NIS2: Wat zorgbestuurders vandaag al kunnen doen

Digitaal onbeperkt Achtergrond

De NIS2-richtlijn vraagt om actie van zorgbestuurders. Nederlandse wetgeving is nog in voorbereiding, maar straks gelden er stevige eisen op het gebied van digitale weerbaarheid, governance en kennis. Dit artikel zet op een rij wat je nú al kunt doen.

Han Huizinga
NIS2
NIS2

De digitale weerbaarheid van de zorgsector staat onder druk. Cyberaanvallen op ziekenhuizen, GGZ-instellingen en zorgnetwerken nemen toe, terwijl de afhankelijkheid van digitale systemen groeit. De Europese richtlijn Network and Information Security Directive (NIS2) wil hier iets aan doen en ook Nederlandse zorginstellingen krijgen ermee te maken. Hoewel de wetgeving nog niet van kracht is, is stilzitten geen optie. Zorgbestuurders kunnen zich nú al voorbereiden.

Nederland loopt achter, maar de wet komt eraan

De NIS2-richtlijn moest uiterlijk op 17 oktober 2024 zijn omgezet in nationale wetgeving. Nederland heeft die deadline gemist. In mei 2025 volgde een officiële waarschuwing van de Europese Commissie. Toch is er vooruitgang: het wetsvoorstel voor de nieuwe Cyberbeveiligingswet (Cbw) ligt klaar, inclusief uitvoeringsbesluiten en advies van de Raad van State. De verwachting in september 2025 is dat de wet in het tweede kwartaal van 2026 in werking treedt.

Tot die tijd blijft de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) van kracht. Naast de Cbw werkt het kabinet aan de Wet weerbaarheid kritieke entiteiten (Wwke), die zich richt op fysieke en organisatorische weerbaarheid. Samen vormen deze wetten straks het fundament voor digitale veiligheid in vitale sectoren, waaronder de zorg.

Zorginstellingen worden “essentiële entiteiten”

Onder NIS2 worden grote zorginstellingen en ICT-dienstverleners in de zorg aangemerkt als “essentiële entiteiten”. Dat betekent: strengere eisen, meer toezicht en hogere boetes bij nalatigheid. Maar het biedt ook kansen om cybersecurity structureel te verankeren in de organisatie.

Wat kunnen zorgbestuurders nú al doen?

Hoewel de wet nog niet geldt, is het verstandig om alvast te handelen. De richtlijn biedt een duidelijke routekaart:

1. Zorgplicht: bouw aan digitale weerbaarheid

  • Breng digitale risico’s in kaart via een risicoanalyse.
  • Stel een incidentresponsplan op en test het regelmatig.
  • Zorg voor passende technische maatregelen zoals firewalls, monitoring en back-ups.
  • Organiseer cybersecuritytraining voor bestuurders en sleutelfunctionarissen.

2. Meldplicht: wees voorbereid op incidenten

  • Richt een meldproces in voor ernstige cyberincidenten.
  • Zorg dat meldingen binnen 24 uur kunnen worden gedaan.
  • Leg verantwoordelijkheden vast in protocollen en governance-documenten.

3. Governance: maak cybersecurity bestuurlijk

  • Neem digitale veiligheid op in de bestuursverantwoordelijkheid.
  • Bereid je voor op audits en inspecties door toezichthouders.
  • Houd toezicht op leveranciers en ketenpartners die onder NIS2 kunnen vallen.

4. Kennisverplichting voor bestuurders

Bestuurders moeten aantoonbaar beschikken over voldoende kennis om cyberrisico’s te begrijpen en te beheersen. Dit betekent:

  • Verplichte opleiding of training: Binnen twee jaar na inwerkingtreding moeten bestuurders aantoonbaar zijn opgeleid in cybersecurity en risicobeheersing.
  • Aansprakelijkheid bij nalatigheid: Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij ernstige tekortkomingen in cyberweerbaarheid.
  • Structurele kennisborging: Cybersecurity moet een vast onderdeel worden van strategische besluitvorming, risicomanagement en governance.

Deze eisen onderstrepen dat digitale veiligheid een kernverantwoordelijkheid van de bestuurskamer.

5. Samenwerking: benut sectorale kennis

  • Sluit je aan bij Z-CERT voor ondersteuning bij incidenten en threat intelligence.
  • Deel best practices en leer van incidenten binnen en buiten de sector.

Conclusie: wacht niet op de wet

De NIS2-richtlijn is geen papieren tijger, maar een wake-upcall. Digitale weerbaarheid is cruciaal voor de continuïteit van zorg én het vertrouwen van patiënten. Door nu al te investeren in cybersecurity, voorkom je compliance-risico’s en ben je straks goed voorbereid op de nieuwe wetgeving.

Handreiking cybersecurity

De Cyber Security Raad heeft recent een handreiking cybersecurity uitgebracht. Deze handreiking is bedoeld voor bestuurders, bedrijfseigenaren, commissarissen en toezichthouders in alle organisaties. De handreiking is niet specifiek gericht op zorgorganisaties, maar is breed toepasbaar. De handreiking is opgenomen als bijlage bij dit artikel. 

Opleiding of training voor bestuurders

Nederlandse wetgeving op basis van de NIS2 laat nog even op zich wachten. Dat betekent dat ook nog niet helder is welke eisen precies worden gesteld aan de verplichte opleiding of training van bestuurders. In voorbereiding op die duidelijkheid verkent VGN met een aantal andere branches de mogelijkheden voor een gezamenlijk cursusaanbod. We streven naar duidelijkheid over dat aanbod voordat de wetgeving ingaat.

Meer informatie vindt u op de websites van de Rijksinspectie Digitale Infrastructuur, Z-CERT, Data voor gezondheid, en het Nationaal Cyber Security Centrum

Handreiking Cybersecurity voor Bestuurders en Bedrijfseigenaren (PDF - 3 MB)

Digitaal onbeperkt

Wil je meer weten of heb je vragen of opmerkingen?

Neem contact op met Han Huizinga
06-13197186
Han Huizinga

Deze pagina is een onderdeel van

Technologie

Thema
Technologie
Digitaal onbeperkt

Relevante artikelen

  • Stand van zaken NIS2

    Achtergrond
    NIS2
    Digitaal onbeperkt

  • Nieuwe Europese privacyregels in aantocht

    Nieuws

    De Europese Unie (EU) bereidt nieuwe regels voor ter bescherming van persoonsgegevens, die ook hun impact zullen hebben op de zorg. Wat betekenen ontwikkelingen als een ‘meldplicht datalekken’ en het aanstellen van een privacyfunctionaris voor de zorg?

    Kwaliteit