NIS2 -richtlijn en verantwoordelijkheden bestuur en toezicht

De ontwikkelingen rondom informatiebeveiliging van (onder meer) zorginformatiesystemen volgen elkaar in hoog tempo op. Bestuurders – en daarmee ook toezichthouders – worden geconfronteerd met een opeenstapeling van regelgeving met bijbehorende (nieuwe) verantwoordelijkheden. De introductie van de NIS2-richtlijn (en de Nederlandse uitwerking daarvan die naar verwachting Q2 2026 volgt in de Cyberbeveiligingswet) is een van deze nieuwe ontwikkelingen die aandacht vraagt. Hierna leggen wij u uit wat de introductie van deze nieuwe wetgeving voor uw zorgaanbieder betekent en wat een toezichthouder van het bestuur mag verwachten.

Op welke zorgaanbieders is de NIS2-richtlijn van toepassing?

De NIS2-richtlijn is van toepassing op ‘essentiële’ en ‘belangrijke’ entiteiten. Een zorgaanbieder is een belangrijke entiteit als de zorgaanbieder meer dan 50 werknemers in dienst heeft of een jaaromzet heeft van meer dan 10 miljoen euro én een balanstotaal van meer dan 10 miljoen euro. Een zorgaanbieder is een essentiële entiteit als zij minimaal 250 werknemers in dienst hebben of als de organisatie zowel een jaaromzet van meer dan 50 miljoen euro als een balanstotaal van meer dan 43 miljoen euro heeft.

Veel verplichtingen uit de NIS2-richtlijn gelden voor zowel belangrijke als essentiële entiteiten. Het onderscheid is met name van belang voor de vraag welk ‘toezichtregime’ de Inspectie Gezondheidszorg en Jeugd (IGJ) toepast. Voor belangrijke entiteiten geldt namelijk een minder uitgebreid toezichtregime.

Wat moet een zorgaanbieder regelen?

De NIS2-richtlijn introduceert voor essentiële en belangrijke zorgaanbieders verschillende verplichtingen.

(i) Zorgplicht voor passende beveiliging

Een van de belangrijkste verplichtingen is dat op de zorgaanbieder de zorgplicht rust om passende en evenredige technische, operationele en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die worden gebruikt te beheersen. Zo moet de zorgaanbieder beschikken over een noodvoorzieningenplan. De maatregelen die moeten worden genomen om te voldoen aan deze zorgplicht behoeven op basis van de Cbw de goedkeuring van het bestuur.

In de zorg gelden al sectorspecifieke normen voor het beheer, de beveiliging en het gebruik van een zorginformatiesysteem of een elektronisch uitwisselingssysteem:de zogenoemde NEN-normen (de meest belangrijke zijn NEN 7510, NEN 7512 en NEN7513). Het voldoen aan de huidige NEN-normen is op dit moment nog niet voldoende om óók aan de verplichtingen uit de Cbw (en dus de NIS2-richtlijn) te voldoen. Daarvoor moet een zorgaanbieder extra stappen zetten. Het is de verwachting dat de komende herziening van de NEN 7510 wél zal aansluiten op de zorgplicht in de Cbw.

(ii) Meldplicht voor significante incidenten

Verder moeten ‘significante incidenten’ straks worden gemeld bij de IGJ en het Computer Security Incident Response Team (CSIRT).Een significant incident is een gebeurtenis die een gevaar vormt voor de diensten die worden aangeboden via een informatiesysteem of voor de daarin verwerkte gegevens.Een incident is significant als het een ernstige operationele verstoring of financiële verliezen kan veroorzaken of als het incident andere natuurlijke of rechtspersonen kan treffen door aanzienlijke schade te veroorzaken. Ook bijna-incidenten – incidenten waarbij de aanzienlijke gevolgen zich nog niet hebben voorgedaan – vallen onder de meldplicht.

Let op: een significant incident kán tevens een meldingsplichtig datalek zijn in de zin van de Algemene verordening gegevensbescherming. In dat geval moet óók een melding worden gedaan bij de Autoriteit Persoonsgegevens.

Anders dan bij het melden van een datalek geldt onder de Cbw een systeem van “getrapt melden”: de eerste vroegtijdige waarschuwing moet al binnen 24 uur na kennisneming van het incident worden gedaan bij de IGJ en het CSIRT. Binnen 72 uur moet de definitieve melding volgen en binnen een maand een eindverslag. Om tijdig te kunnen melden is het van belang om (verwerkers)afspraken met de leveranciers van (o.a.) het zorginformatiesysteem kritisch te bekijken en zo nodig herzien.

