NIS2 en NEN 7510 in de zorg: 4 vragen en antwoorden

NIS2 in de zorg: 4 vragen en antwoorden

Bent u CISO in de zorg? Dan weet u dat een van de grootste uitdagingen is: de balans tussen snel goede zorg verlenen en optimale security waarborgen. ‘Een zorgverlener die met spoed iemand moet behandelen, wil niet met MFA hoeven in te loggen,’ zegt Niels van der Meij, Principal Security Consultant en IT-auditor (RE) bij Secura. Hij doet veel werk voor de publieke sector, waaronder de zorg.

Van der Meij voorziet meer discussie over het spanningsveld tussen zorg en security nu NIS2 eraan komt, de nieuwe Europese cybersecurity-richtlijn. ‘Ik verwacht dat de normen uit NEN 7510 zwaarder zullen gaan wegen en geformaliseerd zullen gaan worden nu deze vanuit NIS2 ook verplicht gaan worden.’

Wat betekent NIS2 precies voor de zorg? Hoe verhoudt NIS2 zich tot NEN 7510? Van der Meij en zijn collega Mario Sleegers, NIS2-expert, beantwoorden 4 vragen over NIS2 voor de zorg.

1. Wat is het belangrijkste verschil tussen NEN 7510 en NIS2?

NEN 7510 is een sectorgerelateerde normenkader, toegespitst op zorgorganisaties. NIS2 is een wettelijke richtlijn van de EU met als doel: cruciale organisaties cyberweerbaarder maken, zegt RE auditor Van der Meij. Hij kent het NEN 7510 normenkader goed.

‘Een ziekenhuis, om een voorbeeld te noemen, geeft invulling aan de eisen van NIS2 door NEN 7510 compliant te worden. Je voldoet nog niet volledig aan NIS2 als je NEN 7510 compliant bent. Maar als je kunt aantonen dat je werkt volgens aan deze NEN-normen, dekt dat in ieder geval de basis voor NIS2-compliance.’ Een NEN 7510 certificering is niet verplicht onder NIS2.

‘Er bestaat geen certificering voor NIS2’, vult NIS2 consultant Mario Sleegers aan. ‘Ik verwacht ook niet dat die er gaat komen, want we zagen al bij de voorloper van NIS2 - de WBNI - dat de capaciteit voor controle beperkt is.’ NIS2-compliance in de zorg zal dus voor het grootste gedeelte gemeten worden via het al bestaande NEN-normenkader.

De NEN-norm wordt aangepast om beter aan te sluiten op NIS2. 'In de oorspronkelijke planning zou halverwege 2024 een update van de NEN-7510 norm komen', zegt Sleegers. 'Maar de NIS2 update zal voor enige vertraging zorgen, verwacht ik.'

2. Wij werken aan de NEN 7510 certificering. Wat moeten we doen om daar klaar voor te zijn?

Het NEN 7510 normenkader is - net als veel andere kaders - opgebouwd uit 2 delen, zegt Van der Meij: 'De basis omschrijft in brede termen hoe je organisatie eruit moet zien, bijvoorbeeld op het gebied van governance, risico management en het Information Security Management System (ISMS). Daarnaast bevat het kader specifieke normen die je als organisatie moet vertalen naar concrete maatregelen.'

De normen hoeven niet voor elke organisatie op dezelfde manier te worden ingevuld, zegt Sleegers. 'Dat komt omdat een norm moet kunnen gelden voor een organisatie van 10 maar ook voor een bedrijf van 1000 medewerkers. Organisaties kiezen dus op basis van wat passend is welke concrete maatregelen zij nemen om aan een norm te voldoen.'

Een voorbeeld: bij kleine zorginstellingen met een klein aantal medewerkers kan het beheer van toegangsrechten worden ingevuld met een beknopte autorisatiematrix en een beperkte scheiding in rollen en rechten. Een grote instelling met duizenden medewerkers zal per systeem een gedetailleerd overzicht van accounts, rollen en rechten moeten bijhouden.

Het uitgangspunt van de NEN-norm dat een medewerker een zorgrelatie met de patiënt of client moet hebben, leidt in dit voorbeeld dus bij een grote instelling tot uitgebreidere en specifiekere maatregelen dan bij een kleine instelling.

Omdat elke organisatie zelf invulling geeft aan de normen van NEN 7510, is het daarom lastig in algemene zin te zeggen wanneer een organisatie klaar is voor certificering. Toch zijn er wel aandachtspunten, zegt Van der Meij: 'Tijdens een NEN 7510 implementatietraject zien wij vaak dat een ISMS niet helemaal compleet is. Daarnaast gebeurt het ook dat de normen niet altijd goed vertaald zijn naar concrete maatregelen.'

3. Wij volgen NEN 7510. Wat moeten we nog doen voor NIS2?

Wie aantoonbaar voldoet aan NEN 7510, bijvoorbeeld met een certificering of een auditrapport, is al voor een groot deel op weg naar NIS2-compliance, zeggen Sleegers en Van der Meij. Toch zijn er een paar gebieden waar aanvullende maatregelen nodig zijn om te voldoen aan NIS2:

1 Directie is verantwoordelijk en wordt geacht training te volgen. NIS2 maakt de directie expliciet eindverantwoordelijk voor cybersecurity. Dat is opvallend, zegt Sleegers: 'Deze verantwoordelijkheid van de directie bestaat in vrijwel geen enkel raamwerk. We zien dat deze bij NIS2 echt is verschoven van de IT-afdeling naar het hoger management: van het bestuur wordt verwacht dat die de cyberrisico’s van de organisatie begrijpt en bijbehorende maatregelen goed kan keuren.'

