NIS2 en cybersecurity in de zorg: wat je nu moet weten

Cyberdreigingen nemen toe, en zorgorganisaties zijn steeds vaker doelwit. Tegelijkertijd verandert de wetgeving, met grote gevolgen. De komst van NIS2 is niet zomaar een upgrade van bestaande regels. Het betekent: meer verplichtingen, meer verantwoordelijkheid, en een verschuiving van techniek naar bestuur.

Toch merk ik in gesprekken met organisaties dat het besef nog achterloopt. Veel instellingen weten dat “er iets met NIS2 aankomt”, maar wat dat precies betekent? Daar zit nog veel onduidelijkheid.

‍

Wat is NIS2?

NIS2 staat voor de vernieuwde EU-richtlijn voor netwerk- en informatiesystemen. Deze richtlijn verplicht sectoren die als essentieel of belangrijk worden gezien, waaronder de zorg, om hun cybersecurity structureel op orde te hebben.

Waar NIS1 (de eerdere richtlijn) vooral gold voor vitale sectoren, gaat NIS2 veel verder. Ook zorgorganisaties, ICT-dienstverleners, dataleveranciers, gemeenten en onderwijsinstellingen vallen onder de nieuwe verplichtingen.

Let op: De oorspronkelijke deadline voor implementatie in Nederland was oktober 2024. Later werd dit verschoven naar medio 2025, maar inmiddels is ook dat uitgesteld vanwege de val van het kabinet. De precieze invoeringsdatum is nog niet bekend, maar wél duidelijk: dit gaat eraan komen. Vroeg beginnen loont.

Van beleid naar praktijk

In april volgde ik een sessie over NIS2 en bestuursverantwoordelijkheid. Een waardevolle bijeenkomst die verder ging dan theorie. In het tweede deel speelden we een business game rond een crisissituatie in het MT. Geen abstracte vragen, maar concrete keuzes onder druk. Wat gebeurt er als je IT-omgeving platligt? Wie beslist? Hoe snel handel je?

Eén belangrijk inzicht: veel organisaties hebben wel technische oplossingen, maar geen concreet noodplan bij een digitale crisis. Wie schakelt wat in gang? Wat is het back-upscenario? En weet iedereen zijn rol?

Die oefening maakte scherp hoe belangrijk het is dat bestuurders niet alleen beleid maken, maar ook voorbereid zijn op het moment dat het misgaat. Want onder NIS2 zijn zij persoonlijk aansprakelijk voor falend beleid of onvoldoende voorbereiding.

‍

Cybersecurity als continu proces

NIS2 gaat verder dan IT. Het vraagt om visie, samenwerking en doorlopende aandacht. In mijn huidige én eerdere opdrachten was ik betrokken bij het ontwikkelen van ICT-beleid, privacyrichtlijnen en leveranciersafspraken. Denk aan:

• Veilig inloggen en toegangsbeheer
• Het gebruik van veilige mailoplossingen
• Strikte rolverdeling bij externe partijen
• Back-upbeleid, audits en awarenesscampagnes

Vaak begint het bij iets simpels, zoals het op orde brengen van werkplekken en wachtwoordenbeleid of het aanscherpen van MFA. Maar juist dat soort basale maatregelen zijn cruciaal om hacks, datalekken of ransomware te voorkomen.

Cybersecurity is geen IT-feestje. Het raakt de hele organisatie, van werkvloer tot bestuur.\

‍

Wat staat er op het spel?

Zorgorganisaties verwerken privacygevoelige informatie. Fouten of aanvallen kunnen directe gevolgen hebben voor cliënten, medewerkers en bedrijfscontinuïteit. Denk aan:

• Stilgevallen zorgprocessen
• Gehackte cliëntgegevens
• Financiële schade of boetes
• Aansprakelijkheid van bestuur

In één van mijn eerdere opdrachten hebben we de securitystructuur aangescherpt. We hebben niet gewacht op wetgeving, maar zijn proactief aan de slag gegaan. En dat betaalde zich uit: in rust, vertrouwen en veerkracht.

‍

Tot slot

NIS2 is geen vinklijst, maar een wake-up call. Het vraagt om inzicht, eigenaarschap én actie.

Voorkomen is niet alleen beter dan genezen — het is essentieel om zorg te kunnen blijven bieden.

Wil je weten waar jouw organisatie staat? Of heb je behoefte aan iemand die beleidsmatig én praktisch kan meedenken? Dan kijk ik graag met je mee.

‍