NIS2 in de zorg: voorbereid op toenemende cyberdreiging

De digitale dreiging voor zorgondernemingen blijft toenemen. Cyberaanvallen worden niet alleen frequenter, maar ook slimmer en ketengerichter. Waar eerder vooral grote instellingen doelwit waren, zien we nu dat ook middelgrote en kleinere zorgorganisaties steeds vaker te maken krijgen met incidenten.

Deze ontwikkeling gaat samen met nieuwe wetgeving: de NIS2‑richtlijn. Hoewel niet iedere zorgonderneming direct onder deze wetgeving valt, krijgt vrijwel iedereen er indirect mee te maken.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn (Network and Information Security 2) is Europese wetgeving die tot doel heeft de digitale weerbaarheid van essentiële en belangrijke organisaties te vergroten. In Nederland wordt NIS2 vertaald naar nationale wetgeving en zal deze gelden voor onder meer ziekenhuizen, grote zorginstellingen, IT-dienstverleners en andere kritieke sectoren.

De kern van NIS2 in het kort bestaat uit:

• strengere eisen aan cybersecuritymaatregelen;
• meldplicht bij ernstige cyberincidenten;
• bestuursverantwoordelijkheid (cyberrisico’s worden een managementkwestie);
• toezicht en mogelijke sancties bij onvoldoende naleving.

Wanneer is NIS2 van toepassing op uw organisatie?

Veel zorgondernemingen, zoals zelfstandige klinieken, VVT‑instellingen of kleinere zorgaanbieders, gaan ervan uit dat NIS2 niet op hen van toepassing is. Juridisch kan dat in sommige gevallen kloppen, maar praktisch gezien is dat beeld vaak te beperkt.

De reden hiervoor is ketenafhankelijkheid. Organisaties die wel onder NIS2 vallen, zoals ziekenhuizen, zorggroepen en grote softwareleveranciers, zijn verplicht om ook de risico’s binnen hun toeleveringsketen te beheersen. Dat betekent dat zij hogere eisen stellen aan:

• IT‑leveranciers;
• zorgpartners;
• onderaannemers;
• zelfstandige zorgaanbieders die gekoppeld zijn aan hun systemen.

Met andere woorden: ook als uw organisatie formeel niet onder NIS2 valt, kunt u wel degelijk worden aangesproken door een opdrachtgever of samenwerkingspartner die dat wel doet.

Wat betekent dit concreet voor zorgondernemingen?

In de praktijk zien wij dat zorgorganisaties steeds vaker vragen krijgen over hun digitale weerbaarheid. Zo wordt onder meer gevraagd hoe de cybersecurity is ingericht, of er een incidentresponseplan aanwezig is en in hoeverre medewerkers zijn getraind in cyberbewustzijn. Ook wordt steeds kritischer gekeken naar de gevolgen wanneer systemen (tijdelijk) uitvallen.

Daarnaast wordt steeds vaker gevraagd of de organisatie beschikt over een cyberverzekering.

Wanneer deze vragen niet of onvoldoende kunnen worden beantwoord, kan dit gevolgen hebben voor samenwerkingen, contractverlengingen of aanbestedingen.

De gevolgen van cyberincidenten zijn groot

NIS2 maakt één ding glashelder: cyberveiligheid is geen puur technische aangelegenheid. Bestuur en directie worden expliciet verantwoordelijk voor het beheersen van digitale risico’s. Dat sluit aan bij wat we in de praktijk al langer zien. Cyberincidenten hebben directe impact op de zorgcontinuïteit, patiëntveiligheid en de bedrijfsvoering. 

Een enkel incident kan leiden tot:

• • • stilvallende zorgprocessen;
    • verlies of onbruikbaarheid van cliëntgegevens;
    • claims en boetes;
    • reputatieschade;
    • langdurige operationele ontwrichting.

De rol van de cyberverzekering in het NIS2-tijdperk

Waar preventie en beleid essentieel zijn, blijft het risico op een incident altijd bestaan. Een cyberverzekering is daarom geen vervanging, maar een aanvulling op uw cybersecuritystrategie.

In het kader van NIS2 is een cyberverzekering extra relevant, omdat deze kan:

• directe toegang biedt tot gespecialiseerde hulp bij incidenten;
• helpt te voldoen aan meld- en herstelverplichtingen;
• financiële gevolgen van stilstand of claims opvangt;
• professionele crisiscommunicatie faciliteert.

Daarnaast is het voor veel zorgondernemingen ook een belangrijk signaal richting opdrachtgevers en partners dat cyberrisico’s serieus worden genomen.

Goed voorbereid op wat komt

De combinatie van toenemende cyberdreiging, strengere wetgeving en hogere eisen vanuit de keten maakt één ding duidelijk: afwachten is geen optie meer. Zorgondernemingen die nu investeren in hun digitale weerbaarheid zijn beter voorbereid op wat komen gaat, op juridisch, operationeel en commercieel vlak.

Sibbing ondersteunt zorgondernemingen met helder en onafhankelijk advies over cyberrisico’s, verzekeringen en risicomanagement. Zo blijft uw organisatie ook in een steeds verder digitaliserende zorgsector weerbaar.

Neem gerust contact met ons op. Wij denken graag met u mee en helpen u bij het maken van de juiste keuzes.