Algemene vragen en antwoorden

De omzetting van de NIS2-richtlijn naar de Cyberbeveiligingswet en van de CER-richtlijn naar de Wet weerbaarheid kritieke entiteiten is momenteel volop in ontwikkeling. Europese lidstaten hadden tot 17 oktober 2024 de tijd om de richtlijnen om te zetten naar nationale wetgeving. De minister van Justitie en Veiligheid heeft de Tweede Kamer en de Europese Commissie geïnformeerd dat Nederland, net als een groot aantal andere lidstaten, deze implementatiedeadline niet heeft gehaald. De gevolgen van het niet-tijdig implementeren van deze twee richtlijnen naar nationale wetgeving leest u hier.

Op de pagina's van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten worden de verplichtingen van deze wetten samengevat, inclusief de sectoren waarop ze van toepassing zijn. Dit biedt organisaties inzicht in de verplichtingen waar zij aan moeten voldoen.

Nadere invulling van deze wetgeving vindt plaats via een algemene maatregel van bestuur (AMvB) en een sectorspecifieke ministeriële regeling voor de zorg.

De richtlijnen verplichten lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen bij het versterken van hun weerbaarheid tegen zowel fysieke als digitale risico's. Zo schrijft de CER-richtlijn voor dat de overheid elke vier jaar per sector een risicobeoordeling uitvoert en deelt deze met kritieke entiteiten binnen die sector. De NIS2-richtlijn schrijft voor dat essentiële en belangrijke entiteiten ondersteund worden met advies en bijstand in geval van een digitale hack of cyberincident door een CSIRT (Computer Security Incident Response Team), voor de zorg is dit Z-CERT.

De overheid kan verdere ondersteuning bieden in de vorm van informatie-uitwisseling, handreikingen, en instrumenten ter verhoging van de weerbaarheid, zoals bijvoorbeeld voor het uitvoeren van een risicobeoordeling.

Nee, er wordt geen geld beschikbaar gesteld voor individuele organisaties. Het ministerie van VWS kijkt wel hoe de zorgsector als geheel kan worden ondersteund, bijvoorbeeld door het ter beschikking stellen van kennisproducten en hulpmiddelen om te ondersteunen met de implementatie.

Weerbaarheid verwijst naar het vermogen om een incident te voorkomen, te beperken, of effectief te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op, of zich aan te passen aan en te herstellen van een incident. In het geval van de Wet weerbaarheid kritieke entiteiten kunnen hier zowel natuurrampen als door de mens veroorzaakte rampen onder vallen, zowel onbedoeld als opzettelijk. Denk hierbij aan ongevallen, overstromingen, terroristische misdrijven, criminele infiltratie, of sabotage. Wat betreft de Cyberbeveiligingswet omvat weerbaarheid bijvoorbeeld bescherming tegen gijzelsoftware, malware, of cyberaanvallen op de toeleveringsketen.

16 oktober 2024 heeft de minister van Justitie en Veiligheid de Tweede Kamer per Kamerbrief geïnformeerd over de rechtstreekse werking van bepaalde bepalingen uit de NIS2-richtlijn. Deze rechtstreekse werking gaat in op 17 oktober 2024. Dit betekent dat zorgorganisaties die onder de Cyberbeveiligingswet vallen vanaf deze datum rechten hebben, maar nog geen wettelijke verplichtingen uit de NIS2-richtlijn. Tot de inwerkingtreding van de Nederlandse wetgeving, die gepland staat voor het derde of vierde kwartaal van 2025, zal er geen nationale wetgeving van kracht zijn die de nieuwe eisen van de NIS2-richtlijn wettelijk afdwingbaar maakt.. Meer informatie over de rechten en verplichtingen vanaf 17 oktober 2024 tot en met de inwerkingtreding van de Cyberbeveiligingswet vindt u hier.

De exacte datum waarop de Nederlandse Cyberbeveiligingswet van kracht wordt, is nog niet vastgesteld.

