Veelgestelde vragen per subsector

De Cyberbeveiligingswet hanteert de definitie van zorgaanbieder uit de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Volgens de Wkkgz is een zorgverlener een natuurlijk persoon die beroepsmatig zorg verleent. Zorg omvat onder andere medische zorg, geestelijke gezondheidszorg (GGZ), langdurige zorg (zoals Wlz-zorg), en andere vormen van gezondheidszorg. Dit kan onder andere plaatsvinden in ziekenhuizen, verpleeghuizen, revalidatiecentra, bij fysiotherapeuten, bedrijfsartsen of aanbieders van alternatieve geneeskunde.

De Cyberbeveiligingswet richt zich op zorgaanbieders als entiteiten (organisaties) waar zorgverleners werken, niet op individuen of producten. Een zorgaanbieder volgens de Cyberbeveiligingswet is dus een entiteit waar zorgverleners werken.

De Wkkgz geldt niet voor instellingen die uitsluitend werken onder de Wet maatschappelijke ondersteuning (Wmo 2015) of de Jeugdwet. Instellingen die zowel zorg uit de Wkkgz als Wmo of Jeugdwet aanbieden, zoals een revalidatiecentrum met thuiszorg, vallen wel onder de Cyberbeveiligingswet.

Jeugdhulp omvat hulp en zorg aan jongeren en hun ouders bij problemen zoals psychische, gedragsmatige en opvoedkundige kwesties. Zodra jongeren 18 jaar worden, kan de jeugdhulp overgaan in ondersteuning via de Wet maatschappelijke ondersteuning (Wmo 2015). In dat geval valt de entiteit niet onder de Cyberbeveiligingswet. Als de hulp echter overgaat in zorg die onder de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) valt, zoals geestelijke gezondheidszorg voor volwassenen, wordt de instelling gezien als een zorgaanbieder volgens onder de Cyberbeveiligingswet.

Zorgaanbieders moeten aan de Cyberbeveiligingswet voldoen als zij minimaal 50 fte in dienst hebben. Als dit niet het geval is, moet de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro hebben om onder de wet te vallen. Deze ondergrens wordt ook wel de ‘size cap’ genoemd.

Daarnaast is er een mogelijkheid dat het ministerie VWS individuele zorgaanbieders aanwijst waarop de Cyberbeveiligingswet van toepassing is, ook wanneer zij niet voldoen aan de size cap.

Los hiervan vallen zorgaanbieders die zijn aangewezen onder de Wet weerbaarheid kritieke entiteiten automatisch onder de Cyberbeveiligingswet, vanwege hun kritieke rol in de samenleving.

Als dit allemaal niet van toepassing is, valt de zorgaanbieder niet onder de Cyberbeveiligingswet.

Zorgaanbieders worden als een belangrijke entiteit beschouwd als zij minimaal 50 fte in dienst hebben. Als dat niet het geval is, worden zij ook als belangrijk aangemerkt wanneer de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro heeft.

Zorgaanbieders worden als een essentiële entiteit beschouwd als zij minimaal 250 fte in dienst hebben. Als dat niet het geval is, vallen zij ook onder de categorie essentieel wanneer de organisatie zowel een jaaromzet van meer dan 50 miljoen euro als een balanstotaal van meer dan 43 miljoen euro heeft.

Als het ministerie van VWS van de mogelijkheid gebruikt maakt om zorgaanbieders aan te wijzen onder de Cyberbeveiligingswet worden deze organisaties automatisch als essentiële entiteit beschouwd, zelfs als zij niet aan de size cap voldoen.

Zorgaanbieders die door de Minister van VWS worden aangewezen als kritieke entiteit onder de Wet weerbaarheid kritieke entiteiten, worden ook als essentiële entiteiten beschouwd onder de Cyberbeveiligingswet.

Nee, op dit moment dekt de NEN7510 niet de volledige zorgplicht van de Cyberbeveiligingswet. Zorgaanbieders zullen naast de NEN7510 aanvullende maatregelen moeten nemen om volledig aan de zorgplicht van de Cyberbeveiligingswet te voldoen. Wat deze extra maatregelen precies inhouden, wordt op dit moment uitgewerkt in regelgeving.

