Minister wil minimale digitale beveiliging voor vitale aanbieders
Minister Grapperhaus van Justitie en Veiligheid wil dat alle vitale aanbieders in Nederland worden verplicht om aan een minimaal digitaal beveiligingsniveau te voldoen. Hiervoor wil de minister de Wet beveiliging netwerk- en informatiesystemen (Wbni) gaan wijzigen, zo laat hij aan de Tweede Kamer weten.
De Wbni is de Nederlandse vertaalslag van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (de NIB-Richtlijn), die voor meer eenheid in beleid over netwerk- en informatiebeveiliging moet zorgen. Het is gericht op aanbieders van essentiële diensten in onder andere de energie-, de financiële- en vervoerssector en digitale dienstverleners, zoals clouddiensten, online zoekmachines en online marktplaatsen.
Niet alleen zijn deze partijen door de Wbni verplicht om ernstige incidenten te rapporteren aan het Nationaal Cyber Security Centrum (NCSC) en het Agentschap Telecom, ze moeten ook maatregelen nemen om hun ict-infrastructuur tegen aanvallen en incidenten te beveiligen. Naar aanleiding van de problemen rond het recente Citrix-lek en een rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) over digitale ontwrichting is Grapperhaus met een kabinetsreactie gekomen. In de kabinetsreactie gaat de minister ook in op de bescherming van de vitale infrastructuur en de Wbni.
De wet geldt namelijk niet voor alle vitale aanbieders. Voor een deel van hen geldt slechts een meldplicht van incidenten met aanzienlijke gevolgen bij het NCSC en geen zorgplicht of toezicht daarop. "Door ook andere vitale aanbieders onder het volledige regime van de Wbni te brengen, moeten zij aan de zorgplicht en daarmee aan een algemeen basisniveau van beveiligingsdoelen voldoen", stelt Grapperhaus. De minister wil daarvoor de Wbni wijzigen, zodat het volledige regime van de wet voor alle vitale aanbieders van toepassing wordt, voor zover sectorale wetgeving niet reeds dezelfde of strengere eisen stelt.
"Voor alle sectoren moet gekeken worden naar wet- en regelgeving om uitvoering, toezicht, verantwoording en evaluatie op cybersecurity mogelijk te maken. Dit geldt in het bijzonder voor als vitaal aangemerkte- en rijksoverheidsorganisaties. Uitval van systemen bij deze organisaties heeft immers al snel gevolgen voor alle burgers en bedrijven in ons land", aldus Grapperhaus.
Reacties (15)
Daar hoort dan ook een totale lock-down van ons land bij zodat ze niet besmet raken en niet meer kunnen werken.
Pro-actief handelen in alle sectoren is belangrijk om de maatschappij draaiende te houden.
Pro-actief handelen in alle sectoren is belangrijk om de maatschappij draaiende te houden.
Naar aanleiding van de problemen rond het recente Citrix-lek
Maar daar was het toch hardstikke duidelijk dat je aan een papiertje met een beveiligingsnivo enz helemaal niks hebt?Dat zou dan hooguit betekenen dat je geen software meer kunt afnemen van een bedrijf als Citrix wat zulke ruime termijnen
stelt voor het beschikbaar maken van patches. Maar dat staat vast niet in die NIB-richtlijn.
Toch wel bijzonder dat ziekenhuizen en de zorgsector niet tot de vitale infrastructuur behoren volgens de definitie die de overheid hanteert.....
Saillant detail is dat de Zorg door de overheid niet als vitaal wordt gezien, tenminste niet voor de Wbni. Het idee is dat als een ziekenhuis uitvalt, een ander ziekenhuis het wel opvangt. Daarbij is natuurlijk niet heel erg nagedacht dat ruim 60% op hetzelfde EPD draait (Chipsoft/Hix), dus als dat uitvalt door bv. een supply-chain attack, tja. En dit was ook een pre Corona insteek. Als eind volgende week een UMC uitvalt, dan kost het wel degelijk levens, doordat niet iedereen de juiste zorg geleverd kan krijgen.