De minister van Justitie en Veiligheid heeft de Tweede Kamer op 31 januari 2024 via een Kamerbrief geïnformeerd over aangepaste planning voor het omzetten van de NIS2-richtlijn in Nederlandse wetgeving. In deze brief heeft de minister aangegeven dat de internetconsultatie voor de zomer van 2024 plaatsvindt. Hierdoor zal Nederland de implementatiedeadline van de Europese Commissie op 17 oktober 2024 niet halen. Dit betekent dat er tot de inwerkingtreding van de Nederlandse wetgeving in 2025 geen nationale wetgeving van kracht zal zijn die de nieuwe eisen van de NIS2-richtlijn wettelijk afdwingbaar maakt. Organisaties krijgen daardoor extra tijd om zich voor te bereiden. De exacte datum waarop de Nederlandse Cyberbeveiligingswet van kracht wordt, is nog niet vastgesteld.

Communicatie vanuit VWS verloopt via deze website. Daarnaast vindt er directe berichtgeving aan koepelverenigingen en andere samenwerkingsverbanden in de zorgsector plaats via het ministerie van VWS.

Ja, toezichthouders op de sectoren van de Cyberbeveiligingswet kunnen  een geldboete opleggen met een maximumbedrag van 10.000.000 euro of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming, afhankelijk van welk bedrag hoger is. Voor andere overtredingen uit de wet kan de IGJ een boetemaximum van 1 miljoen euro. De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de Cyberbeveiligingswet in de zorg.

Het verschil tussen belangrijke en essentiële entiteiten zit in de manier waarop toezicht wordt gehouden. Beide typen entiteiten moeten voldoen aan dezelfde verplichtingen, zoals de zorgplicht, registratieplicht en meldplicht. Het verschil zit echter in het toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ).

Voor belangrijke entiteiten vindt het toezicht plaats na een incident of bij een vermoeden van een overtreding, bijvoorbeeld dat de zorgplicht niet wordt nageleefd. Dit betekent dat IGJ pas in geval van een aanleiding controleert of de organisatie voldoet aan de vereisten van de Cyberbeveiligingswet.

Essentiële entiteiten worden daarentegen proactief gecontroleerd. IGJ houdt zowel vóór als na incidenten toezicht om te waarborgen dat deze organisaties hun cyberbeveiliging op orde hebben en tijdig maatregelen nemen om incidenten te voorkomen.

Let wel: voor zorgaanbieders geldt dat de IGJ ook nu al op basis van de Wet aanvullende bepalingen gegevensverwerking in de zorg proactief kan controleren of de NEN 7510 wordt nageleefd, ook bij zorgaanbieders die op basis van de Cyberbeveilingswet onder de ‘belangrijke’ entiteiten vallen.

De eerdere richtlijn NIS1  is in Nederland omgezet in de huidige Wbni en de uitwerking van de regels in het Besluit beveiliging netwerk- en informatiesystemen (Bbni). De Wbni en Bbni zijn op dit moment van kracht en vervallen zodra de Cyberbeveiligingswet van kracht is.

De Algemene verordening gegevensbescherming (AVG) en de Cyberbeveiligingswet staan los van elkaar. Hoewel zowel de AVG als de Cyberbeveiligingswet voortkomen uit Europese wetgeving, behandelen ze verschillende aspecten. De AVG richt zich op privacy en biedt richtlijnen aan bedrijven en organisaties over het verzamelen, opslaan en beheren van persoonsgegevens. Daarnaast stelt de AVG voorwaarden vast waaronder er met (bijzondere) persoonsgegevens mag worden gewerkt.

Aan de andere kant richt de Cyberbeveiligingswet zich op de informatiebeveiliging van bedrijven en organisaties, zonder specifiek in te gaan op persoonsgegevens van individuen. De wettelijke kaders van de Cyberbeveiligingswet zijn ontworpen om te voorkomen dat (persoons)gegevens in verkeerde handen vallen.

