Vragen en antwoorden over de richtlijn Netwerk en Informatiebeveiliging (NIS2)

De NIS2 is een Europese richtlijn die maatregelen beschrijft om het niveau van cybersecurity van Europese organisaties en instellingen (waaronder ook de zorgsector) te verhogen. Zoals de naam aangeeft, is het een herziening van de oorspronkelijke (eerste) NIS-richtlijn uit 2016. De NIS2-richtlijn is op 16 januari 2023 in werking getreden en dient voor 17 oktober 2024 nationaal te worden omgezet in nationale wet- en regelgeving. In Nederland zal dat gebeuren via een aanpassing van de bestaande Wet beveiliging netwerk en informatiesystemen (Wbni).

Er is inhoudelijk geen verschil. De NIS2 is de afkorting gebaseerd op de Engelse naam van de richtlijn (Network and Information Security Directive). NIB2 verwijst naar de Nederlandse titel van de richtlijn (Netwerk- en informatiebeveiliging richtlijn). Voor de duidelijkheid houden wij hier één term aan, namelijk NIS2.

De Wet beveiliging netwerk- en informatiesystemen (Wbni) is erop gericht om de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen. De Wbni verplicht aanbieders van essentiële diensten en digitale dienstverleners om maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen tegen incidenten. Voor ernstige incidenten geldt een meldplicht. De NIS1-richtlijn is in Nederland geïmplementeerd in de Wbni, die per 9 november 2018 geldt. De komst van de NIS2-richtlijn leidt daarom tot een herziening van de Wbni.

Naast de Wbni trad op 9 november 2018 ook het Besluit beveiliging netwerk- en informatiesystemen (Bbni) in werking. In het Bbni staan onder meer welke organisaties vallen onder de Wbni. De huidige vitale aanbieders zijn onder andere drinkwatervoorziening, energie en de financiële sector. De sector gezondheidszorg valt niet onder de huidige Wbni, maar de zorgsector zal wel onder de NIS2 -en dus de herziene Wbni- vallen.

De zorgsector is breed gedefinieerd in de NIS2. In de NIS2-richtlijn wordt een aantal categorieën benoemd die onder de zorgsector vallen. Dit zijn:

– Zorgaanbieders

– EU-referentielaboratoria (gespecialiseerde laboratoria die zijn aangewezen door de Europese Commissie om ervoor te zorgen dat laboratoriumtesten binnen de Europese Unie nauwkeurig en betrouwbaar zijn)

– Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen

– Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen

– Entiteiten die medische hulpmiddelen vervaardigen die in het kader van de noodsituatie op het gebied van de volksgezondheid als kritiek worden beschouwd

Er wordt verschil gemaakt tussen ‘essentiële’ en ‘belangrijke’ entiteiten. Als je als zorgorganisatie meer dan 50 fte groot bent en/of 10 miljoen euro jaarlijks aan omzet heeft, ben je een belangrijke entiteit. Als je meer dan 250 fte groot bent en/of 50 miljoen jaarlijks aan omzet hebt, ben je een essentiële entiteit.

Alle bepalingen uit de NIS2 zijn zowel op essentiële als belangrijke entiteiten van toepassing. Het verschil is de manier waarop toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ) wettelijk zal worden georganiseerd. Hoe dit wordt opgenomen in de wet- en regelgeving voor de zorg wordt momenteel uitgewerkt. Daarnaast kunnen entiteiten die niet automatisch onder de NIS2 vallen, maar wel een essentiële rol vervullen in de maatschappij, door het ministerie van VWS worden aangewezen als essentiële entiteit.

Voor alle zorginstellingen.

Naar verwachting zal de wet op 17 oktober 2024 in werking treden. De organisaties die onder de NIS2-richtlijn vallen, moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.

