De NIS 2-richtlijn: wat zijn de gevolgen voor de gezondheidssector?

De NIS 2-richtlijn: wat zijn de gevolgen voor de gezondheidszorg?

Door

Vóór 17 oktober 2024 dienen alle lidstaten van de Europese Unie (EU) de implementatie van de EU Netwerk- en Informatiebeveiliging 2 Richtlijn (NIS 2) in hun nationale wetgeving af te ronden. NIS 2 introduceert uitgebreide maatregelen voor cybersecurity risicobeheer en meldingsplichten, gericht op een breed scala van kritieke sectoren.

NIS 2 heeft gevolgen voor een veelheid aan organisaties, waaronder de gezondheidszorg. Terwijl NIS 1 bepaalde delen van de gezondheidszorg besloeg, omvat NIS 2 nu een uitgebreider bereik van entiteiten, waaronder EU-referentielaboratoria, producenten van specifieke medische apparatuur en farmaceutische producten, en organisaties die belangrijk farmaceutisch onderzoek en ontwikkeling verrichten.

De NIS 2-richtlijn is op 16 januari 2023 in werking getreden en dient dus voor 17 oktober van het volgende jaar te worden omgezet in nationale wet- en regelgeving. In Nederland zal dat gebeuren via een aanpassing van de bestaande Wet beveiliging netwerk en informatiesystemen (Wbni). Vervolgens zal in lagere wetgeving de toezichthouder worden aangewezen. Het ligt voor de hand dat voor de zorg de Inspectie Gezondheidszorg en
Jeugd (IGJ) de toezichthouder wordt.

Wat zijn de kernpunten van NIS 2 en de noodzakelijke stappen die organisaties in de gezondheidszorg en gerelateerde sectoren moeten nemen om te voldoen aan de richtlijn zodra deze van kracht wordt in elke EU-lidstaat?

Kernveranderingen in NIS2

De nieuwe richtlijn brengt aanzienlijke wijzigingen ten opzichte van NIS 1 met zich mee, waaronder een uitbreiding van de reikwijdte en diepgang van verplichtingen:

  • Uitgebreider bereik: NIS 2 omvat nu een breder scala aan sectoren, waardoor meer diverse bedrijven en organisaties die voorheen niet onder NIS 1 vielen, nu onderworpen zijn aan de cybersecurityvereisten.
  • Directe verantwoordelijkheden voor het management: NIS 2 stelt expliciete eisen aan het management van organisaties, waarbij niet-naleving kan leiden tot strenge straffen.
  • Gedetailleerde risicobeheermaatregelen: NIS 2 specificeert uitgebreide maatregelen voor cyber risicobeheer die alle betrokken organisaties moeten toepassen.
  • Focus op beheer van toeleveringsketens: NIS 2 benadrukt het belang van cybersecurity in de gehele toeleveringsketen en in relaties met leveranciers, wat betekent dat organisaties de beveiliging van hun leveranciers en dienstverleners moeten evalueren en verbeteren.
  • Verbeterde meldingsplicht bij incidenten: NIS 2 verfijnt en versterkt de eisen voor het melden van incidenten.
  • Versterkte toezichthoudende autoriteiten: NIS 2 geeft toezichthoudende autoriteiten meer macht om toezicht te houden en regulering uit te voeren, inclusief de mogelijkheid tot audits en inspecties, vooral bij organisaties die als “essentiële entiteiten” worden beschouwd.
  • Strengere sancties bij niet-naleving: NIS 2 introduceert strengere straffen voor niet-naleving, waaronder boetes, waarschuwingen, bindende instructies, opschorting van activiteiten en verbod op managementfuncties.

Impact op de gezondheidszorg

Onder de oorspronkelijke NIS 1 Richtlijn werden gezondheidszorgdiensten, zoals die geleverd door professionals voor het beoordelen, behouden of herstellen van de gezondheid van patiënten, inclusief medicatie en medische apparatuur, gedefinieerd als essentiële diensten. Deze organisaties waren daardoor onderhevig aan strikte beveiligingsmaatregelen en handhavingsprocedures.

