Het ministerie van VWS heeft zorgorganisaties gewaarschuwd: maak tempo met de implementatie van De Cyberbeveiligingswet (NIS2). Het is geen ‘nice to have’, het is dwingend recht. En het kan vergaande consequenties hebben. Bestuurders zijn vanaf Q2 2026 persoonlijk aansprakelijk voor de cyberveiligheid van hun organisatie. Dat betekent onder andere: geen oogje dichtknijpen bij verouderde systemen (zorg voor een structureel update- en patch beleid), geen risico’s accepteren ‘voor later’ zonder gedocumenteerde toetsing en de verantwoordelijkheid niet meer delegeren naar de ICT-afdeling.
Wat is NIS2 – en waarom nu?
NIS2 is de tweede versie van de Network and Information Security-richtlijn van de Europese Unie. In Nederland heet deze wet de Cyberbeveiligingswet (Cbw) en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). De wet treedt naar verwachting in werking in Q2 2026.
Maar NIS2 staat niet op zichzelf. Het is onderdeel van een groeiende stapel aan wet- en regelgeving.
- AVG (Algemene Verordening Gegevensbescherming) – dwingend recht
- ISO 27001 en NEN 7510 – kwaliteitsnormen voor informatiebeveiliging
- EHDS (European Health Data Space) – verplichte koppelingen voor gegevensuitwisseling
- VZVced-protocollen – branche-specifieke standaarden
- Wet Zorg en Dwang (Wzd) – persoonsgerichte zorg en autonomie
Voor nieuwkomers wordt de drempel om te voldoen aan alle eisen steeds hoger. Voor bestaande organisaties wordt het een uitdaging om alles bij te houden. Met NIS2 komt daar nóg een laag bovenop – maar dan wel één met directe persoonlijke consequenties voor bestuurders.
En als klap op de vuurpijl introduceert Europa dit jaar ook de nieuwe EU-richtlijn voor Productaansprakelijkheid die óók effect heeft op de bedrijfsvoering van zorgorganisaties.
Wat betekent NIS2 voor bestuurders en ICT-managers?
Hoofdelijke aansprakelijkheid bestuurders
Bestuurders zijn vanaf de inwerkingtreding van de Cyberbeveiligingswet hoofdelijk aansprakelijk voor cyberrisico’s binnen hun organisatie. Dat betekent:
- Je moet aantonen dat je actief bezig bent met cybersecurity
- Risico’s accepteren ‘omdat het nu even niet anders kan’ is geen optie meer
- Grove nalatigheid of bewuste nalatigheid wordt niet verzekerd
- Bij een incident moet je kunnen bewijzen dat je alles hebt gedaan wat redelijkerwijs mogelijk was
Je kunt je weliswaar deels verzekeren tegen cyberrisico’s, maar deze dekking is juridisch en praktisch begrensd. Je kunt je verantwoordelijkheid niet geheel wegverzekeren. Dus als je bijvoorbeeld geen goede risico analyse doet of een groot risico blind accepteert zonder de juiste stappen te ondernemen om deze in te perken – dan kan dat gezien worden als nalatigheid.
Verantwoordelijkheid ICT-manager
De ICT-manager is niet persoonlijk aansprakelijk, maar wel verantwoordelijk voor de uitvoering. De bestuurder geeft richting, de ICT-manager en het IT-team richten het in en voeren het uit. Het is een gedeelde verantwoordelijkheid, maar de eindverantwoordelijkheid en aansprakelijkheid liggen bij de bestuurder.
De grootste risico’s in de zorg
- Verouderde/”bevroren”systemen
Dit is een groot cybersecurity-risico in de zorg. Veel organisaties hebben oude softwaresystemen ‘bevroren’ op locaties en daar een nieuw systeem tegenaan gezet. Het probleem: dat oude systeem wordt niet meer gepatcht, ontvangt geen updates en is kwetsbaar. Als er iets gebeurt van binnenuit – bijvoorbeeld via een phishing-aanval of een medewerker die per ongeluk een verkeerde handeling doet – kan het hele systeem worden geraakt.
- Continuïteitsrisico’s
Als je niet continu updatet, kunnen sensoren niet meer veilig communiceren met platformen. En platformen kunnen niet meer veilig communiceren met smartphones. En Android-versies en apps lopen uit de pas. Het resultaat? Systemen vallen uit, zorgprofessionals kunnen er niet bij en de continuïteit van zorg komt in gevaar.
Tegelijkertijd kan het te snel doorvoeren van updates juist weer risico’s opleveren – omdat de software zelf bijvoorbeeld is gehackt. Zorg dus voor een goede teststrategie en voer alleen updates uit als die aangekondigd zijn door je leverancier.
- Datalekken en AVG-schendingen
Een cyberincident leidt vaak direct tot een datalek. Dat betekent niet alleen een NIS2-overtreding, maar ook een mogelijke AVG issue. Je zult op dit vlak dan ook tijdig moeten handelen.
- Te weinig kennis en geen actief beleid
Veel zorgorganisaties zijn zich onvoldoende bewust van de Cyberbeveiligingswet en hebben nog geen adequaat beleid, geformuleerde doelstellingen en/of toezicht. Bestuurders beleggen het onderwerp vaak bij de ICT-manager en zouden daarmee kunnen denken voldoende te hebben gedaan. Maar dat is niet zo. Je moet als bestuurder laten zien dat je betrokken bent, dat je advies opvolgt en actief stuurt op cybersecurity. Bovendien zou iedereen binnen de organisatie op de hoogte moeten zijn van hoe je veilig kunt werken: van bestuur en management tot aan iedereen op de werkvloer.
