NIS2 voor zorginstellingen, wat moet je doen?

Werk je in de zorgsector, dan heb je ongetwijfeld al gehoord van NIS2: de nieuwe Europese cybersecurity-richtlijn die grote gevolgen heeft voor ziekenhuizen, GGZ-instellingen, VVT-organisaties en andere zorginstellingen. Veel zorgorganisaties stellen zichzelf dezelfde vragen: valt onze organisatie onder NIS2? En zo ja, wat moeten we concreet doen om te voldoen?

Die vragen zijn begrijpelijk. De zorg staat onder hoge druk door personeelstekorten, toenemende digitalisering en strengere wet- en regelgeving. Tegelijkertijd neemt het aantal cyberaanvallen op zorginstellingen toe. Ransomware-incidenten, datalekken en uitval van kritieke systemen vormen een direct risico voor patiëntveiligheid en continuïteit van zorg. Juist daarom is NIS2 ook voor de zorgsector relevant.

Waarom NIS2 van toepassing is op zorgorganisaties

De NIS2-richtlijn (Network and Information Security Directive 2) is Europese wetgeving die organisaties in essentiële en belangrijke sectoren verplicht hun digitale weerbaarheid structureel te verbeteren. De gezondheidszorg is expliciet aangewezen als kritieke sector, omdat verstoring directe maatschappelijke impact heeft.

NIS2 onderscheidt twee typen zorgorganisaties:

Essentiële entiteiten

Dit zijn zorginstellingen met:

• 250 of meer medewerkers, of
• een jaaromzet van minimaal €50 miljoen, of
• een balanstotaal van €43 miljoen of meer

Deze organisaties vallen onder zwaar toezicht en strengere handhaving.

Belangrijke entiteiten

Dit betreft zorgorganisaties met:

• meer dan 50 medewerkers, of
• een jaaromzet of balanstotaal boven €10 miljoen

Ook zij moeten voldoen aan NIS2, maar met een iets lichter toezichtregime.

Herken je jouw organisatie hierin? Dan is NIS2 geen toekomstige ontwikkeling meer, maar een concrete wettelijke verplichting.

De drie kernverplichtingen van NIS2 voor de zorg

1. Zorgplicht: structurele cybersecuritymaatregelen

De zorgplicht vormt de kern van NIS2. Zorginstellingen moeten aantoonbaar passende technische én organisatorische beveiligingsmaatregelen treffen op basis van risico’s. Denk aan:

• multifactorauthenticatie (MFA)
• encryptie van patiëntgegevens
• netwerkmonitoring en logging
• toegangsbeheer en patchmanagement

Minstens zo belangrijk is governance: beleid voor incidentrespons, business continuity en ketenbeveiliging. Bestuurders zijn expliciet verantwoordelijk. Cybersecurity is daarmee geen puur IT-vraagstuk meer, maar een bestuurlijke verantwoordelijkheid.

2. Meldplicht: snel rapporteren van cyberincidenten

Bij een significant incident moet een zorginstelling:

• binnen 24 uur een eerste melding doen
• bij de bevoegde autoriteit en Z-CERT, het CSIRT voor de zorg

Een incident hoeft geen volledige systeemuitval te zijn. Ook verstoringen die de beschikbaarheid, integriteit of vertrouwelijkheid van systemen raken en impact hebben op zorgprocessen vallen onder de meldplicht.

3. Registratieplicht: toezicht mogelijk maken

Zorgorganisaties die onder NIS2 vallen, moeten zich registreren bij de bevoegde toezichthouder. Voor de zorgsector is dit de Inspectie Gezondheidszorg en Jeugd (IGJ). Deze registratie stelt toezichthouders in staat gericht toezicht te houden en handhavend op te treden.

NIS2 in de zorg: concrete stappen om te starten

1. Bepaal of je organisatie onder NIS2 valt

Analyseer de omvang en aard van je organisatie en stel een multidisciplinair projectteam samen (IT, compliance, juridisch en bestuur).

2. Voer een NIS2-brede risicoanalyse uit

Ga verder dan NEN 7510 alleen. NIS2 vereist ook inzicht in:

• supply chain-risico’s
• afhankelijkheid van software en SaaS
• continuïteitsscenario’s

3. Implementeer de minimale beveiligingsmaatregelen

De Nederlandse Cyberbeveiligingswet (implementatie van NIS2) benoemt tien zorgplichtmaatregelen. Het NCSC biedt hiervoor praktische handvatten.

4. Beoordeel leveranciers en softwarecontinuïteit

Binnen NIS2 wordt expliciet gekeken naar afhankelijkheid van leveranciers en kritieke software. Zorginstellingen moeten aantonen dat zij risico’s in hun IT-keten beheersen.

Digitale escrow ondersteunt dit direct. Door escrow op te nemen in contracten met softwareleveranciers, borg je toegang tot essentiële zorgsystemen wanneer een leverancier failliet gaat, wordt overgenomen of niet meer kan leveren. Daarmee draagt escrow aantoonbaar bij aan NIS2-compliance, business continuity en patiëntveiligheid.

5. Investeer in bewustwording

Cybersecurity vraagt om betrokkenheid van de hele organisatie. Structurele training en awareness zijn essentieel.

Wanneer moet je NIS2 op orde hebben?

De Europese NIS2-richtlijn is al van kracht. De Nederlandse Cyberbeveiligingswet wordt verwacht in Q2 2026. Wachten is geen optie: toezichthouders zullen vanaf implementatie actief handhaven. Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde omzet.

NIS2 en NEN 7510: hoe verhouden ze zich?

Veel zorginstellingen werken al met NEN 7510 of ISO 27001. Dat is een goede basis, maar NIS2 gaat verder op het gebied van:

• bestuurlijke aansprakelijkheid
• ketenbeveiliging
• meldplicht
• toezicht en handhaving

Zie NIS2 als een versterking van bestaande normen, niet als vervanging.

Conclusie: NIS2 en digitale continuïteit in de zorg

NIS2 draait niet alleen om wetgeving, maar om patiëntveiligheid en continuïteit van zorg. Digitale uitval kan directe gevolgen hebben voor levensreddende processen. Door nu te investeren in cybersecurity, ketenbeheersing en softwarecontinuïteit, bescherm je patiënten, medewerkers én je organisatie.

De belangrijkste punten nog eens op een rij:

• NIS2 geldt voor het merendeel van de Nederlandse zorginstellingen
• Bestuurders zijn direct verantwoordelijk voor cybersecurity
• Zorginstellingen moeten incidenten melden bij Z-CERT
• Leveranciers en softwarecontinuïteit vallen onder de zorgplicht
• Digitale escrow helpt bij ketenbeveiliging en continuïteit
• Tijdig starten voorkomt boetes en verstoring van zorg

Wil je weten hoe escrow-oplossingen kunnen bijdragen aan NIS2-compliance en risicobeheersing in de zorg? Neem vrijblijvend contact op met Escrow4all of lees verder over digitale escrow voor zorginstellingen.