Met de komst van NIS 2 worden deze beveiligingsstandaarden uitgebreid. Nu vallen niet alleen de onder NIS 1 gedefinieerde gezondheidszorgorganisaties hieronder, maar ook aanvullende subsectoren. Dit omvat fabrikanten van medische en in-vitrodiagnostische apparaten, en apparatuur die essentieel is tijdens volksgezondheidscrises. Deze uitgebreide groep moet nu ook voldoen aan de nieuwe regelgevende vereisten.

Wie valt er onder NIS 2?

Het is cruciaal voor gezondheidszorgentiteiten, inclusief fabrikanten van medische apparatuur, om te bepalen of ze onder NIS2 vallen. Criteria hiervoor zijn: (i) het leveren van diensten of het uitvoeren van activiteiten binnen de EU; (ii) het hebben van 50 of meer werknemers en een jaaromzet van meer dan 10 miljoen euro; en (iii) actief zijn in een van de in de Richtlijn genoemde sectoren.

Voorbeelden van organisaties die onder NIS2 kunnen vallen, zijn zorgverleners, EU-referentielaboratoria, geneesmiddelenonderzoek- en ontwikkelingsbedrijven, producenten van basisfarmaceutische producten, en fabrikanten van medische en in-vitrodiagnostische apparaten.

In sommige gevallen kunnen gezondheidszorgorganisaties, ongeacht hun grootte en omzet, onder NIS2 vallen. Dit geldt wanneer hun dienstonderbrekingen een significant effect op de volksgezondheid kunnen hebben, of wanneer ze als “kritieke entiteit” worden beschouwd onder de Richtlijn over de Veerkracht van Kritieke Entiteiten (EU) 2022/2557. Hoewel deze regels de basis vormen, kunnen individuele lidstaten kiezen voor strengere regelgevingen in hun nationale wetgeving.

De verplichtingen

NIS 2 introduceert een uitgebreid nalevingskader voor organisaties binnen zijn reikwijdte, gericht op het implementeren van adequate en evenredige cybersecurity risicobeheersingsmaatregelen. Deze maatregelen, uiteengezet in Artikel 21 van NIS 2, bestrijken diverse aspecten, waaronder technische, operationele en organisatorische elementen. We noemen de meest in het oog springende onderdelen van dit kader:

Een belangrijk onderdeel van NIS 2 is de nadruk op beveiliging binnen de toeleveringsketen. Organisaties worden aangemoedigd om de beveiligingsaspecten in hun relaties met leveranciers en dienstverleners grondig te beoordelen en aan te pakken, om zo de veiligheid van de gehele keten te waarborgen en kwetsbaarheden te voorkomen. Daarnaast vereist de richtlijn dat organisaties beveiliging integreren in elke fase van de levenscyclus van netwerk- en informatiesystemen, waaronder de fasen van verwerving, ontwikkeling en onderhoud. Dit zorgt ervoor dat beveiliging een integraal onderdeel vormt van deze processen.

Een ander belangrijk aspect is het beleid voor het beoordelen van de effectiviteit van risicobeheersmaatregelen. Organisaties moeten procedures ontwikkelen om te verzekeren dat de genomen maatregelen effectief zijn in het bereiken van het gewenste beveiligingsniveau en risicovermindering. Basispraktijken voor cyberhygiëne en cybersecuritytraining zijn ook essentieel. Organisaties worden aangemoedigd om dergelijke praktijken te vestigen en te bevorderen, en hun personeel te voorzien van relevante training.

Verder moeten organisaties beleidsrichtlijnen opstellen voor risicoanalyse en de beveiliging van informatiesystemen. Deze richtlijnen bieden een kader voor het identificeren en beheren van cybersecurityrisico’s.

Bedrijfscontinuïteit is een ander cruciaal element. Organisaties moeten plannen ontwikkelen voor bedrijfscontinuïteit, inclusief back-upbeheer, rampenherstelprocedures en crisismanagementstrategieën, om de bedrijfsvoering te kunnen voortzetten in geval van een cybersecurityincident. Het beleid en de procedures met betrekking tot het gebruik van cryptografie zijn ook van belang. Versleuteling moet worden toegepast waar nodig om gevoelige gegevens en communicatie te beschermen. Ook de ontwikkeling van protocollen voor incidentafhandeling is een vereiste onder NIS 2. Deze protocollen moeten richtlijnen bieden voor een effectieve respons op en omgang met cybersecurityincidenten.

