Skip to Content
NEN 7510NIS2 en Cyberbeveiligingswet

NEN 7510, NIS2 en de Cyberbeveiligingswet

Er komt nieuwe wetgeving aan. De Europese NIS2-richtlijn  wordt vertaald naar de Nederlandse Cyberbeveiligingswet. Het NCSC  biedt actuele informatie. Voor zorgorganisaties die al worstelen met NEN 7510  voelt dit als nog een bord op het bordje. Maar de overlap is groot, en NEN 7510:2024 is speciaal hierop aangepast.

Wat is NIS2?

NIS2 is een Europese richtlijn voor cybersecurity. De afkorting staat voor Network and Information Security Directive, versie 2. Het is de opvolger van de eerste NIS-richtlijn uit 2016.

De richtlijn stelt eisen aan de cyberbeveiliging van organisaties die essentieel zijn voor de samenleving. En de zorg is een van die essentiële sectoren. Ziekenhuizen, laboratoria, producenten van medische hulpmiddelen: ze vallen allemaal onder NIS2.

De richtlijn verplicht deze organisaties om cybersecuritymaatregelen te nemen, incidenten te melden en verantwoording af te leggen. Het doel is de digitale weerbaarheid van Europa te versterken.

De Cyberbeveiligingswet

Europese richtlijnen moeten worden omgezet in nationale wetgeving. In Nederland gebeurt dat via de Cyberbeveiligingswet (Cbw). Deze wet is in voorbereiding en wordt naar verwachting in 2025 of 2026 van kracht.

De Cyberbeveiligingswet vertaalt de NIS2-eisen naar Nederlandse context. Voor de zorg betekent dit dat de verplichtingen concreet worden: welke organisaties vallen eronder, welke maatregelen zijn vereist, hoe werkt de meldplicht.

De timing is nog onzeker. Het wetsvoorstel is eind 2024 naar de Raad van State gestuurd. Verwacht wordt dat de wet in 2025 door de Tweede Kamer gaat en eind 2025 of begin 2026 in werking treedt.

Wie valt eronder in de zorg?

NIS2 maakt onderscheid tussen “essentiële” en “belangrijke” entiteiten. Voor de zorg zijn dit onder andere zorgaanbieders die kritieke diensten leveren (denk aan ziekenhuizen, acute zorg), EU-referentielaboratoria, producenten van kritieke medische hulpmiddelen.

Maar ook kleinere zorgorganisaties kunnen eronder vallen als ze deel uitmaken van de keten van een grotere instelling. De precieze afbakening wordt in de Cyberbeveiligingswet vastgelegd.

De meeste huisartsenpraktijken en kleine zorginstellingen vallen niet rechtstreeks onder NIS2. Maar hun leveranciers en samenwerkingspartners mogelijk wel, wat indirect gevolgen heeft.

NEN 7510 en NIS2: wat is de overlap?

Het goede nieuws: als je NEN 7510 op orde hebt, ben je al een heel eind richting NIS2-compliance.

De herziene NEN 7510:2024 bevat een expliciete mapping naar NIS2. Per onderdeel van de richtlijn kun je zien welke NEN 7510-maatregelen eraan bijdragen. Deze mapping is opgenomen in de norm om het leven van zorgorganisaties makkelijker te maken.

De overlap is substantieel. Beide gaan over het beheersen van cybersecurityrisico’s, het implementeren van maatregelen, het monitoren en verbeteren, het afhandelen van incidenten.

Maar er zijn ook verschillen. NIS2 voegt zaken toe die niet of minder expliciet in NEN 7510 staan.

Wat voegt NIS2 toe?

Meldplicht voor incidenten. Onder NIS2 moet je significante incidenten melden bij de toezichthouder. Dit gaat verder dan de bestaande meldplicht voor datalekken onder de AVG. Ook incidenten die geen datalek zijn maar wel de dienstverlening verstoren, moeten worden gemeld. De termijnen zijn strak: binnen 24 uur een eerste melding.

Toezicht op de toeleveringsketen. NIS2 vraagt expliciet om de cybersecurity van je leveranciers te beheersen. Je kunt je eigen beveiliging niet los zien van de partijen waarvan je afhankelijk bent. Dit vraagt om leveranciersbeoordelingen, contractuele afspraken en monitoring.