Vooruitlopend op de komst van de nationale wetgeving kunnen organisaties zich alvast voorbereiden op hun zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. Op de sites van het Z-CERT, het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center staan bijvoorbeeld een aantal maatregelen die organisaties kunnen implementeren om zich beter te beschermen tegen risico’s en schade door cyberaanvallen. En op de website gegevensuitwisselingindezorg.nl van VWS is meer informatie te vinden onder het kopje Fysieke en digitale weerbaarheid.
Ook kan er gedacht worden aan het:

  • in kaart brengen van de gebruikte netwerk- en informatiesystemen
  • inventariseren en analyseren van risico’s
  • opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing en het organiseren van incident response. Identificeren van alternatieve toeleveringsketens.
  • bewustwording van personeel van risico’s en te nemen maatregelen
  • het reserveren van budget en capaciteit dat nodig is om aan de richtlijnen te voldoen
  • aansluiten bij Z-CERT, het sectorale Computer Emergency Response Team voor de zorg.

De AVG komt net als de NIS2 voort uit Europese wetgeving, maar richt zich op privacy en beschrijft hoe bedrijven en organisaties moeten omgaan met het verzamelen, opslaan en beheren van persoonsgegevens. De NIS2 richt zich echter op hoe bedrijven en organisaties de informatiebeveiliging op orde dienen te hebben.

De NEN7510 is momenteel al verplicht voor zorginstellingen. De voorwaarden van de NEN7510 komen deels terug in de NIS2, maar de nieuwe richtlijn stelt nog meer eisen.

Naast het nemen van maatregelen op het gebied van digitale veiligheid (de zorgplicht, waarop de NEN7510 het kader biedt) dienen belangrijke en essentiële entiteiten volgens de NIS2 grootschalige incidenten te melden (meldplicht). Bij ernstige bedreigingen van hun netwerk dienen zorgorganisaties de ontvangers van hun diensten te informeren over mogelijke gevolgen (informatieplicht). Ook benadrukt de NIS2 dat bestuurders van belangrijke en essentiële entiteiten de verantwoordelijkheid dragen als het gaat om informatiebeveiliging.

De NIS2-richtlijn is op 16 januari 2023 in werking getreden en dient voor 17 oktober 2024 nationaal te worden omgezet in nationale wet- en regelgeving. In Nederland zal dat gebeuren via een aanpassing van de bestaande Wet beveiliging netwerk en informatiesystemen (Wbni). Vervolgens zal in lagere wetgeving de toezichthouder worden aangewezen. Het ligt voor de hand dat voor de zorg de Inspectie Gezondheidszorg en Jeugd (IGJ) de toezichthouder wordt. Dit is in lijn met hun huidige toezichttaken op het gebied van informatiebeveiliging in de zorgsector.

De toezichthouder krijgt de bevoegdheid om boetes op te leggen, indien noodzakelijk. De mate van toezicht (en de maximale boete in geval van overtreding van de verplichtingen uit de NIS2-richtlijn) is voor essentiële entiteiten anders dan voor belangrijke entiteiten. Bij de NIS2 kan een boete worden opgelegd tot maximaal 10 miljoen euro of 2 procent van de wereldwijde omzet.

Binnen de huidige Wbni is Z-CERT aangemerkt als een vitaal computercrisisteam (CSIRT). De impact die de NIS2 zal hebben op de rol en dienstverlening van Z-CERT, wordt momenteel onderzocht en is eind juni gepubliceerd in een rapport over het CSIRT-landschap en de rol die onder andere Z-CERT hierin vervult. Binnen de NIS2 zijn een aantal taken die een CERT moet uitvoeren.
Z-CERT vervult nu voor de zorgsector een aantal taken op basis van lidmaatschap. Momenteel wordt gewerkt aan de omzetting en implementatie van de NIS2 in de Wbni en vervolgens zal in gedelegeerde wetgeving door VWS de rol van Z-CERT verder worden uitgewerkt.
Kijk voor meer informatie ook op deze websites:
Heeft u als zorgorganisatie nog aanvullende vragen over de NIS2, neem dan contact op met Z-CERT via [email protected].
Europese Commissie

De Nederlandse zorgsector digitaal veilig