Bestond daar geen wetgeving voor? Beter laat dan nooit. Wat het ook mag worden...
Door Anoniem: Bestond daar geen wetgeving voor? Beter laat dan nooit. Wat het ook mag worden...
Gewoon lezen, die wet bestond al, maar wordt aangepast!Door Anoniem: Bestond daar geen wetgeving voor? Beter laat dan nooit. Wat het ook mag worden...
Sowieso nutteloos als er wordt gestrooid met classificaties die een niet eenduidige mix van 3 tot meer componenten tot uitdrukking moeten brengen:
- mate van belang
- mate van urgentie
- functie / deelfunctie binnen maatschappij en/of vakgebied-stelsel
Dus nee, niet sowieso is elke stap altijd een goede stap.
De inventarisatie door het ministerie van wat en wel niet goed in de smiezen gehouden moet worden is nogal gebrekkig.
En niet enkel zogenaamde zeer essentiele organisaties voor een goed functionerende maatschappij moeten hun beveiliging op orde hebben.
Die vlieger gaat natuurlijk op voor ALLLE organisaties!!
Nu broeden ze kennelijk op een hit-and-fine beleid, niet dermate functioneel.
Als je extern allerlei vogels hebt rondlopen die va alles en nog wat lopen uit te vreten dan blijft het dweilen met de kraan open als je een hierarchie gaat aanbrengen in hoe belangrijk welke organisaties zijn.
Een maatschappij is slechts zo waardevol als DE hele set van delen op orde is.
Dit heeft meer weg van flink willen deep-staten met een polder-sausje dan NL beter maken!
Door Anoniem: Ik ben benieuwd wat dit voor een gedrocht gaat worden...
De Wbni is nu al een enorm gedrocht. Elke wijziging aan die wet kan haast niet anders dan een verbetering zijn.Het idee is goed, maar de uitvoering is echt om te janken.
Door Anoniem: Saillant detail is dat de Zorg door de overheid niet als vitaal wordt gezien, tenminste niet voor de Wbni. Het idee is dat als een ziekenhuis uitvalt, een ander ziekenhuis het wel opvangt. Daarbij is natuurlijk niet heel erg nagedacht dat ruim 60% op hetzelfde EPD draait (Chipsoft/Hix), dus als dat uitvalt door bv. een supply-chain attack, tja. En dit was ook een pre Corona insteek.
Zorg kan ook zonder EPD door draaien, helemaal in nood.Daarnaast bijna ieder bedrijf werkt op Windows, en in de zorg is Citrix eigenlijk bijna ook overal actief.
Daarnaast zijn veel software issues op te lossen via een change proces icm OTA omgeving.
Als eind volgende week een UMC uitvalt, dan kost het wel degelijk levens, doordat niet iedereen de juiste zorg geleverd kan krijgen.
Maar Nederland vergaat niet. Impact is gelimiteerd tot dat ziekenhuis. En het UMC valt niet zomaar uit. Vallen de computers uit, grote shit, maar de echte zorg draait gewoon door.Valt de elektriciteit uit, dan is er nu echt een probleem.
Is er een te kort aan beschermedemiddelen...... daar zit nu echt het risico in voor de zorg.
Wat loopt Grapperhaus nu te eisen?
Bij J&V is de ICT betreurenswaardig laag, niet op orde en de bestuurders liggen elkaar dwars. Je zou er eens moeten kijken en je wordt er verdrietig van.
Bij J&V is de ICT betreurenswaardig laag, niet op orde en de bestuurders liggen elkaar dwars. Je zou er eens moeten kijken en je wordt er verdrietig van.
Door Anoniem: Saillant detail is dat de Zorg door de overheid niet als vitaal wordt gezien, tenminste niet voor de Wbni. Het idee is dat als een ziekenhuis uitvalt, een ander ziekenhuis het wel opvangt. Daarbij is natuurlijk niet heel erg nagedacht dat ruim 60% op hetzelfde EPD draait (Chipsoft/Hix), dus als dat uitvalt door bv. een supply-chain attack, tja. En dit was ook een pre Corona insteek. Als eind volgende week een UMC uitvalt, dan kost het wel degelijk levens, doordat niet iedereen de juiste zorg geleverd kan krijgen.