Bestuurlijke verantwoordelijkheid. De directie is expliciet verantwoordelijk voor cybersecurity. Bestuurders kunnen persoonlijk worden aangesproken als de organisatie niet aan de verplichtingen voldoet. Dit verhoogt de druk om cybersecurity serieus te nemen.

Sancties. NIS2 introduceert serieuze boetes voor organisaties die niet voldoen. De maximale boetes zijn gekoppeld aan omzet, vergelijkbaar met de AVG.

Wat betekent dit praktisch?

Als je een zorgorganisatie bent die onder NIS2 gaat vallen, is dit de aanpak.

Zorg dat NEN 7510 op orde is. Dit is de basis. De norm dekt het grootste deel van de NIS2-eisen. Als je nog niet NEN 7510-compliant bent, begin daar.

Update naar NEN 7510:2024. De nieuwe versie is afgestemd op NIS2. Als je nog op een oudere versie zit, plan de transitie. Gecertificeerde organisaties hebben tot februari 2027, maar begin eerder.

Kijk naar wat NEN 7510 niet dekt. De meldplicht en de ketenbeveiligingseisen zijn de belangrijkste aanvullingen. Richt een proces in voor incidentmelding. Beoordeel je kritieke leveranciers op cybersecurity.

Betrek de directie. De bestuurlijke verantwoordelijkheid vraagt om betrokkenheid van de top. Zorg dat de directie begrijpt wat de verplichtingen zijn en wat er op het spel staat.

De tijdlijn

De komende jaren wordt dit concreter. Dit is de verwachte tijdlijn.

2024: NEN 7510:2024 gepubliceerd met NIS2-mapping.

2025: Cyberbeveiligingswet door de Tweede Kamer (verwacht).

2025-2026: Cyberbeveiligingswet treedt in werking.

2027: Transitieperiode NEN 7510:2024 afgelopen.

De exacte data zijn afhankelijk van het politieke proces. Maar de richting is duidelijk: meer verplichtingen, strenger toezicht, hogere sancties.

Wacht niet af

Het is verleidelijk om te wachten tot de wetgeving definitief is. Maar dat is niet verstandig.

De kern van de verplichtingen is al duidelijk. NIS2 is gepubliceerd, de Cyberbeveiligingswet volgt de richtlijn. Je weet wat er gaat komen.

NEN 7510 implementeren kost tijd. Als je nu begint, ben je klaar als de wet van kracht wordt. Als je wacht, moet je haasten en loop je risico.

Leveranciers en partners gaan ook eisen stellen. Grote zorginstellingen die onder NIS2 vallen, moeten hun keten beveiligen. Dat betekent dat ze eisen gaan stellen aan jou. Het certificaat wordt een voorwaarde voor samenwerking.

Z-CERT en ondersteuning

Je staat er niet alleen voor. Z-CERT  is het Computer Emergency Response Team voor de zorgsector. Ze bieden ondersteuning bij incidenten, delen dreigingsinformatie en helpen bij preventie.

Aansluiting bij Z-CERT is nu nog vrijwillig. Onder de Cyberbeveiligingswet kan dit voor bepaalde organisaties verplicht worden. Maar ook zonder verplichting is het verstandig. Je krijgt toegang tot expertise en waarschuwingen die je alleen niet zou hebben.

De positie van NEN 7510

NEN 7510 is geen concurrent van NIS2. Het is een instrument om eraan te voldoen.

De toezichthouder zal kijken of je de vereiste maatregelen hebt genomen. NEN 7510-certificering is een sterke manier om dat aan te tonen. Het laat zien dat je informatiebeveiliging systematisch hebt aangepakt en onafhankelijk bent getoetst.

Maar voldoen aan NEN 7510 alleen is niet genoeg voor volledige NIS2-compliance. Je hebt ook de meldingsprocessen, de leverancierseisen en de bestuurlijke betrokkenheid nodig. Zie NEN 7510 als de kern, waaromheen je de aanvullende NIS2-verplichtingen bouwt.

Meer lezen

NEN 7510 vs ISO 27001Veelgestelde vragen