Tot slot benadrukt NIS 2 het belang van goed beheer van menselijke hulpbronnen, toegangscontrolebeleid en activabeheer. Dit zorgt ervoor dat de toegang tot kritieke systemen en gegevens adequaat wordt gecontroleerd en gemonitord. Bovendien worden organisaties aangemoedigd om, waar van toepassing, multifactorauthenticatie of continue authenticatieoplossingen te implementeren, evenals beveiligde communicatiesystemen voor spraak, video en tekst, en noodcommunicatiesystemen.

Al met al een hele lijst dus …

Rapportage verplichtingen

Onder NIS 2 zijn zowel essentiële als belangrijke organisaties onderhevig aan dezelfde verplichtingen voor het rapporteren van incidenten. Volgens de Richtlijn wordt een meldbaar incident gedefinieerd als een “gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door, of toegankelijk zijn via, netwerk- en informatiesystemen” die een aanzienlijke impact heeft op de levering van hun diensten. Een incident wordt als “significant” beschouwd als:

  • het heeft geleid tot of in staat is tot ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken organisatie; 
  • of het heeft andere natuurlijke of rechtspersonen beïnvloed of kan dit doen door aanzienlijke materiële of immateriële schade te veroorzaken.

Binnen de eerste 24 uur nadat een organisatie zich bewust wordt van een incident, moeten zij een “vroegtijdige waarschuwing” geven. Dit is een initiële rapportage die essentiële details van het incident bevat, zoals of het vermoedelijk onrechtmatig of kwaadwillig is veroorzaakt en of het grensoverschrijdende gevolgen heeft.

Binnen 72 uur zijn organisaties verplicht om de vroegtijdige waarschuwing op te volgen door een meer gedetailleerd incidentrapport in te dienen. Binnen een maand moet een uitgebreid definitief rapport worden ingediend, met diepgaande informatie over het incident.

Gevolgen van niet-naleving

Niet-naleving van NIS 2 kan leiden tot diverse sancties, waaronder administratieve boetes, waarschuwingen, bindende instructies, opschorting van activiteiten, en het verbieden van leidinggevende functies, enz.

Essentiële organisaties kunnen boetes krijgen tot 10 miljoen euro of 2% van hun wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is, terwijl belangrijke organisaties boetes kunnen krijgen tot 7 miljoen euro of 1,4% van hun wereldwijde jaaromzet.

Hoe moeten organisaties zich voorbereiden?

Als reactie op de vereisten van NIS 2 moeten organisaties, met name die in de gezondheidszorgsector, verschillende proactieve stappen ondernemen om naleving te waarborgen en hun cyberbeveiligings- en veerkrachtvermogen te verbeteren. Wat kunt u doen om u voor te bereiden?

