De digitale en fysieke weerbaarheid van zorgorganisaties is cruciaal voor de continuïteit en veiligheid van hun zorgverlening. In de afgelopen jaren hebben gebeurtenissen zoals de COVID-19-pandemie, toenemende cyberdreigingen en de impact van klimaatverandering de stabiliteit van onze maatschappij en economie steeds verder onder druk gezet. Om deze risico’s beter te beheersen, worden in Nederland twee belangrijke Europese richtlijnen geïmplementeerd: de NIS2-richtlijn en de CER-richtlijn. Deze richtlijnen worden opgenomen in respectievelijk de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Beide wetten zijn gericht op sectoren met een grote maatschappelijke impact, waaronder de zorg.
De omzetting van deze twee richtlijnen naar nationale wetgeving door het ministerie van Justitie en Veiligheid, vergt meer tijd dan oorspronkelijk gepland. Dit betekent dat Nederland, net als veel andere EU-lidstaten, niet de oorspronkelijke deadline van 17 oktober 2024 haalt. Dit komt door de complexiteit en de omvang van het wetstraject. Naar verwachting zullen beide wetten in het najaar van 2025 in werking treden.
Wat betekent dit voor zorgorganisaties?
De gevolgen van het niet-tijdig omzetten van de NIS2-richtlijn en CER-richtlijn voor organisaties (in de wet entiteiten genoemd) in de zorgsector, gedurende de periode tussen 17 oktober 2024 en de inwerkingtreding van de wetten, worden hieronder toegelicht.
NIS2-richtlijn
Een aantal bepalingen uit de NIS2-richtlijn hebben een directe werking. Dit betekent dat zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen vanaf 17 oktober 2024 wel rechten hebben, maar nog geen wettelijke verplichtingen uit de NIS2-richtlijn.
Rechten
Gedurende de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet hebben organisaties die onder de Cyberbeveiligingswet gaan vallen bepaalde rechten. Organisaties kunnen bijstand ontvangen bij een cyberincident door een Computer Security Incident Response Team (CSIRT). Voor de zorgsector is dit Z-CERT. Alle zorgorganisaties die onder de rechtstreekse werking vallen van de Cyberbeveiligingswet kunnen bij Z-CERT terecht voor ondersteuning in het geval van cyberincidenten (incident response).
Verplichtingen
Voor zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen gaan de verplichtingen in de NIS2-richtlijn pas gelden na inwerkingtreding van de wet. Ook zal de Inspectie Gezondheidszorg en Jeugd (IGJ) tot de inwerkingtreding van de Cyberbeveiligingswet geen toezicht houden. Dit neemt niet weg dat zorgorganisaties verplicht zijn te voldoen aan de NEN7510-norm, waarop de IGJ nu al toezicht houdt. Deze norm biedt een sterke basis voor de toekomstige eisen van de Cyberbeveiligingswet en helpt organisaties zich voor te bereiden op hun digitale weerbaarheid en wettelijke verplichtingen.
CER-richtlijn
In de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn.
De CER-richtlijn wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Organisaties vallen pas onder de wet zodra ze zijn aangewezen als ‘kritieke entiteit’. De minister van VWS zal deze kritieke entiteiten niet eerder dan het vierde kwartaal van 2025 aanwijzen. Voor deze organisaties zullen de zorgplicht en de meldplicht uit deze wet pas van toepassing zijn vanaf 10 maanden na hun aanwijzing als kritieke entiteit.
Meer informatie
Lees meer over de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten in de brief aan de Tweede Kamer en de juridische factsheet.
Periode tussen 17 oktober 2024 en datum van inwerkingtreding van de Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten.
De NIS2-richtlijn is een Europese richtlijn die de digitale weerbaarheid van essentiële sectoren, waaronder de zorg, wil versterken. De CER-richtlijn richt zich op het verhogen van de veiligheid en weerbaarheid van kritieke entiteiten tegen zowel cyber- als fysieke dreigingen. In Nederland wordt de NIS2-richtlijn opgenomen in de Cyberbeveiligingswet en CER-richtlijn in de Wet weerbaarheid kritieke entiteiten.