Cross-post:
Weldenkende ministers en Tweede Kamer ...
In de Tweede Kamer zijn vertegenwoordigers bang voor een tweede virus uit bijv. onze veestapel.
Niets over het risico van cyberaanvallen op gezondheidsinstellingen tijdens deze crisis.
De EU Netwerk en InformatieBeveiliging (NIB) richtlijn stelt dat de cyberveiligheid van de gezondheidszorg beschermt moet worden en stelt daar eisen aan. De Nederlandse interpretatie van de richtlijn keipert echter de gezondheidszorg buiten dit stelsel aan voorzorgen en eisen.
Zie de Minister van Medische zorg in https://zoek.officielebekendmakingen.nl/kst-27529-158.html
Referend aan vitaal criteria: "Wij zijn destijds tot de conclusie gekomen dat er geen situaties zijn waarin uitval van ICT-systemen of -structuren in de zorg deze gevolgen zullen hebben. In Nederland is er namelijk geen centrale vitale technische infrastructuur voor de gehele zorg die bij uitval dergelijke gevolgen heeft voor landsbrede zorg. De zorg en de zorginfrastructuur in Nederland zijn niet centraal georganiseerd, maar decentraal en de instellingen zijn zelf verantwoordelijk voor de veiligheid van informatievoorziening en gegevensuitwisseling. Bij uitval van een deel van de zorg kan deze zorg in veel gevallen worden overgenomen door andere zorgaanbieders. Daarom heeft het Ministerie van VWS geen processen in de zorg als vitaal geïdentificeerd en zijn er dus geen AED’s [Aanbieders van Essentiële Diensten] aangewezen. "
"De continue beschikbaarheid en betrouwbaarheid van informatievoorziening en gegevensuitwisseling in de zorg is echter van groot belang voor de patiëntveiligheid. Wij hebben ons daarom met de zorgsector wel gericht op andere maatregelen om de veiligheid van de technische infrastructuur in de zorg te verhogen, zoals mijn ambtsvoorganger vorig jaar bij eerder genoemde brief van 20 juni 2017 aan uw Kamer heeft gemeld. Wij hebben specifieke normen voor informatieveiligheid in de zorg vastgesteld: De NEN-normen 7510, 7512 en 7513. Verder heeft de sector haar eigen sectorale CERT (Computer Emergency Response Team) voor de Zorg (Z-CERT) in het leven geroepen. Z-CERT draagt zorg voor specifieke monitoring, preventie en reparatie van informatieveiligheidsinbreuken in het zorgveld en medische apparatuur. Sinds 24 januari 2018 is Z-CERT officieel van start gegaan. Verder hebben wij samen met de koepels NVZ, NFU, ZKN en GGZ Nederland een Actieplan opgezet voor de verhoging van de veiligheid van patiëntgegevens. "
... niets over het cyberrisico van bevoorbeeld patientmonitoring, beademing, continuiteit van het laboratorium, ... essentieel voor de gezondheid van corona- en andere patiënten.
Nederland heeft als enig land in de EU geen enkele zorginstelling aangewezen als Aanbieder van Essentiele Diensten (AED) waardoor de zorginstellingen minder getoetst zullen worden op hun cybersecurityhygiëne.
Regeren is vooruitzien ... veel sterkte en applaus aan de medewerkers in de zorgsector die de cyberveiligheid proberen te waarborgen zonder overheidssteun.
Door Anoniem:
Cross-post:
Weldenkende ministers en Tweede Kamer ...
In de Tweede Kamer zijn vertegenwoordigers bang voor een tweede virus uit bijv. onze veestapel.
Niets over het risico van cyberaanvallen op gezondheidsinstellingen tijdens deze crisis.