(iii) Registratieplicht

Zorgaanbieders die onder de NIS2-richtlijn vallen moeten bepaalde gegevens delen met het Nationaal Cyber Security Centrum (NCSC).

(iv) Opleidingsplicht bestuurders

De NIS2-richtlijn introduceert ook verplichtingen die specifiek zien op de (kennis en kunde van) bestuurders. Ieder lid van het bestuur moet beschikken over kennis en vaardigheden om onder meer de risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren, risicobeheersmaatregelen op het gebied van cyberbeveiliging te kunnen beoordelen en de gevolgen van daarvan voor de zorg te kunnen beoordelen. De gedachte daarbij is dat bestuursleden een cruciale rol spelen in het neerzetten van een sterke cyberweerbaarheidscultuur. De NIS2-richtlijn verplicht alle leden van het bestuur tot het volgen van een training en het behalen van een certificaat. Ook daarna moet ieder lid zijn kennis en vaardigheden aantoonbaar actueel houden.

Voor zittende bestuurders geldt dat hieraan binnen twee jaar na inwerkingtreding van de Cbw moet worden voldaan. Voor nieuw te benoemen bestuurders geldt een termijn van twee jaar na de benoeming.

Aansprakelijkheid van bestuurders en overige sancties

Aan het niet-naleven van voorgaande verplichtingen kan de IGJ verschillende gevolgen verbinden. Naast de meer gangbare bevoegdheden zoals het kunnen geven van een aanwijzing aan de zorgaanbieder, het opleggen van een last onder bestuursdwang of een bestuurlijke boete, kan de IGJ ook verzoeken om bepaalde certificeringen en vergunning te schorsen die nodig zijn om zorg te mogen verlenen. Een andere vergaande maatregel is dat de IGJ de rechter kan vragen om leden van het bestuur te schorsen als na een hersteltermijn nog steeds niet is voldaan aan de verplichtingen in de Cbw. Deze schorsing komt in het Handelsregister te staan.

Belangrijk is dat de Cbw de verantwoordelijkheid voor het naleven van de scholingsverplichtingen expliciet belegt bij de individuele leden van het bestuur van de zorgaanbieder. Bij niet-naleving van deze scholingsverplichtingen kan de IGJ een last onder dwangsom of een bestuurlijke boete (van hoogstens € 25.000,-) opleggen aan de bestuurder (en dus niet aan de zorgaanbieder als entiteit).

Verder richt bijvoorbeeld ook de verplichting uit de Cbw om het (risicogericht) beveiligingsbeleid goed te keuren zich direct tot de bestuurders. Als de bestuurders een beleid goedkeuren dat ondermaats is, riskeren zij – via de al bekende routes van aansprakelijkheid – (persoonlijke) aansprakelijkheid.

Wat geldt nu en wat moet later?

Hoewel de NIS2-richtlijn al van kracht is, gelden de verplichtingen uit deze richtlijn pas als de Nederlandse wetgever de richtlijn heeft vertaald naar nationale wetgeving. De Cbw treedt naar verwachting op zijn vroegst Q2 2026 in werking.

Tips

Als toezichthouder is het van belang om scherp te hebben welke verplichtingen er op de zorgaanbieder waarvoor u als toezichthouder optreedt afkomen, zodat u navraag kunt doen bij het bestuur over de stand van zaken. U kunt uw bestuur erop attent maken dat de volgende acties al in gang kunnen worden gezet:

• het inventariseren of de zorgaanbieder valt onder de NIS2-richtlijn/Cbw en zo ja, het alvast aanleveren van de benodigde gegevens bij het NCSC;
• het in kaart brengen waar de zorgaanbieder staat op het gebied van informatiebeveiliging;
• het starten met de implementatie van de minimale beveiligingsmaatregelen;
• het onder de loep nemen van de contracten met verwerkers en het controleren of zij zich conformeren aan de (nieuwste versie van de) NEN-normen en overige voorschriften op gebied van informatiebeveiliging;
• het bijhouden van de ontwikkelingen op het gebied van scholingsmogelijkheden voor het bestuur.

Geschreven door Milou Janssen en Rosanne Burm, advocaten privacyrecht in de zorg bij Dirkzwager legal & tax