  • In hoeverre moet u compliant zijn.
    Organisaties die onder de NIS 2 regeling vallen, moeten beginnen met het identificeren van de specifieke vereisten die van toepassing zijn op hun activiteiten. Het is belangrijk om een duidelijk begrip te krijgen van hun verplichtingen met betrekking tot cyber risicobeheer en incidentrapportage. Deze evaluatie moet rekening houden met het feit dat verschillende lidstaten mogelijk aanvullende vereisten en sectorspecifieke regelgeving hebben die NIS2 aanvullen.
  • Identificeer uw tekortkomingen.
    Veel organisaties in de gezondheidszorg, met name die al onderworpen waren aan NIS1, kunnen al processen hebben geïmplementeerd om cyberscurity te waarborgen. Deze bestaande processen zijn echter mogelijk niet (meer) in lijn met de strengere vereisten die NIS 2 heeft geïntroduceerd. Daarom is het essentieel voor organisaties in de gezondheidszorg en fabrikanten van medische apparaten die nu onder NIS 2 vallen, om een grondige analyse uit te voeren om discrepanties tussen bestaande processen en de nieuwe verplichtingen onder NIS 2 te identificeren.
  • Budget voor implementatie van wijzigingen.
    Het implementeren van de vereisten van NIS 2 kan aanzienlijke financiële investeringen vergen. De Europese Commissie geeft aan dat organisaties die al onderworpen waren aan NIS1, een toename van maximaal 12% in hun uitgaven voor informatie- en communicatietechnologie (ICT) moeten verwachten in de eerste jaren na de implementatie van NIS 2. Voor organisaties die niet eerder onder NIS1 vielen, wordt de geschatte kostenstijging hoger ingeschat, namelijk 22%. Organisaties moeten daarom hun budgetten aanpassen om ervoor te zorgen dat ze over de benodigde middelen beschikken om aan de vereisten van de Richtlijn te voldoen.
  • Beoordeel uw toeleveringsketens.
    Organisaties die onder de reikwijdte van NIS 2 vallen, moeten ook hun toeleveringsketens beoordelen en overwegen welke wijzigingen nodig zijn in hun overeenkomsten met leveranciers. Aanpassingen moeten worden gedaan om ervoor te zorgen dat er adequaat beveiligingsmaatregelen en beschermingen zijn voor toekomstige samenwerkingen. Organisaties moeten mechanismen en vereisten vaststellen die hun beveiligingsnormen uitbreiden naar hun leveranciers.
  • Train uw medewerkers.
    Naleving van NIS 2 vereist een verhoogd bewustzijn van cyberbeveiliging en praktijken voor medewerkers op alle niveaus binnen de organisatie. Cybersecurity-trainingsprogramma’s moeten worden geïmplementeerd om medewerkers te voorzien van de kennis en vaardigheden die nodig zijn om risico’s te identificeren en cybersecurity-risico’s te evalueren. Deze training is ook van cruciaal belang voor het management, aangezien leden van bestuursorganen persoonlijk aansprakelijk kunnen worden gesteld als hun organisatie niet aan haar verplichtingen onder NIS 2 voldoet.

Kortom….

In het kort moeten organisaties zich voorbereiden op NIS 2 door de vereisten te begrijpen, tekortkomingen in hun huidige praktijken te identificeren, hun budgetten aan te passen voor verhoogde ICT-uitgaven, hun toeleveringsketens te evalueren en te beveiligen, en ervoor te zorgen dat hun medewerkers goed zijn opgeleid in cybersecurity. Het naleven van deze maatregelen is essentieel om te voldoen aan de strikte normen voor cybersecurity die in de Richtlijn zijn vastgelegd.

Organisaties kunnen proactief handelen in afwachting van de nationale wetgeving door nu al stappen te ondernemen om hun zorgplicht na te komen. Dit houdt in dat ze maatregelen implementeren die de veiligheid en veerkracht van hun processen en diensten versterken. Naast de bovenstaande punten hoe u zich kunt voorbereiden, hebben websites zoals die van Z-CERT, het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center diverse aanbevelingen voor organisaties om zich effectiever te wapenen tegen de risico’s en gevolgen van cyberaanvallen. Daarnaast biedt de website gegevensuitwisselingindezorg.nl van het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) uitgebreide informatie over fysieke en digitale weerbaarheid.

De volledige tekst van de NIS 2-richtlijn is te lezen via https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32022L2555

 

Vragen?

U kunt altijd contact met SolidBE opnemen mocht u een vraag hebben over een van de besproken onderwerpen (NIS, Overheid, Zorg ) of wanneer u assistentie nodig heeft om netwerk- of security vraagstukken op te lossen. Wij helpen u graag bij de beheren van een veilige en solide ICT omgeving!

Auteur

Boris Monkhorst is Marketing Coördinator bij SolidBE. Naast zijn taken als marketeer doet hij ook onderzoek naar trends en ontwikkelingen in de Cybersecurity en schrijft daar zo nu en dan een artikel over. Hij voert ook de eindredactie over het blog en de nieuwsbrief.

Meer artikelen van Boris Monkhorst | @LinkedIN

Tags: NIS, Overheid, Zorg
Lees meer

Ook interessant

Scroll naar boven