NIS2 en de zorg: wat moet je als organisatie nú regelen?

Waar gaat NIS2 over?

NIS2 is Europese wetgeving die organisaties verplicht hun digitale weerbaarheid serieus op orde te brengen. Het is de opvolger van de eerste NIS-richtlijn en trekt de lat hoger én breder: meer sectoren vallen eronder, de eisen zijn concreter, en — belangrijk — de verantwoordelijkheid ligt nadrukkelijk op bestuursniveau.

Voor veel zorgorganisaties betekent dit dat maatregelen die voorheen 'verstandig' waren, nu 'verplicht' worden. De kern is gelukkig niet ingewikkeld: ken je risico's, neem passende maatregelen, en zorg dat je incidenten kunt detecteren en melden. Het lastige zit hem in de uitvoering en in het aantoonbaar maken dat je het op orde hebt.

Waarom de zorg extra scherp moet zijn

Zorgorganisaties verwerken bijzondere persoonsgegevens — medische data van de meest gevoelige soort. Tegelijk is de continuïteit van zorg letterlijk van levensbelang: een systeem dat platligt is niet alleen vervelend, het kan de zorgverlening direct raken.

Daar komt bij dat de zorg een geliefd doelwit is voor ransomware. Aanvallers weten dat de druk om snel weer operationeel te zijn enorm is. Dat maakt een doordachte NIS2-aanpak in de zorg geen papieren exercitie, maar een directe bijdrage aan patiëntveiligheid.

Wat ik als eerste zou aanpakken

De wet noemt veel, maar in de praktijk leg je een fundament met een handvol stappen. In deze volgorde:

• Breng je risico's in kaart. Begin met een helder overzicht van systemen, dataverwerkingen en afhankelijkheden. Je kunt pas beschermen wat je kent.
• Toegangsbeleid op orde. Multifactor-authenticatie (MFA) overal, rollen op basis van least-privilege, en een schoon rechtenmodel. Dit is de grootste winst voor de minste moeite.
• Logging en herleidbaarheid. Zonder logging is incidentonderzoek onmogelijk. Zorg dat je achteraf kunt zien wie wat heeft gedaan.
• De leveranciersketen. NIS2 kijkt nadrukkelijk ook naar je toeleveranciers. Een zwakke schakel bij een leverancier is jouw risico.
• Een incidentproces dat werkt. Leg vast hoe je een incident herkent, opschaalt en meldt — en oefen het, want een proces dat alleen op papier bestaat faalt op het moment dat het telt.

De meldplicht: ken de klok

Een van de concretere verplichtingen van NIS2 is de meldplicht bij significante incidenten. Er gelden strakke termijnen: een eerste melding moet snel na ontdekking gebeuren, gevolgd door uitgebreidere rapportage.

Het praktische gevolg: je moet een incident niet alleen kunnen oplossen, maar ook kunnen herkennen, beoordelen en binnen korte tijd melden. Dat vraagt vooraf nagedacht te hebben over wie beslist, wie meldt en welke informatie je dan paraat hebt. Midden in een crisis is geen moment om dat te bedenken.

Bestuurlijke verantwoordelijkheid is nieuw

Een wezenlijk verschil met eerdere wetgeving: NIS2 legt de verantwoordelijkheid expliciet bij het bestuur. Cybersecurity is geen onderwerp meer dat je volledig kunt delegeren aan 'de ICT-afdeling'. Bestuurders moeten aantoonbaar betrokken zijn, de risico's begrijpen en sturen op de maatregelen.

In de praktijk betekent dit dat security een vast agendapunt wordt op bestuursniveau, met heldere rapportage. Voor veel organisaties is dat een cultuurverandering die net zo belangrijk is als de techniek eronder.

Begin klein, maar begin

De grootste valkuil die ik tegenkom is verlamming: NIS2 wordt zo groot en abstract gemaakt dat organisaties niet starten. Dat is precies de verkeerde reactie. Een groot deel van NIS2 overlapt met NEN 7510, het normenkader dat de meeste zorgorganisaties al kennen. Je begint dus zelden bij nul.

Pak het aan als een meerjarentraject met duidelijke prioritering: wat moet nu, wat kan later, en wat levert het meeste risicoreductie op. Geen sprint en geen eenmalige afvinklijst, maar een manier van werken die je geleidelijk inbouwt in de organisatie.

Compliance is geen project dat af is — het is een gewoonte die je opbouwt.

Dit artikel is algemene informatie en geen juridisch advies. Voor de exacte verplichtingen die op jouw organisatie van toepassing zijn, is afstemming met een gespecialiseerde adviseur verstandig.