Onlangs, op 15 april jl., heeft de Tweede Kamer ingestemd met de wetsvoorstellen voor de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Deze wetten beogen organisaties beter te beschermen tegen cyberaanvallen en verstoringen. De wetsvoorstellen liggen nu bij de Eerste Kamer. De regering streeft ernaar om beide wetten in het tweede kwartaal van 2026 in werking te laten treden. De aanstaande wetgeving zal in sommige gevallen ook consequenties hebben voor zorgaanbieders. De gevolgen voor specifiek de zorgsector worden hieronder besproken.
De Cbw is het gevolg van de implementatie van de zogenaamde Europese NIS2-richtlijn. Deze richtlijn heeft tot doel om een hoog gemeenschappelijk niveau van cyberveiligheid in de Europese Unie te bereiken. De wet is van toepassing op zorgaanbieders. Afhankelijk van het aantal medewerkers, de jaaromzet en het balanstotaal wordt een zorgaanbieder aangemerkt als essentiële dan wel belangrijke entiteit. Essentiële entiteiten (≥ 250 medewerkers, ≥ €50 miljoen omzet én ≥ €43 miljoen balanstotaal) staan onder proactief toezicht. Voor kleinere organisaties aangemerkt als belangrijke entiteit (≥ 50 medewerkers of ≥ €10 miljoen omzet/balanstotaal) geldt dat zij vallen onder reactief toezicht. De aanstaande wetgeving is niet alleen van toepassing op de ziekenhuizen, maar mogelijk ook op kleinere organisaties variërend van GGZ-instellingen tot thuiszorgorganisaties.
Zorgaanbieders zijn gehouden passende maatregelen te nemen om de risico’s voor beveiliging van de netwerk- en informatiesystemen die worden gebruik in het kader van de zorgverlening te beheersen. Deze maatregelen omvatten onder andere dat er beleid is inzake risicoanalyse en beveiliging van de informatiesystemen, maar ook dat er beveiligingsaspecten zijn ten aanzien van het personeel. De mate waarin zorgaanbieders maatregelen moeten treffen is afhankelijk van de risico’s waaraan zij worden blootgesteld, de omvang van de zorgaanbieder en de kans dat zich incidenten voordoen en alsmede de ernst ervan.
Daarnaast gaat ook een meldplicht voor significante incidenten gelden. Er is sprake van een incident wanneer een gebeurtenis de integriteit of vertrouwelijkheid van gegevens die beschikbaar zijn via het netwerk- en informatiesysteem van de zorgaanbieder, in gevaar brengt. Een incident is significant indien het grote gevolgen heeft voor de zorgverlening, financiële schade veroorzaakt of anderen merkbaar (im)materieel schaadt.
Het bestuur van de zorgaanbieder moet de maatregelen goedkeuren. Op grond van de Cbw beschikt ieder bestuurslid over kennis en vaardigheden om cyberrisico’s en hun impact op de dienstverlening te beoordelen. Bestuurders kunnen zelfs persoonlijk aansprakelijk worden gesteld (bestuurdersaansprakelijkheid) bij ernstige nalatigheid omtrent de te nemen maatregelen, zeker als door het ontbreken van deugdelijke maatregelen er een cyberincident is ontstaan.
Wet weerbaarheid kritieke entiteiten
Tegelijkertijd loopt ook de implementatie van de Critical Entities Resilience Directive (CER-richtlijn), die wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten (Wwke). Onder deze wet worden bepaalde aanbieders van essentiële diensten, waaronder de instandhouding van de volksgezondheid, aangewezen als kritieke entiteiten. De wet beoogt deze entiteiten weerbaar te maken tegen verschillende soorten risico’s. Dit gaat om zowel door de natuur als door de mens veroorzaakte risico’s die de verlening van een essentiële dienst kunnen verstoren. Denk aan natuurrampen en noodsituaties op het gebied van volksgezondheid.
Ook voor deze organisaties geldt een zorgplicht; organisaties moeten een risicobeoordeling uitvoeren en passende technische, beveiligings- en organisatorische maatregelen nemen om voor hun weerbaarheid te zorgen. Incidenten die de essentiële dienst (kunnen) verstoren moeten worden gemeld. De Wwke zal naar verwachting voor slechts een beperkt aantal zorgorganisaties gelden.
Gevolgen voor de zorgsector
Ook al zijn beide wetten nog niet inwerking getreden, adviseren wij zorgaanbieders toch om goed voorbereid te zijn op toenemende dreigingen. (Cyber)veiligheid versterkt de weerbaarheid van het zorgstelsel en met alertheid op risico’s en kwetsbaarheden binnen een zorgorganisatie kan niet vroeg genoeg mee begonnen worden. U kunt nu al van alles doen, zie de pagina van de Rijksoverheid over de voorbereiding op de Cyberbeveiligingswet. Ook als u strikt genomen niet onder de genoemde wetten valt, is het goed om maatregelen te treffen.
Vragen?
Heeft u vragen over wat deze wetten voor uw organisatie betekenen, neemt u contact op met onze collega's van gezondheidsrecht of privacy-recht.
Heeft u vragen?
Neem contact met ons op
Neem contact met ons op