Home > Onze blogs > Wat betekent de NIS2-richtlijn voor jouw zorgorganisatie?

Wat betekent de NIS2-richtlijn voor jouw zorgorganisatie?

In Europa zien we een toename van het aantal cyberaanvallen. Dit is vooral zichtbaar in belangrijke sectoren zoals de gezondheidszorg. Om organisaties te beschermen tegen deze bedreigingen, heeft de Europese Unie (EU) de NIS2-richtlijn geïntroduceerd. Maar wat betekent dit in voor jouw zorgorganisatie? En hoe kan je je als IT-afdeling voorbereiden? Bruis neemt je mee.

Wat is de NIS2? 

De NIS2-richtlijn staat voor ‘Security of Network and Information Systems’. Het is de opvolger van de NIS-richtlijn die al eerder in 2016 werd ingevoerd. Het doel van de richtlijn is om de cyberbeveiliging en de weerbaarheid van cruciale organisaties in de EU te verbeteren. Naar verwachting wordt deze richtlijn in 2025 in Nederland geïmplementeerd. 

Eén van de verschillen tussen de NIS en NIS2 is dat er meer sectoren en organisaties zijn opgenomen in de richtlijn. Dat betekent dat de NIS2 op een grote groep organisaties betrekking heeft. Daarin wordt er onderscheid gemaakt tussen essentiële organisaties en belangrijke organisaties: 

Essentiële organisaties 

Essentiële organisaties zijn organisaties die cruciaal zijn voor de maatschappij. Denk aan bijvoorbeeld zorgaanbieders. Als deze organisaties worden getroffen door een beveiligingsincident, kan dat grote gevolgen hebben voor de samenleving.  

Voorwaarden: Een essentiële organisatie is verplicht te voldoen aan de NIS2 in het geval er meer dan 250 medewerkers in dienst zijn óf wanneer er sprake is van een jaaromzet van meer dan 50 miljoen óf een balanstotaal van meer dan 43 miljoen. 

Belangrijke organisaties 

Belangrijke organisaties zijn ook van belang, maar hun impact is minder direct. Denk aan bijvoorbeeld laboratoriums. Hoewel een cyberaanval op deze organisaties schadelijk kan zijn, is de impact vaak minder ingrijpend voor de samenleving als geheel.  

Voorwaarden: Een belangrijke organisatie is verplicht te voldoen aan de NIS2 in het geval er meer dan 50 medewerkers in dienst zijn óf als er sprake is van een jaaromzet/balanstotaal van meer dan 10 miljoen.  

Twijfel je of jouw organisatie onder de NIS2 valt? De Rijksoverheid heeft een handige tool ontwikkeld om dit te controleren. Let op: de tool geeft een indicatie. De uitkomst geeft nooit 100% zekerheid.   

Organisaties die onder de NIS2 vallen, hebben een aantal verplichtingen: 

  1. Registratieplicht: Organisaties zijn verplicht zich in te schrijven in het entiteitenregister. Dit register helpt de overheid bij het in kaart brengen van de organisaties die onder deze richtlijn vallen. 
  1. Zorgplicht: Ook krijg je als organisatie een zorgplicht. Dat houdt in dat je verplicht bent om een risicoanalyse uit te voeren en op basis daarvan passende beveiligingsmaatregelen te nemen.  
  1. Meldplicht: Organisaties krijgen een meldplicht bij beveiligingsincidenten. Als een incident direct invloed heeft op de dienstverlening, moet dit binnen 24 uur worden gemeld aan het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Als de impact minder direct is, moet de melding binnen 72 uur plaatsvinden. 

Naast dat organisaties meer verplichtingen hebben, wordt er waarschijnlijk ook beter op gehandhaafd. Voldoe je niet aan de richtlijn, dan kan je een waarschuwing of hogere boete dan voorheen verwachten. Ook kunnen bestuurders met de komst van de NIS2 persoonlijk aansprakelijk worden gesteld.  

Om je als zorgorganisatie alvast voor te bereiden op de NIS2, kan je nu alvast een aantal stappen doorlopen: 

  1. Voer een risicoanalyse uit: Breng alle kwetsbaarheden en risico’s voor jouw organisatie in kaart. Van beveiliging van informatiesystemen tot aan de werkwijze van jouw personeel.   
  1. Check je leveranciers: Vraag leveranciers hoe zij hun beveiliging geregeld hebben. Kijk of jouw gegevens daar voldoende beschermd zijn en check of er risico’s zijn waar jij iets mee moet.  
  1. Bepaal de maatregelen: Bekijk welke maatregelen er nodig zijn om de risico’s en kwetsbaarheden te beperken. Maak op basis daarvan een plan.  
  1. Implementeer de nieuwe maatregelen: Na het opstellen van een gedetailleerd plan is het tijd om de maatregelen te implementeren. Begin met de risico’s en kwetsbaarheden die de hoogste prioriteit hebben. 
  1. Maak een plan hoe om te gaan met beveiligingsincidenten: Stel een plan op voor het omgaan met beveiligingsincidenten. Beschrijf de stappen die je onderneemt in geval van een incident en hoe je omgaat met bedrijfscontinuïteit en back-ups. 
  1. Train medewerkers: Betrek je medewerkers in het proces. Geef ze trainingen over security awareness en zorg dat zij weten hoe ze veilig moeten omgaan met informatie. 

De NIS2 komt er dus aan, al is het nog even de vraag wanneer de Nederlandse overheid deze richtlijn heeft omgebogen naar een wet. Door nu alvast in stapjes met jouw beveiliging aan de slag te gaan, voorkom je dat je later een enorm pakket aan taken hebt.  

Vind je het lastig om te bepalen waar je moet beginnen? Wil je hulp bij een risicoanalyse of bij de implementatie van beveiligingsmaatregelen? Bruis helpt je daar graag mee verder. We zijn naast ISO9001, ISO27001 en NEN-7510 gecertificeerd. Dat betekent dat we strenge maatregelen hebben genomen om jouw gegevens te beschermen én dat we jou kunnen adviseren over hoe jouw organisatie dit het beste doet. Neem gerust contact met ons op, dan drinken we binnenkort een kop koffie.

Klaar om jouw dromen te realiseren?
Wij komen graag met je in contact. Kom gerust langs voor een kop koffie en een vrijblijvend gesprek.
Neem contact op
crossmenu