Steeds vaker lopen zorginstanties het risico om getroffen te worden door cyberaanvallen. Denk bijvoorbeeld aan gestolen patiëntgegevens, een communicatiestoring bij een ambulancepost, of een uitgeschakeld energienetwerk. Daarom verplicht de NIS2-richtlijn de zorgsector de informatie- en netwerkbeveiliging te versterken. In deze blog bespreken we de impact van NIS2 op de zorgsector en bieden we praktische tips om aan de richtlijn te voldoen.
De NIS2-richtlijn richt zich op het versterken van informatiebeveiliging binnen ‘essentiële’ en ‘belangrijke’ sectoren. De zorg is een essentiële sector en wordt dus sneller, strenger en nauwkeuriger gecontroleerd op naleving van de richtlijn. Zorginstellingen moeten zich buigen over belangrijke gebieden zoals risicomanagement, incidentrespons en leveranciersmanagement. De NIS2-richtlijn verplicht zorginstellingen om risico’s beter te identificeren en beheersen, zodat zij snel kunnen reageren op cyberincidenten om de impact van een incident te minimaliseren.
Een belangrijke verwachting van de NIS2-richtlijn is het opzetten van een systematische aanpak voor risicomanagement. Zorginstellingen moeten regelmatig risicoanalyses uitvoeren om potentiële bedreigingen en kwetsbaarheden te identificeren en beoordelen. Een potentiële bedreiging is bijvoorbeeld een technische zwakke plek, zoals kwetsbare apparatuur. Maar ook organisatorische factoren spelen een belangrijke rol: hoe zorgen we ervoor dat veiligheidsmaatregelen door de hele organisatie worden begrepen en uitgevoerd? Wanneer de organisatie een risico als niet-acceptabel beoordeeld moeten er ook gerichte maatregelen worden getroffen. Het doel is dat alle (cyber)risico’s in beeld zijn en tot een acceptabel niveau zijn beheerst.
Regelmatige risicoanalyses helpen je om potentiële bedreigingen en kwetsbaarheden op te sporen. Tijdens een risicoanalyse kan een ziekenhuis bijvoorbeeld kwetsbaarheden in medische apparatuur vinden. Via deze apparaten kunnen aanvallers infiltreren en de werking van het ziekenhuis verstoren, bijvoorbeeld door een communicatiestoring of diefstal van patiëntgegevens.
Dankzij de risicoanalyse kan het ziekenhuis dit risico opsporen en preventieve maatregelen nemen. De kwetsbare apparaten kunnen geïsoleerd worden op het netwerk, zodat ze niet in verbinding staan met andere kritieke systemen. En door periodieke updates en duidelijke afspraken met de leveranciers kan het ziekenhuis de beveiliging van deze apparaten verbeteren. Via zo’n risicoanalyse beperkt het ziekenhuis dus de kans dat er een cyberincident plaatsvindt.
De NIS2-richtlijn versterkt het veiligheidsbewustzijn van de organisatie en helpt je om veiligheidsrisico’s op te sporen. Ons advies: bereid je zo snel mogelijk voor op de vereisten van NIS2! Met deze tips helpen we je vast op weg:
De NIS2-richtlijn omvat drie verplichtingen die elke zorgorganisatie moet volgen: de registratieplicht, zorgplicht en meldplicht. Wat deze plichten precies inhouden, lees je in ons whitepaper: NIS2 in Nederland.
De exacte veiligheidsmaatregelen die voortvloeien uit de zorgplicht zijn risico afhankelijk en verschillen dus per organisatie. Kijk daarom kritisch wat de drie verplichtingen van de NIS2-richtlijn betekenen voor jouw organisatie. Toch wat meer uitleg of sturing nodig? Dan kun je natuurlijk ook advies inwinnen van een veiligheidsexpert.
De NIS2-richtlijn heeft als doel het digitale veiligheidsbewustzijn van organisaties te versterken vanaf de toplaag van een organisatie. Digitale veiligheid mag niet alleen een onderwerp zijn van de IT afdeling, maar moet geïntegreerd worden in de complete organisatie. De toplaag van de organisatie moet in staat zijn cyberrisico’s te herkennen en te beoordelen, daarom zijn bewustzijnstrainingen over de NIS2 en cyber risicomanagement verplicht voor het (top) management van de organisatie.
Organisaties die onder NIS2 vallen zijn verplicht cyberrisico’s in de keten te beheersen en kunnen verantwoordelijk worden gesteld als hun zakenpartners de security niet op orde hebben. Informatiebeveiliging moet een verantwoordelijkheid zijn van de complete toeleveringsketen. Zorg er dus voor dat je duidelijk in kaart brengt welke informatie waar wordt opgeslagen en welke leveranciers en partners hierbij betrokken zijn. Maak duidelijke afspraken met leveranciers en partners over hun rol en verantwoordelijkheden in het beschermen van informatie. Dat kan bijvoorbeeld door het opstellen van contracten en service level agreements (SLA’s) die specifieke beveiligingseisen definiëren.
Ook na het nemen van preventieve maatregelen blijft de kans op een incident bestaan. Je wilt dat zo’n incident zo snel mogelijk gesignaleerd en gecommuniceerd wordt. Richt hiervoor een proces in, zodat iedereen in de organisatie weet hoe zij een incident kunnen herkennen en melden, en wat er van hun verwacht wordt wanneer zij bij een incident betrokken zijn. Wie zijn er verantwoordelijk voor het uitroepen van het incident? Moeten externe IT partners op de hoogte gesteld worden? De NIS2 verplicht zorgorganisaties significante incidenten en verstoringen binnen 24 uur te melden bij Z-Cert. Hoe zorg je als organisatie dat je aan deze verplichting kan voldoen? van je storingsbeleid en hoe maak je dat realistisch binnen 24 uur? En wie levert de rapportage op nadat een incident heeft plaatsgevonden?
Het is belangrijk om het proces periodiek te testen, bijvoorbeeld in een simulatie. Zo identificeer je zwakke punten in de processtructuur en kun je je personeel beter trainen om effectief te reageren op noodsituaties.
De route naar NIS2 is voor elke organisatie anders. Daarom hebben we over dit onderwerp een whitepaper uitgebracht. In dit whitepaper geven we bijvoorbeeld antwoord op de volgende vragen:
Start dit jaar nog met de transitie naar de NEN 7510:2024!
