Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Vragen en antwoorden over de richtlijn Netwerk en Informatiebeveiliging (NIS2)

Wat is het verschil tussen de NIS2 en de NIB2?

Er is inhoudelijk geen verschil. De NIS2 is de afkorting gebaseerd op de Engelse naam van de richtlijn (Network and Information Security Directive). NIB2 verwijst naar de Nederlandse titel van de richtlijn (Netwerk- en informatiebeveiliging richtlijn). Voor de duidelijkheid houden wij hier één term aan, namelijk NIS2. De Europese richtlijn wordt omgezet in Nederlandse wetgeving in de Cyberbeveiligingswet (Cbw).

Wat is de Wet beveiliging netwerk- en informatiesystemen (Wbni)?

De Wet beveiliging netwerk- en informatiesystemen (Wbni) is erop gericht om de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen. De Wbni verplicht aanbieders van essentiële diensten en digitale dienstverleners om maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen tegen incidenten. Voor ernstige incidenten geldt een meldplicht. De NIS1-richtlijn is in Nederland geïmplementeerd in de Wbni, die per 9 november 2018 geldt. De NIS2-richtlijn wordt in Nederland omgezet in de Cyberbeveiligingswet, de opvolger van de Wbni.

Naast de Wbni trad op 9 november 2018 ook het Besluit beveiliging netwerk- en informatiesystemen (Bbni) in werking. In het Bbni staan onder meer welke organisaties vallen onder de Wbni. De huidige vitale aanbieders zijn onder andere drinkwatervoorziening, energie en de financiële sector. De sector gezondheidszorg valt niet onder de huidige Wbni, maar de zorgsector zal wel onder de NIS2 -en dus de Cyberbeveiligingswet- vallen.

Welke organisaties behoren tot de sector gezondheidszorg?

De zorgsector is breed gedefinieerd in de NIS2. In de NIS2-richtlijn wordt een aantal categorieën benoemd die onder de zorgsector vallen. Dit zijn:

  • Zorgaanbieders
  • EU-referentielaboratoria (gespecialiseerde laboratoria die zijn aangewezen door de Europese Commissie om ervoor te zorgen dat laboratoriumtesten binnen de Europese Unie nauwkeurig en betrouwbaar zijn)
  • Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
  • Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen
  • Entiteiten die medische hulpmiddelen vervaardigen die in het kader van de noodsituatie op het gebied van de volksgezondheid als kritiek worden beschouwd

Er wordt verschil gemaakt tussen ‘essentiële’ en ‘belangrijke’ entiteiten. Als je als zorgorganisatie meer dan 50 fte groot bent en/of 10 miljoen euro jaarlijks aan omzet heeft, ben je een belangrijke entiteit. Als je meer dan 250 fte groot bent en/of 50 miljoen jaarlijks aan omzet (of balanstotaal) hebt, ben je een essentiële entiteit.

Alle bepalingen uit de NIS2 zijn zowel op essentiële als belangrijke entiteiten van toepassing. Het verschil is de manier waarop toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ) wettelijk zal worden georganiseerd. Hoe dit wordt opgenomen in de wet- en regelgeving voor de zorg wordt momenteel uitgewerkt. Daarnaast kunnen entiteiten die niet automatisch onder de NIS2 vallen, maar wel een essentiële rol vervullen in de maatschappij, door het ministerie van VWS worden aangewezen als essentiële entiteit.

Geldt de NIS2 alleen voor ziekenhuizen of ook voor andere zorginstellingen die aan de criteria van omvang voldoen?

Voor alle zorginstellingen. Het ministerie van VWS houdt voor de Cbw de definitie van zorgaanbieder aan zoals die in de al bestaande Wet Kwaliteit Klachten en Geschillen in de Zorg (WKKGZ) beschreven is.

Wanneer dienen organisaties aan de nieuwe wet te voldoen?

Naar verwachting zal de wet op 17 oktober 2024 in werking treden. De organisaties die onder de NIS2-richtlijn vallen, moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.

In een antwoord op Kamervragen heeft de minister van Justitie en Veiligheid op 29 mei 2024 aangegeven dat de Cbw 'in het tweede of derde kwartaal van 2025 in werking zal treden'.

Welke maatregelen moet uw organisatie nemen?