De implementatie van de NIS2-richtlijn in de Cyberbeveiligingswet en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten door het ministerie van Justitie en Veiligheid vergt meer tijd dan oorspronkelijk gepland. Dit komt door de complexiteit en de omvang van het wetstraject. Nederland voldoet, net als een groot aantal andere lidstaten, niet aan de deadline van 17 oktober 2024. Naar verwachting zullen beide wetten gelijktijdig met de lagere wetgeving (AmvB) in het derde of vierde kwartaal van 2025 in werking treden.
De Cyberbeveiligingswet is van toepassing op verschillende soorten zorgorganisaties, waaronder:
Zorgaanbieders
EU-referentielaboratoria
Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
Vervaardigers van farmaceutische basisproducten en farmaceutische bereidingen
Vervaardigers van medische hulpmiddelen
Organisaties uit deze subsectoren, zoals zorgaanbieders en farmaceutische vervaardigers, moeten aan de Cyberbeveiligingswet voldoen als zij minimaal 50 fte in dienst hebben. Als dit niet het geval is, moet de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro hebben om onder de wet te vallen. Deze ondergrens wordt ook wel de ‘size cap’ genoemd.
Als een organisatie voldoet aan de 'size cap', wordt ze geclassificeerd als een belangrijke of essentiële entiteit, afhankelijk van de grootte. Op deze website van het ministerie van VWS kunnen zorgorganisaties controleren of zij onder deze classificatie vallen. Zodra de Cyberbeveiligingswet van kracht is, moeten zowel belangrijke als essentiële entiteiten voldoen aan specifieke beveiligingseisen.
Organisaties die als essentieel worden beschouwd voor het functioneren van maatschappelijke functies en activiteiten, worden aangeduid als 'kritieke entiteiten'. De ministers wijzen op basis van een sectorale risicoanalyse en vooraf vastgestelde criteria organisaties aan. De minister van VWS zal deze kritieke entiteiten niet eerder dan het vierde kwartaal van 2025 aanwijzen. De organisaties die onder de wet worden aangewezen als kritieke entiteit, worden hiervan schriftelijk op de hoogte gebracht door het ministerie van VWS. De kritieke entiteiten hebben na aanwijzing 10 maanden om aan de verplichtingen uit de wet te voldoen.
Tot beide wetten in werking treden hoeven zorgorganisaties zich niet aan de verplichtingen uit de richtlijnen te houden. Vanaf 17 oktober 2024 hebben wel een aantal bepalingen uit de NIS2-richtlijn een directe werking. Dit betekent dat zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen vanaf 17 oktober 2024 wel rechten hebben, maar nog geen wettelijke verplichtingen uit de NIS2-richtlijn.
Gedurende de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet hebben organisaties, die van rechtswege onder de NIS2-richtlijn vallen, al wel bepaalde rechten. Organisaties kunnen bijstand ontvangen bij een cyberincident door een Computer Security Incident Response Team (CSIRT). Voor de zorgsector is dit Z-CERT. Alle zorgorganisaties die onder de rechtstreekse werking vallen van de Cyberbeveiligingswet kunnen bij Z-CERT terecht voor ondersteuning in het geval van cyberincidenten.
Voor zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen gaan de verplichtingen in de NIS2-richtlijn pas gelden na inwerkingtreding van de wet. Ook zal de Inspectie Gezondheidszorg en Jeugd (IGJ) tot de inwerkingtreding van de Cyberbeveiligingswet geen toezicht houden. Dit neemt niet weg dat zorgorganisaties verplicht zijn te voldoen aan de NEN7510-norm, waarop de IGJ nu al toezicht houdt. Deze norm biedt een sterke basis voor de toekomstige eisen van de Cyberbeveiligingswet en helpt organisaties zich voor te bereiden op hun digitale weerbaarheid en wettelijke verplichtingen.
Ja, alle zorgorganisaties die van rechtswege onder de NIS2-richtlijn vallen, hebben tijdens de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet recht op ondersteuning bij cyberincidenten.
De CER-richtlijn wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Organisaties vallen pas onder de wet zodra ze zijn aangewezen als ‘kritieke entiteit’. Voor deze organisaties zullen de zorgplicht en de meldplicht uit deze wet pas van toepassing zijn vanaf 10 maanden na hun aanwijzing als kritieke entiteit. In de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor zorgorganisaties vanuit de CER-richtlijn aangezien er nog geen kritieke entiteiten zijn aangewezen. De minister van VWS zal deze kritieke entiteiten niet eerder dan het vierde kwartaal van 2025 aanwijzen.
