Customer portal Tel.: +31 (0)30 247 77 00

NIS2: Wat als andere zorginstellingen in de keten, samenwerkingspartners of leveranciers (nog) niet voldoen aan NIS2?

Blog

NIS2: Wat als andere zorginstellingen in de keten, samenwerkingspartners of leveranciers (nog) niet voldoen aan NIS2?

Wat is de NIS2?

Op 14 december 2022 is door het Europees Parlement akkoord gegeven op de NIS2-richtlijn. De richtlijn is nu in werking getreden en Nederland is bezig binnen 2 jaar de richtlijn te implementeren. Dit wordt omgezet in nieuwe of aangepaste wetgeving.

Het is nu aan de zorg om zich voor te bereiden op de komst van NIS2 met in ieder geval de minimaal gepubliceerde beheersmaatregelen. In dit blog pakken we één van de gepubliceerde maatregelen op: het beheersen van de risico’s in de toeleveringsketen.

Toenemende afhankelijkheid van leveranciers

De zorg wil zich focussen op zijn kerntaak, namelijk het leveren van goede zorg. Het uitbesteden van faciliterende en ondersteunende activiteiten is daarom belangrijk om te doen. Maar de afhankelijkheid van de toeleveringsketen wordt daarmee wel een stuk groter.

In de documentaire van Dodelijke Zorg van 15 september 2021 waarin een belangrijke EPD-leverancier “hard” aangepakt wordt is de afhankelijkheid duidelijk zichtbaar. Daarnaast is de verSaaSing van het landschap steeds actueler. De hulp van leveranciers bij de uitvoering van digitale uitwisseling, zoals bij de WEGIZ voorgeschreven wordt, is een noodzaak. In de tweede kamer ziet men ook in ieder geval sinds 2022 de afhankelijkheid en de moeite voor overstappen. In 2021 signaleert Z-cert de toeleveringsketen en de afhankelijkheid al als een risico. Dit risico is in de loop der jaren alleen maar groter geworden. Dit is de afgelopen jaren ook zichtbaar geweest met de Kaseya, Solarwinds en Citrix kwetsbaarheden publicaties en hacks. Dit zijn belangrijke incidenten geweest doordat deze bedrijven een onderdeel waren van de toeleveringsketen.

Verantwoordelijkheid in de toeleveringsketen?

Het is lastig om als individuele zorginstelling in één regio invloed uit te oefenen op bijv. landelijk, of zelfs mondiaal (zoals Microsoft), opererende grote leveranciers. Elke zorginstelling blijft echter zelf verantwoordelijk voor haar eigen toelevering risico’s en afhankelijkheden, ook al is de afhankelijkheid van leveranciers dus al breed erkent.

Hoe zorg je dan voor compliance aan de NIS2 als partijen in de toeleveringsketen niet meewerken of nog niet compliant zijn?

Om compliance aan de NIS2 te waarborgen, kun je als zorginstelling verschillende stappen ondernemen. Hieronder vind je verschillende punten waarmee je als zorginstelling zelf aan de slag kunt.

Het begint met het organiseren van de toeleveringsketen:

Contract- en leveranciersmanagement: zorg dat je het gehele proces van de toeleveringsketen in scope plaatst en van selectie tot retransitie compliant bent aan de NIS2.

Scoping van certificeringen: controleer of de dienst die je afneemt in scope is en er geen bevindingen zijn vanuit audits en dergelijke.

Periodieke controles: controleer regelmatig of alle afgesproken maatregelen nog steeds worden nageleefd. Dit helpt ook om nieuwe operationele risico’s te identificeren.

SBOM: maak gebruik van een Software Bill of Materials om inzicht te krijgen of een leverancier geraakt is bij publicatie van een High/High kwetsbaarheid (CVE). Hierdoor kan je snel schakelen en een leverancier eventueel helpen tijdige mitigatie toe te passen.

Aansluiten bij een RSO of andere koepel: sluit je aan bij een Regionaal Samenwerkingsverband Ondersteuning (RSO) om namens de regio of sluit aan bij een andere samenwerking om samen met andere regio’s en koepels druk op leveranciers uit te oefenen op het gebied van compliance aan de NIS2.

Bij het selecteren van een leverancier kun je ook de volgende zaken in acht nemen:

Leverancierseisen: neem in de leverancierseisen op dat je compliance eist aan de NIS2 en NEN7510.

BIV-classificaties: hanteer verschillende kwaliteitseisen met bijbehorende maatregelen, op gebied van beschikbaarheid, integriteit en vertrouwelijkheid van jouw informatie/datastroom.

Dataportabiliteit en retransitie: stel kwaliteitseisen op.

Escrow: maak afspraken over escrow om bepaalde garanties en eisen vast te leggen indien nodig.

Als zorginstelling blijf je periodiek controleren en werk je samen met leveranciers om de risico’s te blijven beperken. Hierbij kun je gebruik maken van pentesten, SIEM-informatie analyse en redteaming. Let er wel op dat bij periodieke controles en in de samenwerking nieuwe leveranciersrisico’s kunnen ontstaan, zoals het vervallen van een certificering of overname. Maak daarom een risico-afweging wanneer er wijzigingen optreden gedurende de looptijd van een samenwerking.

Tot slot kun je bij het beheren van data en het verminderen van risico’s letten op de volgende punten:

Beperken van autorisaties: verminder risico’s door het beperken van autorisaties.

Blijven controleren: blijf controleren of een leverancier voldoet aan de gestelde eisen.

Dataminimalisatie: minimaliseer data om risico’s te verkleinen.

Data protection impact assessment (DPIA) en/of risicoanalyse uitvoeren bij nieuwe projecten: breng de gehele informatie- en netwerkstroom van de keten in kaart en identificeer de bijhorende risico’s en implementeer maatregelen als mitigatie.

In sommige gevallen kun je niet vermijden dat je afhankelijk bent van andere partijen in je toeleveringsketen. Het is echter belangrijk dat je je bewust blijft van jouw eigen invloed op zaken zoals datamanagement, IAM, continuïteitsbeheer en leveranciersmanagement. Zo kun je controle houden over jouw eigen toeleveringsketen, inclusief de risico’s die daarmee gepaard gaan. Op deze manier kun je (blijven) voldoen aan de NIS2-regelgeving.
Heb jij hierbij hulp nodig? We staan graag klaar om de zorg te ondersteunen bij het tijdig voorbereiden op deze uitdagingen.

Bronnen:
https://kro-ncrv.nl/persberichten/slachtoffers-door-peperdure-ziekenhuissoftware-in-kro-ncrv-2doc-dodelijke-zorg
https://www.zorg-en-ict.nl/blog/artikel/epd-leveranciers-staan-zorginnovatie-in-de-weg/
https://www.z-cert.nl/nieuws/ketenafhankelijk-in-de-zorg-is-een-serieus-risico/
https://www.tweedekamer.nl/downloads/document?id=2022D33877

Wil je weten hoe jij ervoor staat met betrekking tot compliance aan NIS2? Doe onze NIS readiness scan en krijg gratis advies!
Doe de scan
Blijf up to date! Meld je aan voor onze nieuwsbrief.
Blijf up to date! Meld je aan voor onze nieuwsbrief.

Cookies & Privacy

Wij maken gebruik van cookies. Lees meer hierover in ons cookie statement.