De EU Netwerk en InformatieBeveiliging (NIB) richtlijn stelt dat de cyberveiligheid van de gezondheidszorg beschermt moet worden en stelt daar eisen aan. De Nederlandse interpretatie van de richtlijn keipert echter de gezondheidszorg buiten dit stelsel aan voorzorgen en eisen.
Zie de Minister van Medische zorg in https://zoek.officielebekendmakingen.nl/kst-27529-158.html
Referend aan vitaal criteria: "Wij zijn destijds tot de conclusie gekomen dat er geen situaties zijn waarin uitval van ICT-systemen of -structuren in de zorg deze gevolgen zullen hebben. In Nederland is er namelijk geen centrale vitale technische infrastructuur voor de gehele zorg die bij uitval dergelijke gevolgen heeft voor landsbrede zorg. De zorg en de zorginfrastructuur in Nederland zijn niet centraal georganiseerd, maar decentraal en de instellingen zijn zelf verantwoordelijk voor de veiligheid van informatievoorziening en gegevensuitwisseling. Bij uitval van een deel van de zorg kan deze zorg in veel gevallen worden overgenomen door andere zorgaanbieders. Daarom heeft het Ministerie van VWS geen processen in de zorg als vitaal geïdentificeerd en zijn er dus geen AED’s [Aanbieders van Essentiële Diensten] aangewezen. "
"De continue beschikbaarheid en betrouwbaarheid van informatievoorziening en gegevensuitwisseling in de zorg is echter van groot belang voor de patiëntveiligheid. Wij hebben ons daarom met de zorgsector wel gericht op andere maatregelen om de veiligheid van de technische infrastructuur in de zorg te verhogen, zoals mijn ambtsvoorganger vorig jaar bij eerder genoemde brief van 20 juni 2017 aan uw Kamer heeft gemeld. Wij hebben specifieke normen voor informatieveiligheid in de zorg vastgesteld: De NEN-normen 7510, 7512 en 7513. Verder heeft de sector haar eigen sectorale CERT (Computer Emergency Response Team) voor de Zorg (Z-CERT) in het leven geroepen. Z-CERT draagt zorg voor specifieke monitoring, preventie en reparatie van informatieveiligheidsinbreuken in het zorgveld en medische apparatuur. Sinds 24 januari 2018 is Z-CERT officieel van start gegaan. Verder hebben wij samen met de koepels NVZ, NFU, ZKN en GGZ Nederland een Actieplan opgezet voor de verhoging van de veiligheid van patiëntgegevens. "
... niets over het cyberrisico van bevoorbeeld patientmonitoring, beademing, continuiteit van het laboratorium, ... essentieel voor de gezondheid van corona- en andere patiënten.
Nederland heeft als enig land in de EU geen enkele zorginstelling aangewezen als Aanbieder van Essentiele Diensten (AED) waardoor de zorginstellingen minder getoetst zullen worden op hun cybersecurityhygiëne.
Regeren is vooruitzien ... veel sterkte en applaus aan de medewerkers in de zorgsector die de cyberveiligheid proberen te waarborgen zonder overheidssteun.
Door Anoniem: Saillant detail is dat de Zorg door de overheid niet als vitaal wordt gezien, tenminste niet voor de Wbni. Het idee is dat als een ziekenhuis uitvalt, een ander ziekenhuis het wel opvangt. Daarbij is natuurlijk niet heel erg nagedacht dat ruim 60% op hetzelfde EPD draait (Chipsoft/Hix), dus als dat uitvalt door bv. een supply-chain attack, tja. En dit was ook een pre Corona insteek. Als eind volgende week een UMC uitvalt, dan kost het wel degelijk levens, doordat niet iedereen de juiste zorg geleverd kan krijgen.
Cross-post:
Weldenkende ministers en Tweede Kamer ...
In de Tweede Kamer zijn vertegenwoordigers bang voor een tweede virus uit bijv. onze veestapel.
Niets over het risico van cyberaanvallen op gezondheidsinstellingen tijdens deze crisis.
