NIS2: Wat is het en wat betekent dit voor de zorg?
Blog
De gevolgen van de NIS2 richtlijn voor de zorgsector
Op 14 december heeft het Europees Parlement akkoord gegeven op de NIS2-richtlijn. In deze regeling zijn zorginstellingen – in tegenstelling tot in de NIS1 – als vitale aanbieders aangemerkt. Dit betekent dat het op organisaties die in de zorgsector opereren veel impact gaat hebben.Het akkoord op de NIS2-richtlijn is op 27 december 2022 gepubliceerd in het Publicatieblad van de Europese Unie (Official Journal of the European Union). De richtlijn is na 20 dagen in werking getreden en vanaf dat moment heeft Nederland 21 maanden om deze te implementeren en om te zetten in nieuwe of aangepaste wetgeving.
Wat is NIS?
NIS staat voor netwerk- en informatiesystemen. De introductie van de NIS1-richtlijn vond plaats op 16 juli 2016. Deze richtlijn merkte bepaalde sectoren en aanbieders aan als vitaal. Deze huidige NIS-richtlijn heeft Nederland op 9 november 2018 geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (de Wbni). Wanneer bedrijven zijn aangemerkt als vitale aanbieder of dienstverlener, dienen zij aan deze wet te voldoen. Momenteel zijn er nog geen vitale zorgaanbieders aangemerkt, omdat uitval van een deel van de zorg niet automatisch leidt tot grote maatschappelijke schade. In veel gevallen kan zorg namelijk overgenomen worden door een andere zorgaanbieder.
Door toenemende cyberdreigingen neemt de druk om extra maatregelen te treffen op het gebied van informatiebeveiliging toe. Deze toename komt onder andere door de digitalisering van de maatschappij en de professionalisering van de cybercriminaliteit. Volgens de Europese Raad en het Europees Parlement is de huidige NIS-richtlijn onvoldoende in staat om deze toenemende dreiging goed tegen te gaan. Dit is mede te danken aan het feit dat er tussen de lidstaten verschillen zitten qua regelgeving. Voor organisaties die in meerdere landen opereren of met andere landen samenwerken, is deze richtlijn niet effectief genoeg.
Wat is de impact van de NIS2-richtlijn voor de zorg en bestuurders?
Met de komst van de NIS2-richtlijn zullen zorgaanbieders als vitaal worden aangemerkt. In de komende 21 maanden gaat Nederland aan de slag om deze richtlijn te vertalen naar nieuwe en aangepaste wetgeving, mogelijk door middel van aanpassingen in de Wbni. Dit houdt in dat de zorg klaar moet zijn om te kunnen voldoen aan de additionele capaciteitsvraag die nodig is om deze nieuwe wetgeving te implementeren. Bestuurders worden verantwoordelijk, en er kunnen boetes worden uitgedeeld bij nalatigheid en het niet acteren op waarschuwingen. Deze boetes zullen naar alle waarschijnlijkheid vergelijkbaar zijn met de boetes die uitgedeeld worden bij het overtreden van de AVG (Algemene verordening gegevensbescherming), omdat de uitgangspunten van de richtlijnen hetzelfde zijn. De exacte hoogte van de boetes gaat de Nederlandse staat nog bepalen. Met de komst van de NIS2-richtlijn zullen er ook meer bevoegdheden komen voor de nationale controlerende instanties zoals de Autoriteit persoonsgegevens (AP).
Wat kun je nu al doen?
Het implementeren van de nieuwe richtlijn zal veel voeten in de aarde hebben. Om deze reden is het verstandig om op tijd te beginnen met het treffen van voorbereidingen om het proces soepel te laten verlopen. Zorg in de eerste instantie dat je als organisatie compliant bent aan certificeringen zoals de NEN7510 of ISO27001. Daarnaast is het onderzoeken van de GAP tussen de gepubliceerde minimale maatregelen vanuit de richtlijn in relatie tot jouw organisatie een verstandige stap. Op basis van de GAP-analyse kun je de risico’s inventariseren op jouw netwerk- en informatiesystemen en op basis daarvan prioriteit bepalen en maatregelen treffen, zoals het organiseren van de continuïteit en het invoeren van multifactorauthenticatie (MFA).
Telindus staat klaar om je te helpen met het uitvoeren deze risico-inventarisatie zodat jouw organisatie zo goed mogelijk voorbereid is op de komst van de nieuwe wetgeving.