De NEN7510 blijft echter een goed startpunt, en zorgaanbieders die onder de Cyberbeveiligingswet vallen, blijven verplicht om aan de NEN7510 te voldoen. Voorlopig blijven de plichten uit de NEN7510 en de zorgplicht van de Cyberbeveiligingswet dus naast elkaar bestaan. In de komende herziening van de NEN7510 wordt aangesloten bij onder meer de zorgplicht van de Cyberbeveiligingswet.

Een vervaardiger van medische hulpmiddelen, zoals bedoeld in de Cyberbeveiligingswet, verwijst naar de fabrikanten die deze hulpmiddelen ontwikkelen en produceren. Distributeurs en importeurs vallen niet onder deze definitie.

De wet legt de verantwoordelijkheid bij de fabrikant. Het is aan de fabrikant om ervoor te zorgen dat toeleveranciers, zoals distributeurs en importeurs, beschikken over een voldoende niveau van netwerk- en informatiebeveiliging.

Vervaardigers van medische hulpmiddelen moeten aan de Cyberbeveiligingswet voldoen als zij minimaal 50 fte in dienst hebben. Als dit niet het geval is, moet de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro hebben om onder de wet te vallen. Deze ondergrens wordt ook wel de ‘size cap’ genoemd.

Daarnaast is er een mogelijkheid dat het ministerie VWS individuele vervaardigers aanwijst waarop de Cyberbeveiligingswet van toepassing is, ook wanneer zij niet voldoen aan de size cap.

Los hiervan vallen vervaardigers van medische hulpmiddelen die zijn aangewezen onder de Wet weerbaarheid kritieke entiteiten automatisch onder de Cyberbeveiligingswet, vanwege hun kritieke rol in de samenleving.

Vervaardigers van medische hulpmiddelen die onder de Cyberbeveiligingswet vallen, worden altijd als ‘belangrijke entiteiten’ beschouwd.

In de volgende uitzonderingssituaties worden vervaardigers van medische hulpmiddelen beschouwd als essentiële entiteit:

• Als een vervaardiger medische hulpmiddelen vervaardigt die in het kader van een noodsituatie op gebied van volksgezondheid als kritiek worden beschouwd én als de organisatie minimaal 250 fte óf zowel een jaaromzet van meer dan 50 miljoen euro als een balanstotaal van meer dan 43 miljoen euro heeft.
• Als het ministerie van VWS van de mogelijkheid gebruikt maakt om vervaardigers van medische hulpmiddelen aan te wijzen onder de Cyberbeveiligingswet worden deze organisaties automatisch als essentiële entiteit beschouwd, zelfs als zij niet aan de size cap voldoen.
• Als de vervaardiger van medische hulpmiddelen door de minister van VWS is aangewezen als kritieke entiteit onder de Wet weerbaarheid kritieke entiteiten.

De lijst met medische hulpmiddelen die in een noodsituatie op het gebied van volksgezondheid als kritiek worden beschouwd, wordt pas tijdens een crisis opgesteld. Op dit moment is het daarom niet mogelijk om te achterhalen of een entiteit een vervaardiger is van medische hulpmiddelen die als kritiek worden aangemerkt in zo'n noodsituatie. Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) werkt momenteel aan een oplossing hiervoor.

Vervaardigers van medische hulpmiddelen in bijlage 1 van de Cyberbeveiligingswet betreft entiteiten die medische hulpmiddelen vervaardigen die in het kader van een noodsituatie op het gebied van volksgezondheid als kritiek worden beschouwd. Deze kritieke hulpmiddelen worden opgenomen in een specifieke lijst die tijdens een crisis wordt opgesteld.

Vervaardigers van medische hulpmiddelen in bijlage 2 betreft entiteiten die medische hulpmiddelen produceren volgens de definities in de Verordening medische hulpmiddelen (MDR) en de Verordening in-vitrodiagnostiek (IVDR). Deze entiteiten zijn altijd onderworpen aan de bepalingen van de Cyberbeveiligingswet, ongeacht of er sprake is van een noodsituatie.

Vervaardigers van medische hulpmiddelen moeten aan de Cyberbeveiligingswet voldoen als zij minimaal 50 fte in dienst hebben. Als dit niet het geval is, moet de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro hebben om onder de wet te vallen.

