De NIS2-richtlijn (Netwerk- en Informatiebeveiliging 2) van de EU versterkt cybersecurityvereisten voor essentiële en belangrijke entiteiten, breidt de dekking uit naar meer entiteiten en introduceert strengere beveiligingsmaatregelen en rapportageverplichtingen. Doel is het verbeteren van de veerkracht en de beveiliging van kritieke infrastructuren tegen cyberdreigingen. Op 17 oktober 2024 moet de NIS2-richtlijn in Nederland zijn omgezet naar nationale wetgeving (inmiddels uitgesteld naar 2025). Zorginstellingen vallen onder de NIS2-richtlijn.
Transitie
Lumière Cinema, voormalig energiecentrale van Maastrichtse Sphinx-fabriek, was de locatie van het forum. Een mooie parallel, want waar ooit de eerste transitie van stoom naar stroom plaatsvond, werd nu gesproken over transities in de zorg. Het publiek bestond uit een dertigtal bestuurders van Zuid-Nederlandse zorgorganisaties.
Innervate-directeur Hub Martinussen trapte de kennissessie af met een korte situatieschets. In de loop van zijn carrière zag hij het zorglandschap ingrijpend veranderen, met name door de opmars van digitale technologie. Hij herinnert aan de eerste cybercrime, inmiddels meer dan vijfentwintig jaar geleden: “Digitale weerbaarheid en veiligheid is steeds hoger op onze agenda komen te staan. Dat is ook nodig, want ook al ‘moeten we al zoveel’, we ontkomen simpelweg niet meer aan wet- en regelgeving. Als zorgorganisatie kun je dit het beste zo pragmatisch mogelijk benaderen.”
'We ontkomen niet meer aan wet- en regelgeving voor digitale weerbaarheid en veiligheid. Als zorgorganisatie kun je dit het beste zo pragmatisch mogelijk benaderen.'
Eerste stappen
De eerste spreker op het NIS2-forum, Jasper Nagtegaal, directeur Digitale Weerbaarheid van de Rijksinspectie Digitale Infrastructuur erkent dat alle regulering – op gebieden als data, marketing, AI – belastend is voor organisaties. Er zijn bovendien nog heel wat stappen die moeten worden gezet en quick fixes zijn er niet.
Toch zijn er goede manieren om te beginnen, benadrukt hij. “Door bijvoorbeeld het gesprek aan te gaan met je CISO, waarbij niet alleen vanuit de IT-kant naar de digitale weerbaarheid van de organisatie wordt gekeken, maar ook vanuit bestuurlijke kant. Ook is het raadzaam om binnen je supply chain afspraken met partners te maken, niet alleen via sla’s en contracten, maar door écht het gesprek aan met leveranciers. Maak jouw belang duidelijk en laat ze meedenken in de veiligheidsrisico’s die jullie als organisatie lopen. Geef je leveranciers college.”
Peter Muijen, Raad van Bestuur Daelzicht, hield de discussie vanuit de zaal levend en verwoordde de publieksvragen die naar voren kwamen tijdens de sprekerssessies. Zoals: schiet al die nieuwe regelgeving niet een beetje door? Hoe vind je bijvoorbeeld als organisatie de tijd om met ál je leveranciers aan tafel te gaan?
Natuurlijk is dat lastig, beaamt Nagtegaal. Zeker als je honderden leveranciers hebt. Begin daarom simpel, adviseert hij “Definieer bijvoorbeeld éérst de meest kritische bedrijven voor jouw organisatie en begin van daaruit je risicomanagement.”
Hou het overzichtelijk
Hetzelfde geldt voor de bestuurlijke verantwoordelijkheid die NIS2 met zich meebrengt en de plicht om jezelf als bestuurder goed te informeren. “Hou het overzichtelijk. Begin bijvoorbeeld met drie belangrijke risico’s en bijbehorende maatregelen. En realiseer je dat alle kennis, aandacht en maatregelen nooit voor 100% veiligheid zorgen. Het blijft een proces.”
Gelukkig hoeven organisaties niet van nul te beginnen, legt Nagtegaal uit. “NEN7510 vormt een goede voorbereiding op NIS2. Ook de ISO38500 -richtlijnen voor corporate governance van informatietechnologie vormen een goed startpunt. Digitale weerbaarheid gaat vooral over een brede aanpak, benadrukt Nagtegaal. Het gaat over je eigen organisatie, over je supply chain en over het op orde brengen van je goverance.”