Kun je je verzekeren tegen NIS2-risico’s?
Deels. Je kunt je als organisatie verzekeren tegen cyberrisico’s – denk aan ransomware-aanvallen of datalekken. Maar:
- Grove nalatigheid wordt niet verzekerd
- Opzet (bewust handelen dat tot schade leidt) wordt niet verzekerd
- Bewuste nalatigheid wordt niet verzekerd
Als je als bestuurder (grote) risico’s accepteert zonder een gedegen plan om die te beperken, voorkomen of te verzachten – dan ben je nalatig. En daar kun je jezelf niet tegen verzekeren. De mogelijkheden om je te verzekeren zijn dus juridisch en praktisch begrensd.
Welke maatregelen kun je wél nemen?
Om aan NIS2 te voldoen, moet je organisatie een aantal concrete stappen zetten:
- Breng je volledige ICT-infrastructuur in kaart
- Welke smartphones gebruiken jullie, en welke versies draaien daarop?
- Welke softwaresystemen zijn er, en wat zijn de versieniveaus?
- Voldoet alles aan de laatste security patches?
- Zijn er ‘bevroren’ legacy-systemen die een risico vormen, en welke risico’s zijn dat?
Dit overzicht is de basis. Zonder dit weet je niet waar je staat.
- Stel beleid op en formuleer doelstellingen
Welk niveau van cybersecurity willen we? Wat is daarvoor nodig? En hoe gaan we dat borgen? Dit beleid moet concreet zijn en moet worden goedgekeurd door de bestuurder.
- Zorgvoorup-to-date systemen
- Patch management: zorg dat alles regelmatig wordt geüpdatet
- Vulnerability scanning: scan regelmatig op kwetsbaarheden
- Faseer oude systemen uit en vervang ze door moderne, ondersteunde alternatieven, zowel on-premise locatiegebonden systemen als cloud systemen.
- Maak een BusinessContinuityPlan (BCP)
Wat doe je als jullie worden gehackt? Of als er een grootschalig datalek is? Wie is verantwoordelijk? Hoe meld je het incident? Een BCP is verplicht volgens NIS2 wetgeving.
- 5. Train en bewust maken
- Bestuurders moeten een verplichte cybersecurity-training volgen
- Medewerkers moeten bewust gemaakt worden van risico’s (phishing, wachtwoordbeleid, etc.)
- Bestuurders zijn verplicht toezicht te houden op de uitvoering van het cyberveiligheidsbeleid binnen de organisatie
- Beoordeel leveranciers op risico’s
Welke partijen leveren jullie zorgtechnologie, sensoren, platformen? Voldoen zij aan de juiste beveiligingsnormen? Delen zij data op een veilige manier? Hebben zij relevante certificeringen zoals de ISO 27001 en/of NEN 7510? Dit moet je structureel valideren en toetsen aan je leveranciersbeleid en -eisen.
- Zorg voor incident response procedures
Bij een incident moet je binnen 24 uur melden aan de wettelijke instanties. Daarna volgt binnen 72 uur een volledige rapportage. Dat kun je alleen als je procedures hebt liggen en weet wie wat doet.
Hoe blijf je voldoen aan NIS2?
NIS2-compliance is geen eenmalige actie. Het vraagt om een continu verbeterproces:
- Jaarlijkse risicoanalyses
- Regelmatige audits en penetratietesten
- Voortdurende monitoring van systemen
- Proactieve communicatie met leveranciers over updates en patches
- Bewustzijn houden bij bestuur en medewerkers
Het antwoord op deze complexiteit? Standaardisatie. Hoe groter de brij aan losse koppelingen, sensoren, smartphones, switches, firewalls en platformen, hoe onmogelijker het wordt om alles 24/7 veilig en up-to-date te houden. Daarom kiezen steeds meer organisaties voor gestandaardiseerde platforms waarin alles is geïntegreerd en op elkaar afgestemd is. Eén plek voor monitoring, één plek voor beheer, één plek voor updates.
Meer weten?
Binnen Open Care Connect selecteren we technologie en partners niet op basis van trends, maar kijken we naar kwaliteit, betrouwbaarheid en veiligheid. Principes waar we al jaren mee werken en die nu extra relevant zijn onder NIS2. In de meest recente audit voor ISO 27001 en NEN 7510 hebben we dan ook extra aandacht besteed aan compliance en kunnen we onze klanten hier ook optimaal mee bedienen. Wil je hier meer over onze aanpak en/of oplossingen? Neem contact met ons op dan helpen we je graag verder.
In een volgend artikel gaan we dieper in op hoe Open Care Connect helpt bij NIS2-compliance door middel van standaardisatie, meerjarig onderhoud en proactieve monitoring. En daarnaast op nóg een nieuwe wet die haar intrede gaat maken.
Disclaimer
Aan dit artikel kunnen geen rechten worden ontleend. Wij hebben geprobeerd de NIS2-wetgeving (Cyberbeveiligingswet) begrijpelijk samen te vatten en ons advies te geven over wat je kunt doen om te voldoen aan de wet. Voor de meest gedetailleerde en juridisch correcte informatie adviseren wij je de officiële wetteksten zelf goed door te nemen:
voor meer informatie:
- Cyberbeveiligingswet – Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
- NIS2-richtlijn – Officiële EU-tekst
- Publicatie van Actiz: Goed Geregeld – voor een volledige opsomming van alle wetten en regelgeving in de zorg.
De in dit artikel genoemde 7 maatregelen zijn een vereenvoudigde weergave van de 10 officiële verplichtingen uit Artikel 21 van de NIS2-richtlijn. Raadpleeg de officiële wetteksten voor een volledig overzicht van al deze verplichtingen.
