Ga direct naar inhoud

Wat betekent de Cyberbeveiligingswet voor jouw organisatie in de zorgsector?

Video | 03-10-2024

Wat betekent de Cyberbeveiligingswet voor jouw organisatie in de zorgsector?

De digitale weerbaarheid en cyberveiligheid van belangrijke
en onmisbare sectoren in Nederland moet versterkt worden.
Bijvoorbeeld de zorg.
Daarom zetten we de Europese richtlijn Network and Information Security Directive,
de NIS2, om in de nationale Cyberbeveiligingswet. Deze wet gaat in vanaf 2025.

Veel organisaties in de zorgsector moeten dan direct aan de wet voldoen.
Daarom is het belangrijk om nú al te checken of
de Cyberbeveiligingswet voor jouw organisatie geldt.
Zo kun je de juiste vervolgstappen nemen.

Valt jouw organisatie in de zorg onder de Cyberbeveiligingswet?

Er zijn twee voorwaarden.

1) Je organisatie behoort tot één van deze deelsectoren:

-zorgaanbieders
-organisaties die onderzoek doen naar geneesmiddelen
-farmaceuten
-fabrikanten van medische hulpmiddelen

2) Je organisatie heeft minimaal 50 FTE in dienst.
Is dat niet het geval?
Dan moet je een omzet én een balanstotaal van meer dan 10 miljoen hebben.

Voldoet je organisatie aan deze voorwaarden,
dan val je onder de Cyberbeveiligingswet.

Bij gróte organisaties heeft uitval van diensten
waarschijnlijk grotere impact op de economie en samenleving.
Daarom maakt de wet onderscheid tussen belangrijke en essentiële entiteiten.
De Inspectie Gezondheidszorg en Jeugd houdt toezicht op organisaties.
Bij een belangrijke entiteit is dat ná een incident.
Of bij een vermoeden dat niet aan de wet wordt voldaan.

Bij een essentiële entiteit is er juist proactief toezicht.

Je organisatie is essentieel wanneer deze minimaal 250 FTE in dienst heeft.
Is dat niet het geval?
Dan moet je organisatie een omzet van meer dan 50 miljoen
én een balanstotaal van meer dan 43 miljoen hebben.

Let op: voor fabrikanten van medische hulpmiddelen geldt een uitzondering.

Wat zijn je rechten en plichten?

Met de nieuwe wet komt er een registratieplicht
voor organisaties en een meldplicht voor incidenten.
Valt je organisatie onder de wet en is er sprake van een cyberincident?
Dan heb je recht op ondersteuning door Z-CERT,
het expertisecentrum voor cybersecurity in de zorg.

Er komt ook een zorgplicht die organisaties
verplicht een risicoanalyse uit te voeren.
Op basis van de analyse moeten dan maatregelen genomen worden.
Zoals een toegangsbeleid, incidentenbehandeling
of trainingen op het gebied van cyberbeveiliging.

Voor veel organisaties is het bekende normenkader NEN 7510 een goed startpunt.

Het nemen van maatregelen kost tijd.
Kom daarom nu in actie.
Bekijk of jouw organisatie onder de Cyberbeveiligingswet
valt en welke stappen je moet nemen.