'Digitale weerbaarheid is vooral een brede aanpak. Het gaat over je eigen organisatie, je supply chain en het op orde brengen van je goverance.'
Bram Ketting, CEO van 3rdRisk , gaf zijn visie op risicomanagement in de keten. Een belangrijk onderdeel bij het implementeren van NIS2, want zorginstellingen laten steeds meer kerntaken door ketenpartijen uitvoeren. “De rol van technologie wordt steeds belangrijker en de afhankelijkheden groter. De urgentie is dus hoog, vooral ook vanwege de mogelijke operationele impact bij veiligheidsincidenten. Uit onderzoek van Deloitte blijkt dat meer dan 80% van de zorginstellingen de afgelopen drie jaar zo’n incident meemaakte.
Geen silver bullet
Ook Ketting pleit voor een gestructureerde, pragmatische aanpak bij het minimaliseren van risico’s in je keten. Start simpel, is het devies. “Maak segmenten als je je leveranciers in kaart brengt. Begin niet meteen bij Microsoft. Ga ‘gewoon’ in gesprek met je leveranciers, zonder elkaar kapot te assessen. Met grote leveranciers als AFAS en Atos ga je als sector in gesprek, zelf kun je met de subtop-leveranciers aan tafel. Wissel informatie uit en kijk naar best practices. Er is geen silver bullet, maar dat is juiste het mooie van dit vak: het blijft mensenwerk. Uiteindelijk gaat het om de cliënt en die kijkt ook steeds meer naar z’n eigen digitale veiligheid.”
Tot slot ging Nico van de Peet van Thuis Partners Advocaten, specialist op het gebied van ondernemingsrecht, nog wat dieper in op het stuk aansprakelijkheid. Binnen NIS2 houdt bestuurlijke verantwoordelijkheid in dat de leiding van essentiële en belangrijke entiteiten actief betrokken moet zijn bij cybersecurity. Bestuurders zijn verantwoordelijk voor het naleven van de richtlijn, het implementeren van passende beveiligingsmaatregelen, en het rapporteren van incidenten. Bij nalatigheid kunnen zij persoonlijk aansprakelijk worden gesteld voor het niet naleven van de regelgeving.
Gezond verstand
“Digitale veiligheid is een relatief nieuw bedrijfsrisico waar je je als ondernemer tegen moet weren.” Van de Peet benadrukt dat elke organisatie z’n algemene en financiële risico’s behoort te kennen en daarop beheer- en controlesystemen dient te hanteren. Er werk aan de winkel op het vlak van cyberweerbaarheid. De aansprakelijkheid is vergelijkbaar met die in het geval van een faillissement: ‘als geen redelijk denkend en redelijk handelend bestuurder, onder dezelfde omstandigheden, gehandeld zou hebben.’ Oftewel: gebruik je gezond verstand en neem passende maatregelen. Doe een interne cyberrisico-inventarisatie, monitor je cyberrisico’s continu en sluit een cybersecurityverzekering af.
Let bij die verzekering wel op de dekking: hoe zit het bijvoorbeeld met de herstelkosten in het geval van een cyberaanval? Bij de cyberaanval op Universiteit Maastricht (in december 2019) was het losgeld € 200.000 aan bitcoins, maar liep de schade door de gevolgen in de miljoenen.”
Vergelijk het met brandpreventie, adviseert hij. “Je hoeft zelf geen expert te zijn, maar je moet het wél goed regelen met partners en zorgen dat er een interne mate van begrip voor is. Aansprakelijkheid gaat vooral over je verantwoordelijkheid nemen en gezond verstand gebruiken.”
'NIS2 komt eraan en er zullen stappen moeten worden gemaakt. Bereid je voor, werk samen en ga ermee aan de slag.'
Aan de slag
Organisator Sven Kort van Innervate blikt terug op een geslaagd event. “In alle verhalen horen we dat samenwerking en kennisdeling de sleutel is. We weten allemaal dat we met NIS2 aan de slag moeten. De wetgeving komt eraan en er zullen stappen moeten worden gemaakt.”
Hij maakt opnieuw de vergelijking met de voormalige energiecentrale van de Sphinx, de locatie van het forum. “Die centrale produceerde bij Westenwind een lage monotone bromtoon die tot in de verste uithoeken van Maastricht te horen was. De huishoudens wisten dan: er is slecht weer op komst, de was moet naar binnen. Kijk ook zo naar deze uitdaging: bereid je voor, werk samen en ga ermee aan de slag.”
Lees ook: Ketenrisico’s beheersen volgens NIS2 – in 7 stappen
