectoren energie, bankwezen, drinkwater en gezondheidszorg.
- Bijlage 2 bevat bijvoorbeeld afvalstoffenbeheer en post- en koeriersdiensten.
De organisatie is een ‘essentiële’ entiteit onder de NIS2-richtlijn wanneer voldaan is aan de volgende vereisten:
- Het is een grote entiteit die actief is in een sector uit bijlage 1.
- Een organisatie is groot als er minimaal 250 werknemers werken; of de organisatie een jaaromzet van meer dan 50 miljoen én een balanstotaal van meer dan 43 miljoen heeft.
De organisatie is een ‘belangrijke’ entiteit onder de NIS2-richtlijn wanneer voldaan is aan de volgende vereisten:
- Het is een middelgrote entiteit die actief is in een sector uit bijlage 1 of het is een middelgrote of grote organisatie die actief is in een sector uit bijlage 2.
- Een organisatie is middelgroot als er minimaal 50 werknemers werken; of de organisatie een jaaromzet óf balanstotaal van meer dan 10 miljoen euro heeft.
De NIS2-richtlijn is van toepassing op alle organisaties in de gezondheidszorg die ook al onder de NIS-richtlijn vielen. Echter, voorziet de NIS2-richtlijn in een veel ruimere werkingssfeer waardoor een groter aantal zorgentiteiten onder deze richtlijn vallen, waaronder EU-referentielaboratoria, entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren en fabrikanten van medische hulpmiddelen (zoals gedefinieerd in artikel 2(1) Verordening (EU) 2017/745), medische hulpmiddelen voor in-vitrodiagnostiek en medische hulpmiddelen die als kritiek worden beschouwd tijdens een noodsituatie op het gebied van volksgezondheid.
Hoewel de sector gezondheidszorg ook al was benoemd in de NIS-richtlijn, zijn er in Nederland onder de Wbni momenteel nog geen essentiële en belangrijke entiteiten binnen deze sector aangewezen.
Bent u een essentiële en belangrijke entiteit?
Wanneer de organisatie binnen de gezondheidszorgsector groot is, is het aan te merken als een essentiële entiteit en wanneer de organisatie binnen de zorgsector middelgroot is, als een belangrijke entiteit. Zorgaanbieders en entiteiten die binnen de sub-sectoren van de gezondheidszorg vallen, waaronder dus fabrikanten van medische hulpmiddelen, moeten bepalen of ze als “belangrijke” of “essentiële” entiteit worden beschouwd onder deze richtlijn. Dit onderscheid is belangrijk omdat voor elke categorie andere vereisten gelden.
Bij uitval van de diensten van een essentiële entiteit wordt een groter ontwrichtende impact op de economie en samenleving verwacht dan van een belangrijke entiteit. Daarom vallen essentiële entiteiten onder een strenger en intensiever regime.
Kernverplichtingen
Zorgplicht
De entiteiten die onder de NIS2-richtlijn vallen hebben een zorgplicht om zelf een risicobeoordeling uit te voeren. Op basis van deze beoordeling dienen zij passende maatregelen te nemen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en hun informatie te beschermen.
Meldplicht
Met de NIS2-richtlijn zijn de vereisten verduidelijkt en verscherpt voor het melden van incidenten. Een incident wordt gedefinieerd als een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt.
Op grond van de NIS2-richtlijn zijn organisaties die onder de richtlijn vallen verplicht elk incident dat aanzienlijke gevolgen heeft voor de verlening van hun diensten onverwijld te melden bij de bevoegde autoriteit. Momenteel wordt nog uitgewerkt welke sectoren onder welke bevoegde autoriteit komen te vallen. De Minister voor Medische Zorg en Sport is op dit moment de bevoegde autoriteit voor de sector gezondheidszorg. Incidenten moeten ook gemeld worden bij zijn Computer Security Incident Response Team (“CSIRT”). Dit team kan hulp en bijstand leveren wanneer een incident plaats vindt. In Nederland is op grond van de huidige Wbni het Nationaal Cyber Security Centrum (“NCSC”) het aangewezen CSIRT.
Hierbij gaat het dus om incidenten die de verlening van de dienst aanzienlijk verstoren. Wanneer het incident aanzienlijk de dienst verstoort, en dus gemeld moet worden, is afhankelijk van verschillende factoren. Het aantal personen dat door de verstoring is geraakt, de duur van de verstoring en de mogelijke financiële gevolgen spelen hierbij een rol.
Het meldproces bestaat uit vier fasen:
- binnen 24 uur nadat zij voor het eerst op de hoogte is van een incident, moeten getroffen bedrijven een vroegtijdige waarschuwing indienen (d.w.z. een melding met basisinformatie over het incident zoals of het incident vermoedelijk onrechtmatig of kwaadwillig is veroorzaakt en of het waarschijnlijk een grensoverschrijdend effect zal hebben);
- binnen 72 uur moeten organisaties de vroegtijdige waarschuwing actualiseren met een uitgebreidere melding van het incident;
- op verzoek van het CSIRT en, indien van toepassing, de bevoegde autoriteit moet een tussentijds verslag worden ingediend; en
- binnen een maand moet een gedetailleerd eindverslag worden ingediend.
Toezicht
De entiteiten die onder de richtlijn vallen komen onder toezicht te staan. Binnen dit toezicht wordt er gekeken of de verplichtingen uit de richtlijn worden nageleefd. Er wordt onderscheid gemaakt tussen ex ante en ex post toezicht.
Essentiële entiteiten zullen worden onderworpen aan een uitgebreid toezichtregime ex ante en ex post, waarbij ze systematisch de maatregelen moeten documenteren die zijn genomen om te voldoen aan de risicobeheersmaatregelen op het gebied van cyberbeveiliging.
Het ex-ante toezicht kan bestaan uit strikte audits, waaronder inspecties ter plaatse en toezicht elders, regelmatige en gerichte beveiligingsaudits die worden uitgevoerd door een onafhankelijke instantie of de desbetreffende bevoegde autoriteit en ad-hoc audits wanneer dit gerechtvaardigd is door een significante incident of inbreuk van de NIS2 bepalingen.
Voor belangrijke entiteiten wordt dit toezicht alleen ex-post uitgevoerd. Dit betekent dat bevoegde autoriteiten alleen onderzoeken zullen uitvoeren naar deze entiteiten als er bewijs, een aanwijzing of informatie is dat zij hun verplichtingen in het kader van NIS2-richtlijn hebben geschonden.
Aanbeveling
Aan te bevelen is om dit onderwerp prioriteit te maken bij jouw organisatie binnen de zorgsector. Daarnaast kan je al actie ondernemen om op tijd te voldoen aan de aankomende wetgeving.
Wat kan je als organisatie al doen?
Inventariseer en analyseer de huidige risico’s, stel bedrijfscontinuïteitsplannen en protocollen voor crisisbeheersing op en identificeer alternatieve toeleveringsketens. Het is belangrijk dat organisaties en het personeel daarbinnen zich bewust worden van de risico’s en de te nemen maatregelen. Daarnaast zijn er al verschillende basismaatregelen die getroffen kunnen worden om cyberaanvallen tegen te gaan. Zie https://www.ncsc.nl/onderwerpen/basismaatregelen hiervoor.
Heb je vragen over cybersecurity binnen de zorg? Neem dan contact op met Rosalie Brand.