Entiteiten die significante incidenten moeten melden volgens de Cyberbeveiligingswet dienen zich te registreren in het NCSC portaal. Registreren en melden kan straks in hetzelfde portaal.

Het melden van significante incidenten onder de Cyberbeveiligingswet staat los van andere meldplichten, zoals die van de AVG. Het is daarom mogelijk dat entiteiten incidenten op meerdere plekken moeten melden, aangezien een incident verschillende aspecten kan hebben (zie de tabel hieronder).

De gezondheidszorg heeft te maken met veel persoonlijke patiëntgegevens die vertrouwelijk van aard zijn. Daarom is informatiebeveiliging heel belangrijk en is de NEN 7510 verplicht. NEN 7510 en NIS2 hebben beide als doel de informatiebeveiliging binnen organisaties te verbeteren, maar richten zich op verschillende aspecten.

• NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm, gebaseerd op internationale standaarden zoals ISO 27001 en ISO 27002, stelt eisen aan het beveiligen van persoonlijke gezondheidsinformatie en helpt zorginstellingen om vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te waarborgen.
• NIS2 is een Europese richtlijn die bredere eisen stelt aan netwerk- en informatiebeveiliging voor essentiële en belangrijke sectoren, waaronder de zorg.
• Voor overheidsorganisaties geldt in plaats van NEN 7510 de Baseline Informatiebeveiliging Overheid (BIO). Deze norm stelt specifieke eisen aan informatiebeveiliging binnen de publieke sector en is gebaseerd op dezelfde internationale standaarden als NEN 7510.
• De recent herziene versie van NEN 7510 bevat elementen uit NIS2, zoals risicobeheer en incidentrapportage. Hierdoor sluit de norm beter aan op de Europese wetgeving en helpt het zorginstellingen om te voldoen aan zowel nationale als internationale eisen op het gebied van cybersecurity.

Voldoen aan de NEN7510 is nu al verplicht voor zorgaanbieders en dekt een aantal verplichtingen van de NIS2-richtlijn en de Cyberbeveiligingswet af. Naast het implementeren van maatregelen op het gebied van digitale veiligheid (de zorgplicht waarvoor de NEN7510 het kader biedt), dienen belangrijke en essentiële entiteiten volgens de Cyberbeveiligingswet grootschalige incidenten te melden (meldplicht) en bij ernstige bedreigingen van hun netwerk de ontvangers van hun diensten te informeren over mogelijke gevolgen (informatieplicht).

Aanvullend schrijft de Cyberbeveiligingswet voor dat organisaties (in alle sectoren onder de Cyberbeveiligingswet, inclusief de gezondheidszorg) zich registreren in een nog te ontwikkelen register en de gegevens actueel houden(registratieplicht). Bovendien benadrukt de Cyberbeveiligingswet dat bestuurders van belangrijke en essentiële entiteiten verantwoordelijkheid dragen voor informatiebeveiliging. Het is dus raadzaam om aanvullende acties te ondernemen om te voldoen aan specifieke vereisten van de Cyberbeveiligingswet die niet volledig door de NEN7510 worden afgedekt.

Voor een overzicht van de vereisten uit de Europese NIS2-richtlijn ten opzichte van de NEN 7510 zie onderstaande tabel.

Nee, de Cyberbeveiligingswet verplicht niet tot het aanstellen van een security functionaris in loondienst. Een functionaris die zich richt op informatiebeveiliging binnen het bedrijf kan wel helpen om de vereisten uit de regelgeving vorm te geven en na te leven.

Nee, dit is geen verplichting in de Cyberbeveiligingswet. Het hebben van goede mogelijkheden om incidenten te detecteren kan de impact ervan wel beperken. Organisaties zijn vrij om te bepalen hoe zij dit inrichten.

Vanaf 17 oktober 2024 is de NIS2-richtlijn in werking getreden. Dit betekent dat zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen vanaf deze datum wél bepaalde rechten hebben, maar nog geen wettelijke verplichtingen op basis van de NIS2-richtlijn. Deze verplichtingen gelden pas zodra de Cyberbeveiligingswet in Nederland officieel van kracht is. De rechten houden in dat zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen nu al bij Z-CERT terecht  kunnen voor ondersteuning in het geval van cyberincidenten.