De EU Netwerk en InformatieBeveiliging (NIB) richtlijn stelt dat de cyberveiligheid van de gezondheidszorg beschermt moet worden en stelt daar eisen aan. De Nederlandse interpretatie van de richtlijn keipert echter de gezondheidszorg buiten dit stelsel aan voorzorgen en eisen.
Zie de Minister van Medische zorg in https://zoek.officielebekendmakingen.nl/kst-27529-158.html
Referend aan vitaal criteria: "Wij zijn destijds tot de conclusie gekomen dat er geen situaties zijn waarin uitval van ICT-systemen of -structuren in de zorg deze gevolgen zullen hebben. In Nederland is er namelijk geen centrale vitale technische infrastructuur voor de gehele zorg die bij uitval dergelijke gevolgen heeft voor landsbrede zorg. De zorg en de zorginfrastructuur in Nederland zijn niet centraal georganiseerd, maar decentraal en de instellingen zijn zelf verantwoordelijk voor de veiligheid van informatievoorziening en gegevensuitwisseling. Bij uitval van een deel van de zorg kan deze zorg in veel gevallen worden overgenomen door andere zorgaanbieders. Daarom heeft het Ministerie van VWS geen processen in de zorg als vitaal geïdentificeerd en zijn er dus geen AED’s [Aanbieders van Essentiële Diensten] aangewezen. "
"De continue beschikbaarheid en betrouwbaarheid van informatievoorziening en gegevensuitwisseling in de zorg is echter van groot belang voor de patiëntveiligheid. Wij hebben ons daarom met de zorgsector wel gericht op andere maatregelen om de veiligheid van de technische infrastructuur in de zorg te verhogen, zoals mijn ambtsvoorganger vorig jaar bij eerder genoemde brief van 20 juni 2017 aan uw Kamer heeft gemeld. Wij hebben specifieke normen voor informatieveiligheid in de zorg vastgesteld: De NEN-normen 7510, 7512 en 7513. Verder heeft de sector haar eigen sectorale CERT (Computer Emergency Response Team) voor de Zorg (Z-CERT) in het leven geroepen. Z-CERT draagt zorg voor specifieke monitoring, preventie en reparatie van informatieveiligheidsinbreuken in het zorgveld en medische apparatuur. Sinds 24 januari 2018 is Z-CERT officieel van start gegaan. Verder hebben wij samen met de koepels NVZ, NFU, ZKN en GGZ Nederland een Actieplan opgezet voor de verhoging van de veiligheid van patiëntgegevens. "
... niets over het cyberrisico van bevoorbeeld patientmonitoring, beademing, continuiteit van het laboratorium, ... essentieel voor de gezondheid van corona- en andere patiënten.
Nederland heeft als enig land in de EU geen enkele zorginstelling aangewezen als Aanbieder van Essentiele Diensten (AED) waardoor de zorginstellingen minder getoetst zullen worden op hun cybersecurityhygiëne.
Regeren is vooruitzien ... veel sterkte en applaus aan de medewerkers in de zorgsector die de cyberveiligheid proberen te waarborgen zonder overheidssteun.
Sowieso zijn die dus niet klaar voor de natte dromen van Rathenau, KPMG en zorg-innovatie leuteraars met zorg via 5G of hybride tussenvormen danwel halve heilige gralen.
Het zou an sich echt kunnen volstaan om bepaalde instrumenten voor medici te verbeteren, zo lang het niet raak aan het bovenstaande dat iedereen hier en eerder al aankaartte.
Het is gewoonweg onverantwoord om zoveel meer met digitale instrumenten aan elkaar te willen koppelen.
Jammer voor de SAP managers en SAP fanaten die denken dat ERM en CRM een heilige graal zijn of doen alsof al het ziekenhuis personeel moet bukken en buigen voor de ideeën van fans van zulke systemen.
Zorg verlenen staat voorop, niet die fantastische sprongen in digitaal dromenland en mensen die niet door hebben dat ze met hun efficiency verkoop argumenten het algehele serviceniveau van hele organisaties eruit knijpen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