'Dat is in de praktijk natuurlijk complex, want de meeste mensen in de Raad van Bestuur van een ziekenhuis zijn geen expert op dit gebied.' Daarom vereist NIS2 training en opleiding van het bestuur.

2 Risicomanagement gaat zwaarder wegen. Een van de belangrijkste pijlers van NIS2 is risicomanagement. 'Je ziet risk management natuurlijk ook terug in NEN 7510, maar bij NIS2 weegt dit veel zwaarder', zegt Van der Meij.

'Zorginstellingen zullen diepgaander moeten kijken naar hun risico-analyses. Bij interne audits moet dan niet alleen worden beoordeeld of de maatregelen uit NEN 7510 zijn geïmplementeerd, maar ook of in een risico-analyse is beoordeeld of nieuwe dreigingen, bijvoorbeeld ransomware-aanvallen, voldoende worden beheerst. Is dat niet het geval, dan zullen er extra of zwaardere maatregelen moeten worden genomen om aan de eisen van NIS2 te voldoen. Een vinkje zetten zal niet meer afdoende zijn. Ik verwacht dat dit echt een punt van aandacht wordt, want NIS2 dwingt dit af.'

3 Securitymanagement van leveranciers wordt belangrijker. NIS2 vereist dat organisaties de security van hun leveranciers monitoren. 'Dit is een vrij nieuwe ontwikkeling die je bijvoorbeeld ook in de automotive industrie ziet op dit moment', zegt Sleegers. 'Maar de hele toeleveringsketen veiliger maken kost veel moeite en is een kwestie van lange adem.'

Hoe kun je er als zorgverlener voor zorgen dat bijvoorbeeld leveranciers van zorgapplicaties genoeg aandacht besteden aan veiligheid? Sleegers: 'De meest voor de hand liggende manier om dat te doen is via de contracten met deze partijen.' Om in kaart te brengen hoe het gesteld is met de security van een leverancier kan een Vendor Assessment helpen.

4 De meldplicht bij incidenten wordt uitgebreid. NIS2 stelt aanvullende eisen op het gebied van incidenten melden. Sleegers: 'Kort gezegd: Organisaties moeten meer en sneller melden. Vooral dat laatste zal inspanning kosten, want aan een melding gaan veel stappen vooraf.'

Download de NIS2 incident flowchart

Wat vraagt NIS2 van zorginstellingen als het gaat om het melden van cyberincidenten? Wat moet u melden? Wat is de tijdlijn? Mario Sleegers en zijn collega's hebben de NIS2-meldingsvereisten op een rijtje gezet in een overzichtelijke flowchart.

4. Wat als onze organisatie wel aan NEN 7510 voldoet maar niet aan NIS2?

NIS2 maakt onderscheid tussen 'essentiele' en 'belangrijke' entiteiten, zegt Mario Sleegers. Voor 'eesentiële' organisaties zal het toezicht op naleving strenger zijn: de meeste zorginstellingen vallen in deze categorie. 'Als een essentiële organisatie niet voldoet aan NIS2, dan volgen er mogelijk boetes', verwacht hij.

Van der Meij: 'Je kunt de gevolgen waarschijnlijk vergelijken met niet-naleving van de privacywet AVG. De Autoriteit Persoonsgegevens heeft het Haga ziekenhuis in 2019 een boete opgelegd voor het onvoldoende beschermen van patientgegevens. Maar ik verwacht niet dat een huisartsenpraktijk snel een boete zal krijgen.'

De artikelen 32 t/m 34 van NIS2 gaan in op toezicht en mogelijke boetes voor niet-naleving van de richtlijn. De maximale boete voor essentiële entiteiten bedraagt 10 miljoen euro of 2% van de jaaromzet. Voor belangrijke entiteiten is dat bedrag maximaal 7 miljoen of 1,4% van de jaaromzet.

De Inspectie Gezondheidszorg en Jeugd (IGJ) zal toezicht houden op naleving van NIS2 in de zorgsector.

NIS2 zal in de praktijk waarschijnlijk betekenen: meer nadruk op naleving van regels rond security, verwacht Van der Meij. Het spanningsveld tussen zorg verlenen en veiligheid waarborgen neemt dus alleen maar toe. Hoe kunnen organisaties dit oplossen? Sleegers adviseert: 'Begin met het bestuur te trainen, zodat ze meer inzicht verkrijgen in het spanningsveld. Hierdoor kunnen ze actief bijdragen aan het oplossen van het spanningsveld.'

Ook Van der Meij heeft praktisch advies: 'Geen paniek! Maar kom wel in actie. Start bijvoorbeeld met een risico-analyse, zoals de Rijksoverheid voorstelt. Onze consultants kunnen u hierbij helpen.'

Hoe wij u kunnen helpen

Secura heeft veel expertise op het gebied van NIS2 en NEN 7510. U kunt bij onze experts terecht voor het trainen van uw directie met de NIS2 Boardroom Training. Wij kunnen u ook helpen met het uitvoeren van een NIS2 Gap Assessment en Implementatie Support. Lees meer over onze NIS2 diensten in onderstaande brochure.

Over Secura

Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.

Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.