Wil je meer weten over jouw rechten en plichten? Bekijk dan de pagina Rechten en plichten Cyberbeveiligingswet.

Twijfel je of jouw organisatie in één van de subsectoren van de zorg valt? Bekijk de vragen en antwoorden per subsector.

De CER-richtlijn wordt omgezet in de Nederlandse Wet weerbaarheid kritieke entiteiten. In de lagere wetgeving namelijk de ministeriële regeling zal het ministerie van VWS criteria opnemen specifiek voor de zorg. Het opnemen van criteria in de ministeriële regeling specifiek voor de zorg en het vervolgens op  basis hiervan aanwijzen van organisaties in de zorgsector zal eind 2025 plaatsvinden.

De aangewezen organisaties, in de wet worden dit de kritieke entiteiten genoemd, hebben vervolgens 10 maanden om aan de wettelijke verplichtingen te voldoen.

De Wet weerbaarheid kritieke entiteiten biedt de mogelijkheid om bestuurders van entiteiten in een uiterst geval aansprakelijk te stellen.

Volgens de Wet weerbaarheid kritieke entiteiten moet Nederland voorschriften vaststellen met betrekking tot het opleggen van sancties. Het toezicht op de zorgsector zal worden uitgevoerd door de Inspectie Gezondheidszorg en Jeugd (IGJ). In geval van een overtreding van de zorgplicht of van de meldplicht kan de IGJ een geldboete opleggen met een maximumbedrag van 10.000.000 euro of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming, afhankelijk van welk bedrag hoger is. Bij overtreding van andere verplichtingen uit de wet geldt een boetemaximum van 1 miljoen euro.

De Europese CER-richtlijn bevat algemene criteria voor het aanwijzen van entiteiten, die van toepassing zijn op alle sectoren onder de Wet weerbaarheid kritieke entiteiten. Op basis van deze criteria zal het ministerie van VWS wellicht meer specifieke criteria opstellen voor de zorgsector om de wet gericht toe te passen op de juiste doelgroep.

Mogelijke criteria voor het aanwijzen van entiteiten in de zorgsector kunnen betrekking hebben op unieke functies of voorzieningen binnen de Nederlandse zorg. Overwegingen kunnen ook worden gemaakt met betrekking tot geografische spreiding en de verplaatsbaarheid van voorzieningen in de zorg.

Nee, dit is niet de insteek van de wet. De focus ligt op het vooraf identificeren van mogelijke kwetsbaarheden om voorbereid te zijn op een mogelijke crisis of ramp. De lijst van kritieke entiteiten wordt wanneer dat nodig is en ten minste elke vier jaar, geëvalueerd en geactualiseerd.

De CER-richtlijn wordt omgezet in de hoofdwet Wet weerbaarheid kritieke entiteiten en wordt verder uitgewerkt in een algemene maatregel van bestuur. Vervolgens zal het ministerie van VWS specifieke maatregelen voor de zorg uitwerken in een ministeriële regeling. In deze regeling worden onder andere criteria opgenomen die bepalen welke zorgorganisaties als kritieke entiteit worden aangewezen. Zij worden hier schriftelijk over geïnformeerd. De vaststelling van deze ministeriële regeling staat gepland voor eind 2025. De kritieke entiteiten hebben na aanwijzing 10 maanden om aan de verplichtingen uit de wet te voldoen.

De Cyber Resilience Act (CRA) en de NIS2-richtlijn hebben beide als doel de cyberweerbaarheid binnen de EU te versterken, maar richten zich op verschillende aspecten van digitale beveiliging.

