Minister verklaart Nederlandse zorg onderdeel van vitale infrastructuur
Demissionair minister Kuipers van Volksgezondheid heeft de Nederlandse zorg tot een onderdeel van de vitale infrastructuur verklaard, waardoor ook wetgeving op het gebied van digitale veiligheid voor de zorg van kracht zal worden. Het gaat dan om Europese Critical Entities Resilience richtlijn (CER) en de herziene richtlijn Network- and Information Security2 (NIS2). De wetten moeten de fysieke en digitale weerbaarheid van het zorgstelsel verhogen.
De Nederlandse zorg maakte geen deel uit van de vitale infrastructuur in Nederland. De voormalig minister van Volksgezondheid besloot in 2021 opnieuw te beoordelen of de zorg in Nederland onderdeel zou moeten worden van de vitale infrastructuur. "Ik heb deze herbeoordeling gebaseerd op scenario’s met maximale uitval: een overstroming en een digitale verstoring. Op basis van deze herbeoordeling, merk ik nog nader te bepalen onderdelen van de zorg als vitaal aan", aldus Kuipers (pdf).
De komende tijd gaat het kabinet werken aan het opstellen van de wetsvoorstellen voor het implementeren van de NIS2- en CER-richtlijnen. De minister verwacht dat de NIS2-richtlijn gaat gelden voor maximaal tweeduizend organisaties die actief zijn in de Nederlandse zorgsector, zoals zorgaanbieders, EU-referentielaboratoria en partijen die farmaceutische producten of medische hulpmiddelen fabriceren.
Deze organisaties moeten verplicht preventieve maatregelen tegen cyberincidenten nemen, grootschalige incidenten melden en bij ernstige bedreigingen van hun netwerk de ontvangers van hun diensten informeren over mogelijke gevolgen. Aanvullend verplicht de NIS2-richtlijn dat deze organisaties zich registeren en aan de verplichtingen voldoen vanaf het moment dat de wet in werking treedt.
"Dit betekent onder meer dat ziekenhuizen, laboratoria en andere zorginstellingen bij het ingaan van de implementatiewet hun netwerk- en informatiebeveiliging op orde moeten hebben overeenkomstig de eisen zoals gesteld in de NIS2", aldus de minister. Wat betreft de CER-richtlijn zegt Kuipers dat hij het komende half jaar criteria gaat opstellen die bepalen welke organisaties in de zorg worden aangewezen als kritieke entiteit en aan de verplichtingen van de richtlijn moeten voldoen.
Afsluitend meldt Kuipers dat de vitaalverklaring van de zorg pas concreet gevolgen zal hebben wanneer zorgaanbieders worden aangemerkt als vitale aanbieder en aangewezen zijn als kritieke entiteit onder de CER-richtlijn. De financiële gevolgen van de implementatie van de CER- en NIS2-richtlijn worden de komende tijd nader in kaart gebracht, waaronder ook voor de zorgsector.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.
Pro cloud en controle
Leuker gaan we het niet maken,wel makkelijker
Mvg
BRUSSEL/EU2023
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.
Ondernemen is risico nemen, en dat de overheid een onbetrouwbare partner is kan geen verrassing zijn.
Niet piepen. Zorg voor een goed product, dat je goed beheert, en dan blijkt een ISO9001 certificering niet heel ingewikkeld. Ook een ISO 27001 certificering is eenvoudig als je vanuit goed-product-goed-beheer denkt,en niet vanuit goedkoop-inkopen-duur verkopen.
Als je die hebt, of er in ieder geval naar werkt, dan is NIS2 een breeze.
Daarmee heb je weinig incidenten,en gaat er een keer iets mis, dan weet je wat je moet doen.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.
Dat is natuurlijk op veel gebieden al het geval. Zo is ook bepaald dat al je chauffeurs moeten beschikken over geldige rijbewijzen, dat slachthuizen aan allerlei voorwaarden moeten voldoen, dat de uitstoot van bedrijven niet boven bepaalde waarden uit mogen komen, dat de hygiene van allerlei bedrijven (voedsel, lichaamszorg, enz.) op orde moet zijn, dat de veiligheid van werknemers op de werkplek afdoende geregeld moet zijn.
Dus in die zin veel minder nieuws onder de zon dan uw post doet vermoeden. Dat de zorg de plicht heeft op dit gebied haar risico's te managen en beperken lijkt me niet meer dan terecht.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.
Voor de patiënten was het al sinds jaar en dag van vitaal belang. Dat kon Kuipers nooit zoveel schelen. Hij noemt het "zorg", maar hij denkt: "data = geld". En dan niet voor de patiënten, maar voor het grootbedrijf en de eigenaren daarvan.
Net zoals de EU zegt: "kinderen beschermen tegen kinderporno" maar denkt: "meer controle".
Deze organisaties moeten verplicht preventieve maatregelen tegen cyberincidenten nemen, grootschalige incidenten melden en bij ernstige bedreigingen van hun netwerk de ontvangers van hun diensten informeren over mogelijke gevolgen. Aanvullend verplicht de NIS2-richtlijn dat deze organisaties zich registeren en aan de verplichtingen voldoen vanaf het moment dat de wet in werking treedt.
Onder het mom van "databeveiliging" wil Kuipers richtlijnen die de macht van burgers over hun eigen data gaat onttrekken aan die burgers en gaat verplaatsen naar organisaties, omdat het anders "niet veilig" zou zijn. De beveiliging moet groot, cyber en ingewikkeld worden, want heeft de overheid een excuus om die beveiliging en dus de data af te pakken van de burgers.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.
Je bedoeld dat je beveiliging van persoonsgegevens niet belangrijk vindt?....
Was met corona nog niet duidelijk geworden dat zorg een belangrijke factor is?
Paar jaar te laat maar ok.
Lees de CER en NIS2 directives
https://eur-lex.europa.eu/eli/dir/2022/2555 NIS2 (ook NL versie) digitale kant CER plus digitale dienstverlening
https://eur-lex.europa.eu/eli/dir/2022/2557 CER - fysieke aspecten, ketens
België heeft een tijd geleden een mooi visueel overzicht gemaakt of je bedrijf of organisatie onder NIS2 valt :
https://ccb.belgium.be/nl/de-nis2-richtlijn-wat-betekent-dit-voor-mijn-organisatie
Helaas is onze overheid minder voortvarend met de voorlichting, Rond 15 januarie schijnt er meer info te komen.
Organisaties moeten:
1 processen en techniek zo inrichten dat men compliant is
2 documenteren dat men compliant is
3 processen inrichten om compliant te blijven
4 processen om de documentatie die dit aantoont volledig en up to date is op elk moment in de tijd
En dat alles natuurlijk met echte en niet puur papieren compliancy.
1 & 2 voor elkaar te krijgen is een klus, maar 3 & 4 zijn wellicht de grotere uitdaging.
Organisaties moeten:
1 processen en techniek zo inrichten dat men compliant is
2 documenteren dat men compliant is
3 processen inrichten om compliant te blijven
4 processen om de documentatie die dit aantoont volledig en up to date is op elk moment in de tijd
En dat alles natuurlijk met echte en niet puur papieren compliancy.
1 & 2 voor elkaar te krijgen is een klus, maar 3 & 4 zijn wellicht de grotere uitdaging.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