Voor entiteiten in bijlage 1 wordt op basis van hun grootte bepaald of zij als een belangrijke of essentiële entiteit worden beschouwd onder de Cyberbeveiligingswet. Organisaties met minimaal 250 fte of zowel een jaaromzet van meer dan 50 miljoen euro als een balanstotaal van meer dan 43 miljoen euro, worden als essentiële entiteiten aangemerkt. Kleiner dan deze drempel worden zij als belangrijke entiteit beschouwd.

Voor entiteiten in bijlage 2 geldt dat zij altijd als belangrijke entiteit worden aangemerkt als ze aan de drempelwaarden voldoen (minimaal 50 fte, of zowel een jaaromzet als balanstotaal van meer dan 10 miljoen euro). Voldoen ze niet aan deze drempelwaarden, dan is de Cyberbeveiligingswet niet op hen van toepassing.

De Cyberbeveiligingswet kan van toepassing zijn, afhankelijk van hoe de organisatie is gestructureerd:

• Fabriek in het buitenland, onder Nederlandse holding: Als een vervaardiger van medische hulpmiddelen een fabriek in de EU of daarbuiten heeft die onder dezelfde Nederlandse holding valt, moet deze buitenlandse fabriek ook voldoen aan de eisen van de Cyberbeveiligingswet. De verantwoordelijkheden voor naleving van de wet gelden dan voor de gehele entiteit, inclusief buitenlandse productievestigingen die onder de Nederlandse onderneming vallen.
• Buitenlandse entiteit: Als een fabrikant van medische hulpmiddelen produceert in een buitenlandse entiteit die niet onder de Nederlandse holding valt, hoeft deze buitenlandse entiteit zelf niet te voldoen aan de Cyberbeveiligingswet, aangezien deze niet onder de Nederlandse jurisdictie valt. De Nederlandse fabrikant blijft echter wel verantwoordelijk voor de informatiebeveiliging binnen de gehele toeleveringsketen. Dit betekent dat de fabrikant ervoor moet zorgen dat zijn buitenlandse toeleveranciers voldoen aan de eisen van voldoende netwerk- en informatiebeveiliging om de beveiliging van de medische hulpmiddelen te waarborgen.
• Inschrijving in Nederland: Als een entiteit in Nederland is ingeschreven, onder één van de subcategorieën van de Cyberbeveiligingswet valt en voldoet aan de size cap moet deze entiteit voldoen aan de eisen van de Cyberbeveiligingswet. Dit geldt ook wanneer de productie gedeeltelijk of volledig buiten Nederland plaatsvindt.

Een vervaardiger van farmaceutische basisproducten en bereidingen volgens de Cyberbeveiligingswet is een entiteit die zich bezighoudt met de productie van zowel de basisingrediënten voor geneesmiddelen als farmaceutische producten. Dit omvat twee hoofdcategorieën:

1. Vervaardiging van farmaceutische basisproducten: Dit betreft de productie van medicinale werkzame stoffen die worden gebruikt vanwege hun farmacologische eigenschappen in de productie van geneesmiddelen. Voorbeelden hiervan zijn antibiotica, basale vitaminen en andere medicinale verbindingen, zoals salicylzuur en O-acetylsalicylzuur (aspirine). Ook de productie van bloedproducten valt hieronder.
    
2. Vervaardiging van farmaceutische bereidingen: Dit omvat de productie van medicamenten, waaronder antisera, vaccins, en diverse andere geneesmiddelen, inclusief homeopathische preparaten. Daarnaast vallen ook de productie van anticonceptie, biotech-geneesmiddelen, en farmaceutische kruidengeneesmiddelen, botanische producten onder deze categorie.

Het is belangrijk op te merken dat de productie van farmaceutische producten specifiek gericht moet zijn op medicinale doeleinden. Activiteiten zoals het verpakken van geneesmiddelen, het verkopen van geneesmiddelen (wholesale of retail), en onderzoek en ontwikkeling (R&D) vallen niet onder de definitie van een vervaardiger in de Cyberbeveiligingswet.

Vervaardigers van farmaceutische basisproducten en bereidingen (farmaceuten) moeten aan de Cyberbeveiligingswet voldoen als zij minimaal 50 fte in dienst hebben. Als dit niet het geval is, moet de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro hebben om onder de wet te vallen. Deze ondergrens wordt ook wel de ‘size cap’ genoemd.