Vooruitlopend op de komst van de nationale wetgeving kunnen organisaties zich alvast voorbereiden op hun zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. Op de sites van het Z-CERT, het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center staan bijvoorbeeld een aantal maatregelen die organisaties kunnen implementeren om zich beter te beschermen tegen risico’s en schade door cyberaanvallen. En op de website gegevensuitwisselingindezorg.nl van VWS is meer informatie te vinden onder het kopje Fysieke en digitale weerbaarheid.

Ook kan er gedacht worden aan het:

  • in kaart brengen van de gebruikte netwerk- en informatiesystemen
  • inventariseren en analyseren van risico’s
  • opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing en het organiseren van incident response. Identificeren van alternatieve toeleveringsketens.
  • bewustwording van personeel van risico’s en te nemen maatregelen
  • het reserveren van budget en capaciteit dat nodig is om aan de richtlijnen te voldoen
  • aansluiten bij Z-CERT, het sectorale Computer Emergency Response Team voor de zorg.
Wat hebben de AVG en de NIS2 met elkaar te maken?

De AVG komt net als de NIS2 voort uit Europese wetgeving, maar richt zich op privacy en beschrijft hoe bedrijven en organisaties moeten omgaan met het verzamelen, opslaan en beheren van persoonsgegevens. De NIS2 richt zich echter op hoe bedrijven en organisaties de informatiebeveiliging op orde dienen te hebben.

Wat heeft de NEN7510 te maken met de NIS2?

De NEN7510 is momenteel al verplicht voor zorginstellingen. De voorwaarden van de NEN7510 komen deels terug in de NIS2, maar de nieuwe richtlijn stelt nog meer eisen.

Naast het nemen van maatregelen op het gebied van digitale veiligheid (de zorgplicht, waarop de NEN7510 het kader biedt) dienen belangrijke en essentiële entiteiten volgens de NIS2 grootschalige incidenten te melden (meldplicht). Bij ernstige bedreigingen van hun netwerk dienen zorgorganisaties de ontvangers van hun diensten te informeren over mogelijke gevolgen (informatieplicht). Ook benadrukt de NIS2 dat bestuurders van belangrijke en essentiële entiteiten de verantwoordelijkheid dragen als het gaat om informatiebeveiliging.

Wie wordt de toezichthouder voor de zorgsector?

De NIS2-richtlijn is op 16 januari 2023 in werking getreden en dient voor 17 oktober 2024 nationaal te worden omgezet in nationale wet- en regelgeving. In Nederland zal dat gebeuren via een aanpassing van de bestaande Wet beveiliging netwerk en informatiesystemen (Wbni). Vervolgens zal in lagere wetgeving de toezichthouder worden aangewezen. Het ligt voor de hand dat voor de zorg de Inspectie Gezondheidszorg en Jeugd (IGJ) de toezichthouder wordt. Dit is in lijn met hun huidige toezichttaken op het gebied van informatiebeveiliging in de zorgsector.

Kan er een boete worden opgelegd?

De toezichthouder krijgt de bevoegdheid om boetes op te leggen, indien noodzakelijk. De mate van toezicht (en de maximale boete in geval van overtreding van de verplichtingen uit de NIS2-richtlijn) is voor essentiële entiteiten anders dan voor belangrijke entiteiten. Bij de NIS2 kan een boete worden opgelegd tot maximaal 10 miljoen euro of 2 procent van de wereldwijde omzet.

Wat heeft de NIS2 voor impact op de diensten van Z-CERT?

Binnen de huidige Wbni is Z-CERT aangemerkt als een vitaal computercrisisteam (CSIRT). De impact die de NIS2 zal hebben op de rol en dienstverlening van Z-CERT, wordt momenteel onderzocht en is eind juni gepubliceerd in een rapport over het CSIRT-landschap en de rol die onder andere Z-CERT hierin vervult. Binnen de NIS2 zijn een aantal taken die een CERT moet uitvoeren. Z-CERT vervult nu voor de zorgsector een aantal taken op basis van lidmaatschap. Momenteel wordt gewerkt aan de omzetting en implementatie van de NIS2 in de Wbni en vervolgens zal in gedelegeerde wetgeving door VWS de rol van Z-CERT verder worden uitgewerkt.

Waar vind ik meer informatie over de NIS2?

Kijk voor meer informatie ook op deze websites:

De volledige tekst van de NIS2-richtlijn

De factsheet van de Europese Commissie over de NIS2

Informatie vanuit VWS op gegevensuitwisselingindezorg.nl

rijksoverheid.nl


Heeft u als zorgorganisatie nog aanvullende vragen over de NIS2, neem dan contact op met Z-CERT via [email protected].