Digitale infrastructuur en dataverkeer zijn essentieel voor het functioneren van de samenleving en de economie. De Europese Unie heeft in 2022 de NIS2-richtlijn (Network and Information Security) aangenomen met als doel de digitale weerbaarheid van lidstaten te versterken. Momenteel wordt de NIS2-richtlijn omgezet in nationale wet- en regelgeving. De Nederlandse wet zal naar verwachting in 2025 in werking treden.
De sector gezondheidszorg onder de NIS2-richtlijn
De sector gezondheidszorg is breed gedefinieerd in de NIS2. In de NIS2-richtlijn wordt in bijlage 1 namelijk een aantal deelsectoren benoemd die onder de categorie gezondheidszorg vallen. Dit zijn:
- Zorgaanbieders
- EU-referentielaboratoria
- Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
- Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen
- Entiteiten die medische hulpmiddelen vervaardigen
Niet alle organisaties uit bovenstaande deelsectoren vallen automatisch onder de NIS2-richtlijn. Alleen organisaties uit bovenstaande deelsectoren die geïdentificeerd kunnen worden als belangrijke of essentiële entiteit vallen automatisch onder de NIS2-richtlijn (omzet > 10 miljoen of > 50 medewerkers). Deze instellingen zullen verplicht maatregelen moeten gaan nemen op het vlak van cybersecurity.
Verantwoordelijkheden van essentiële en belangrijke entiteiten
Zorgplicht
Entiteiten zijn verplicht hun informatiebeveiliging op orde te hebben en zelf een risicobeoordeling uit te voeren. Op basis hiervan dienen zij passende maatregelen te nemen om digitale risico’s te beperken en incidenten te voorkomen.
Registratieplicht
Entiteiten die onder de NIS2-richtlijn vallen dienen zich te registreren. Hiervoor komt een registratieportaal.
Meldplicht
Entiteiten moeten significante incidenten binnen 24 uur melden. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Informatieplicht
Entiteiten dienen betrokkenen (patiënten, cliënten etc.) te informeren over incidenten.
Toezicht en handhaving
De Inspectie Gezondheidszorg en Jeugd (IGJ)zal toezicht houden op naleving van de NIS2-richtlijn in de zorgsector.
Hoofdelijke aansprakelijkheid
Een belangrijk aspect van NIS2 is de hoofdelijke aansprakelijkheid van bestuurders. Dit houdt in dat individuele bestuurders persoonlijk aansprakelijk kunnen worden gesteld voor inbreuken op de cyberveiligheid.
Stevige boetes mogelijk
Om de wet te borgen zijn er stevige boetes aangekondigd. 10 miljoen of 2% van de wereldwijde omzet voor essentiële bedrijven en minimaal 7 miljoen voor belangrijke bedrijven of 2% van de wereldwijde omzet. De Rijksinspectie Digitale Infrastructuur gaat toezicht houden.
