Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

CBWeetjes: incidenten melden

In het najaar van 2025 treedt de Cyberbeveiligingswet in werking. Vanaf dat moment krijgen betrokken zorgorganisaties een meldplicht voor (cyber)incidenten. Wanneer precies een (cyber)incident gemeld moet worden, wordt in Den Haag nog vastgesteld. Maar wat is er voor de zorgsector al wel bekend?

Drempelwaarden

Incidenten waarvan de impact boven een bepaalde drempelwaarde uitkomt, moeten volgens de Cyberbeveiligingswet gemeld worden in een centraal portaal. De drempelwaarde is een vastgestelde grens voor de ernst of impact van een incident. Wat de drempelwaarden precies worden, wordt nog beschreven in een algemene maatregel van bestuur en/of een ministeriële regeling per sector. Het genoemde portaal is echter nog niet voor iedereen beschikbaar. Hieronder staan wat feiten over de meldplicht die al wel bekend zijn:

  • Zorgorganisaties moeten incidenten die voldoen aan de vastgestelde drempelwaarden verplicht melden in het portaal. Incidenten met minder impact dan de drempelwaarden, kunnen vrijwillig gemeld worden.
  • De meldplicht heeft als doel om een CSIRT snel te informeren over incidenten, zodat zij gericht ondersteuning kan bieden en de sector kan waarschuwen voor mogelijke kwetsbaarheden. Hiermee wordt verspreiding beperkt en verdere maatschappelijke ontwrichting verminderd. Voor de zorgsector biedt Z-CERT deze ondersteuning bij incidenten.
  • Verplichte meldingen komen bij de Inspectie Gezondheidszorg en Jeugd (IGJ) terecht voor eventueel toezicht. Z-CERT geeft geen gegevens door aan de IGJ. Voor het melden van incidenten geldt: hoe sneller hoe beter. Daarom staat in de Cyberbeveiligingswet een termijn van 24 uur voor het melden van een incident. Geen werkuren, maar klokuren! Dat is een kortere tijd dan de 72 uur die geldt voor het melden van datalekken bij de Autoriteit Persoonsgegevens.

De periode van 24 uur begint op het moment dat de organisatie ontdekt dat er een incident is dat veel impact heeft. Ontstaat een incident op maandag en merkt de organisatie het incident pas op woensdag op, dan begint de 24 uur van de meldplicht op woensdag.

Er is geen wettelijke verplichting om binnen 24 uur een incident te ontdekken. Er is dus ook geen verplichting om een 24x7 (interne of uitbestede) detectiedienst in te regelen. Vanuit de zorgplicht is het echter belangrijk om, op basis van de risicoanalyse en risico's, na te denken over een acceptabel niveau van detectie en monitoring voor kritieke systemen binnen de organisatie. Z-CERT heeft met een aantal aanbieders van SOC-diensten mantelovereenkomsten afgesloten. Op die manier is er voor elke zorgaanbieder wat te kiezen en kunnen inkooptrajecten bij instellingen versneld worden.

Voorbereiden op incident response

Snelle detectie is het begin van snelle respons en het beperken van de schade. Dat geldt nu ook al en is net zo goed van toepassing op organisaties die niet met de Cyberbeveiligingswet te maken zullen krijgen. Voor elke organisatie is het daarom van belang om de volgende vragen te beantwoorden:

  • Worden belangrijke dreigingen of verstoringen 24x7 gedetecteerd?
  • Kunnen medewerkers 24x7 een incident intern melden?
  • Is er 24x7 bemensing om te reageren op incidentmeldingen?
  • Is het 24x7 mogelijk om een eigen IT-leverancier, een eventuele verzekeraar, Z-CERT of een incident response-partij in te schakelen?
  • Passen de antwoorden op bovenstaande vragen bij de continuïteitseisen en de risico’s die u wilt lopen?

Als u de laatste vraag oprecht met ‘ja’ beantwoordt, dan hoeft u er rondom de meldplicht vanuit de Cyberbeveiligingswet alleen maar voor te zorgen dat u in staat bent om binnen 24 uur een incident te melden in het daarvoor bestemde portaal. Is het antwoord op de laatste vraag ‘Nee’, dan heeft u op dit vlak meer te doen. Dat is ook zonder Cyberbeveiligingswet belangrijk, dus kom nu in actie!