Daarnaast is er een mogelijkheid dat het ministerie VWS individuele farmaceuten aanwijst waarop de Cyberbeveiligingswet van toepassing is, ook wanneer zij niet voldoen aan de size cap.

Los hiervan vallen farmaceuten die zijn aangewezen onder de Wet weerbaarheid kritieke entiteiten automatisch onder de Cyberbeveiligingswet, vanwege hun kritieke rol in de samenleving.

Als dit allemaal niet van toepassing is, valt de farmaceut niet onder de Cyberbeveiligingswet.

Vervaardigers van farmaceutische basisproducten en bereidingen (farmaceuten) worden als een belangrijke entiteit beschouwd als zij meer dan 50 fte in dienst hebben. Als dat niet het geval is, worden zij ook als belangrijk aangemerkt wanneer de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro heeft.

Farmaceuten worden als een essentiële entiteit beschouwd als zij meer dan 250 fte in dienst hebben. Als dat niet het geval is, vallen zij ook onder de categorie essentieel wanneer de organisatie zowel een jaaromzet van meer dan 50 miljoen euro als een balanstotaal van meer dan 43 miljoen euro heeft.

Als het ministerie van VWS van de mogelijkheid gebruikt maakt om farmaceuten aan te wijzen onder de Cyberbeveiligingswet worden deze organisaties automatisch als essentiële entiteit beschouwd, zelfs als zij niet aan de size cap voldoen.

Farmaceuten die door de Minister van VWS worden aangewezen als kritieke entiteit onder de Wet weerbaarheid kritieke entiteiten, worden ook als essentiële entiteiten beschouwd onder de Cyberbeveiligingswet.

Een organisatie wordt beschouwd als uitvoerder van onderzoeks- en ontwikkelingsactiviteiten met betrekking tot geneesmiddelen volgens de Cyberbeveiligingswet wanneer zij onderzoek doet naar stoffen die therapeutische of preventieve eigenschappen hebben voor de behandeling van ziekten bij mensen. Hieronder valt ook het onderzoek naar stoffen die kunnen worden toegediend voor het stellen van medische diagnoses of het herstellen, verbeteren of veranderen van fysiologische functies bij de mens.

Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen moeten aan de Cyberbeveiligingswet voldoen als zij minimaal 50 fte in dienst hebben. Als dit niet het geval is, moet de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro hebben om onder de wet te vallen. Deze ondergrens wordt ook wel de ‘size cap’ genoemd.

Daarnaast is er een mogelijkheid dat het ministerie VWS individuele organisaties met onderzoeks- en ontwikkelingsactiviteiten voor geneesmiddelen aanwijst waarop de Cyberbeveiligingswet van toepassing is, ook wanneer zij niet voldoen aan de size cap.

Los hiervan vallen organisaties met onderzoeks- en ontwikkelingsactiviteiten voor geneesmiddelen die zijn aangewezen onder de Wet weerbaarheid kritieke entiteiten automatisch onder de Cyberbeveiligingswet, vanwege hun kritieke rol in de samenleving.

Als dit allemaal niet van toepassing is, valt een organisatie met onderzoeks- en ontwikkelingsactiviteiten voor geneesmiddelen niet onder de Cyberbeveiligingswet.

Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen worden als een belangrijke entiteit beschouwd als zij minimaal50 fte in dienst hebben. Als dat niet het geval is, worden zij ook als belangrijk aangemerkt wanneer de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro heeft.

Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen worden als een essentiële entiteit beschouwd als zij minimaal 250 fte in dienst hebben. Als dat niet het geval is, vallen zij ook onder de categorie essentieel wanneer de organisatie zowel een jaaromzet van meer dan 50 miljoen euro als een balanstotaal van meer dan 43 miljoen euro heeft.

Als het ministerie van VWS van de mogelijkheid gebruikt maakt om organisaties met onderzoeks- en ontwikkelingsactiviteiten voor geneesmiddelen aan te wijzen onder de Cyberbeveiligingswet worden deze organisaties automatisch als essentiële entiteit beschouwd, zelfs als zij niet aan de size cap voldoen.

Organisaties met onderzoeks- en ontwikkelingsactiviteiten voor geneesmiddelen die door de Minister van VWS worden aangewezen als kritieke entiteit onder de Wet weerbaarheid kritieke entiteiten, worden ook als essentiële entiteiten beschouwd onder de Cyberbeveiligingswet.