De Cyber Resilience Act is een verordening die zich richt op de beveiliging van digitale producten en diensten, zoals software en hardware. Fabrikanten en leveranciers worden verplicht om veilige producten te leveren en moeten voldoen aan eisen zoals security-by-design. Dit betekent dat alle producten met digitale elementen vanaf eind 2027 inherent veilig moeten zijn ontworpen en geproduceerd. Daarnaast geldt een zorgplicht voor fabrikanten en andere partijen in de toeleveringsketen, waaronder het aanbieden van ondersteuning en beveiligingsupdates en het melden van kwetsbaarheden en incidenten. De CRA is eind 2024 in werking getreden en geldt direct in alle EU-lidstaten.

De NIS2-richtlijn richt zich op de beveiliging van netwerken en informatiesystemen binnen essentiële en belangrijke sectoren, zoals de zorg. In tegenstelling tot de CRA is NIS2 een richtlijn en moet deze eerst worden omgezet in nationale wetgeving. Organisaties die onder NIS2 vallen, moeten voldoen aan specifieke eisen om hun cyberweerbaarheid te verhogen.

Kort samengevat: de CRA richt zich op digitale producten en diensten die veilig moeten zijn, terwijl NIS2 zich richt op organisaties die cyberweerbaar moeten zijn door aan bepaalde beveiligingsvereisten te voldoen.

Het EU Actieplan voor ziekenhuizen en zorgaanbieders is ontwikkeld om de kwaliteit, toegankelijkheid en veerkracht van de gezondheidszorg binnen de Europese Unie te verbeteren. Een belangrijk speerpunt is het versterken van de samenwerking tussen ziekenhuizen en zorgaanbieders in verschillende lidstaten, zodat kennis, best practices en innovatieve benaderingen beter kunnen worden gedeeld. Dit draagt bij aan een hogere kwaliteit van zorg, met extra aandacht voor patiëntveiligheid, effectiviteit en tevredenheid.

Daarnaast ondersteunt het actieplan de digitale transformatie van de zorg. Denk hierbij aan het bredere gebruik van elektronische gezondheidsdossiers en telemedicine, die de efficiëntie en toegankelijkheid van zorg vergroten. Ook richt het plan zich op het versterken van de veerkracht van gezondheidszorgsystemen, zodat ze beter voorbereid zijn op toekomstige uitdagingen zoals pandemieën en de vergrijzing van de bevolking.

Een ander belangrijk aspect is duurzame zorg, waarbij gekeken wordt naar de milieueffecten en de lange termijn levensvatbaarheid van zorgsystemen. Het uiteindelijke doel is een gezamenlijke aanpak te creëren die leidt tot betere gezondheidsresultaten voor alle Europeanen.

Het actieplan is nauw verbonden met de NIS2-richtlijn, die zich richt op de cyberbeveiliging van essentiële zorgentiteiten, zoals grote zorgaanbieders. Tegelijkertijd wordt erkend dat ook kleinere zorgaanbieders kwetsbaar zijn voor cyberdreigingen. Daarom zet het actieplan in op ondersteuning, richtlijnen en middelen om ook deze groep te helpen bij de digitale transformatie. Door zowel NIS2- als niet-NIS2-entiteiten te betrekken, wordt de algehele veerkracht van de zorgsector versterkt, wat bijdraagt aan een veiligere en efficiëntere gezondheidszorg in de EU.

Het EU Actieplan voor ziekenhuizen en zorgaanbieders richt zich op het versterken van de digitale weerbaarheid van zorginstellingen, die een cruciale rol spelen in de patiëntenzorg maar vaak minder middelen hebben om zich te beschermen tegen cyberdreigingen dan grotere organisaties in andere sectoren.

Dit actieplan vormt een aanvulling op de NIS2-wetgeving, die zorginstellingen verplicht om hun digitale beveiliging op orde te brengen. Waar NIS2 de norm stelt, biedt het actieplan concrete ondersteuning in de vorm van financiering en training. Hierdoor krijgen zorginstellingen niet alleen de middelen om te voldoen aan de wettelijke eisen, maar kunnen ze ook hun algehele cyberweerbaarheid versterken.