Demissionair minister Kuipers van Volksgezondheid heeft de Nederlandse zorg tot een onderdeel van de vitale infrastructuur verklaard, waardoor ook wetgeving op het gebied van digitale veiligheid voor de zorg van kracht zal worden. Het gaat dan om Europese Critical Entities Resilience richtlijn (CER) en de herziene richtlijn Network- and Information Security2 (NIS2). De wetten moeten de fysieke en digitale weerbaarheid van het zorgstelsel verhogen.
De Nederlandse zorg maakte geen deel uit van de vitale infrastructuur in Nederland. De voormalig minister van Volksgezondheid besloot in 2021 opnieuw te beoordelen of de zorg in Nederland onderdeel zou moeten worden van de vitale infrastructuur. "Ik heb deze herbeoordeling gebaseerd op scenario’s met maximale uitval: een overstroming en een digitale verstoring. Op basis van deze herbeoordeling, merk ik nog nader te bepalen onderdelen van de zorg als vitaal aan", aldus Kuipers (pdf).
De komende tijd gaat het kabinet werken aan het opstellen van de wetsvoorstellen voor het implementeren van de NIS2- en CER-richtlijnen. De minister verwacht dat de NIS2-richtlijn gaat gelden voor maximaal tweeduizend organisaties die actief zijn in de Nederlandse zorgsector, zoals zorgaanbieders, EU-referentielaboratoria en partijen die farmaceutische producten of medische hulpmiddelen fabriceren.
Deze organisaties moeten verplicht preventieve maatregelen tegen cyberincidenten nemen, grootschalige incidenten melden en bij ernstige bedreigingen van hun netwerk de ontvangers van hun diensten informeren over mogelijke gevolgen. Aanvullend verplicht de NIS2-richtlijn dat deze organisaties zich registeren en aan de verplichtingen voldoen vanaf het moment dat de wet in werking treedt.
"Dit betekent onder meer dat ziekenhuizen, laboratoria en andere zorginstellingen bij het ingaan van de implementatiewet hun netwerk- en informatiebeveiliging op orde moeten hebben overeenkomstig de eisen zoals gesteld in de NIS2", aldus de minister. Wat betreft de CER-richtlijn zegt Kuipers dat hij het komende half jaar criteria gaat opstellen die bepalen welke organisaties in de zorg worden aangewezen als kritieke entiteit en aan de verplichtingen van de richtlijn moeten voldoen.
Afsluitend meldt Kuipers dat de vitaalverklaring van de zorg pas concreet gevolgen zal hebben wanneer zorgaanbieders worden aangemerkt als vitale aanbieder en aangewezen zijn als kritieke entiteit onder de CER-richtlijn. De financiële gevolgen van de implementatie van de CER- en NIS2-richtlijn worden de komende tijd nader in kaart gebracht, waaronder ook voor de zorgsector.
Deze posting is gelocked. Reageren is niet meer mogelijk.