NIS2 in de zorg: bouwen op het fundament van NEN 7510

Een van de belangrijkste uitgangspunten van NIS2 is dat organisaties passende en evenredige technische en organisatorische maatregelen nemen op basis van risicoanalyse. Rutger Fugers: ‘Dat betekent dat niet alleen technische maatregelen vereist zijn, maar een integraal managementsysteem waarin risico’s worden geïdentificeerd, beoordeeld en beheerst. NEN 7510 is precies zo opgebouwd. De norm schrijft voor dat zorgorganisaties een Information Security Management System inrichten volgens een risicogebaseerde systematiek, inclusief periodieke evaluatie en continue verbetering volgens de PDCA-cyclus.’

Risicodenken

Volgens Fugers is het risicodenken dat NIS2 vereist geen nieuwe discipline voor organisaties die NEN 7510 serieus toepassen. ‘Ze zijn gewend om dreigingen te analyseren, impact te bepalen en maatregelen te prioriteren. Dat sluit naadloos aan op de zorgplicht uit NIS2.’ Naast het managementsysteem is er ook inhoudelijke overlap. NIS2 benoemt expliciet een aantal beveiligingsdomeinen, waaronder incidentmanagement, toegangsbeheer, encryptie, logging en monitoring, bedrijfscontinuïteit en supply chain security. ‘Al deze onderwerpen zijn uitgewerkt in NEN 7510-2, toegespitst op de zorgcontext. Denk aan strikte autorisatie rond digitale patiëntendossiers, logging van dossierinzage, versleuteling van gevoelige data en continuïteitsmaatregelen voor kritieke zorgsystemen.’

Fugers vat het kernachtig samen: ‘Je kunt het zo zien: NIS2 bepaalt wat je moet bereiken en NEN 7510 biedt het raamwerk om dat gestructureerd en aantoonbaar te realiseren.’ Maar dat betekent volgens Fugers niet dat NEN 7510 automatisch volledige NIS2 compliance garandeert. ‘NIS2 is wetgeving en kent aanvullende eisen, onder meer op het gebied van meldtermijnen en bestuurlijke aansprakelijkheid. Maar operationeel gezien is de overlap substantieel.’

Aantoonbaarheid en governance

Een belangrijk accent in NIS2 ligt op bestuurlijke verantwoordelijkheid. Bestuurders zijn expliciet verantwoordelijk voor de naleving van cyberbeveiligingseisen en kunnen bij nalatigheid worden aangesproken. Daarnaast stelt NIS2 eisen aan beleid, documentatie, interne controles en periodieke evaluatie. ‘NEN 7510 ondersteunt deze governancestructuur’, vertelt Fugers. ‘De norm vereist formeel vastgesteld beleid, duidelijke rollen en verantwoordelijkheden, interne audits en directiebeoordelingen. Zo ontstaat een gestructureerd kader waarin bestuurders inzicht krijgen in risico’s en beheersmaatregelen.’

Volgens Fugers is aantoonbaarheid essentieel voor toezichthouders. ‘Met een gecertificeerd NEN 7510-managementsysteem kan een organisatie laten zien dat cyberbeveiliging geen losse IT-activiteit is, maar integraal onderdeel van de bedrijfsvoering.’ Certificering is daarbij trouwens geen juridisch bewijs van NIS2 compliance. ‘Het is géén vervanging van wettelijke toetsing aan de Cyberbeveiligingswet. Wel fungeert het als sterke indicatie dat de basismaatregelen systematisch zijn ingericht en getoetst door een onafhankelijke partij.’

Zorgsector als essentiële entiteit

Veel zorginstellingen zullen onder NIS2 worden geclassificeerd als essentiële of belangrijke entiteiten. Dat brengt verscherpt toezicht en strengere handhaving met zich mee. Voor deze organisaties is het relevant dat NEN 7510 in Nederland al jaren de norm is voor informatiebeveiliging in de zorg. ‘De zorgsector heeft een voorsprong ten opzichte van andere sectoren,’ zegt Fugers. ‘Omdat NEN 7510 al verplicht of contractueel vereist is, hebben veel instellingen hun informatiebeveiliging al structureel ingericht. De stap naar NIS2 is daardoor vaak kleiner dan men denkt.’

Dat betekent niet dat aanvullende acties overbodig zijn. Organisaties moeten expliciet toetsen waar NIS2 verder gaat, bijvoorbeeld in de precieze incidentmeldtermijnen of in de verplichting tot training van bestuurders op het gebied van cyberrisico’s.

Ketenverantwoordelijkheid

Een van de meest verstrekkende elementen van NIS2 is de nadruk op supply chain security. ‘Organisaties moeten niet alleen hun eigen beveiliging op orde hebben, maar ook risico’s in de toeleveringsketen beheersen.’ Volgens Fugers bevat de NEN 7510 al bepalingen over uitbesteding, leveranciersbeoordeling en contractuele afspraken met verwerkers. Daarmee biedt de norm een logisch fundament voor het operationaliseren van ketenverantwoordelijkheid.

‘Veel zorgorganisaties zijn sterk afhankelijk van ICT-leveranciers, cloudproviders en medische technologie,’ zegt Fugers. ‘NEN 7510 verplicht hen om die relaties te beheersen. NIS2 maakt die verantwoordelijkheid explicieter en juridisch zwaarder, maar het vertrekpunt is er al.‘

Van basis naar volledige compliance

De mate waarin NEN 7510 bijdraagt aan NIS2 compliance is dus aanzienlijk. De norm dekt een groot deel van de operationele en organisatorische vereisten, biedt een robuust kader voor risicomanagement en ondersteunt governance en aantoonbaarheid. Tegelijkertijd is NEN 7510 geen één-op-één implementatie van NIS2. Organisaties doen er verstandig aan een gerichte gap-analyse uit te voeren tussen hun bestaande NEN 7510-inrichting en de specifieke wettelijke verplichtingen onder NIS2.

‘Zie NEN 7510 als een stevig fundament’, besluit Rutger Fugers. ‘Wie dat fundament op orde heeft, hoeft niet vanaf nul te beginnen. Maar volledige NIS2 compliance vraagt wel om een bewuste vertaalslag, waarbij juridische, organisatorische en bestuurlijke aspecten expliciet worden meegenomen.’ Voor zorgorganisaties betekent dit dat bestaande investeringen in informatiebeveiliging niet alleen bijdragen aan patiëntveiligheid en privacybescherming, maar ook een strategisch voordeel vormen in het nieuwe Europese cyberlandschap.