Het ecosysteem van de ITQ-werkplek: NIS2, een nieuwe richtlijn op Europees niveau. Dat de gezondheidszorg een vitale sector is, weet iedereen. Maar dit is nu ook officieel zo benoemd door het Europese Parlement. Tot voor kort golden alleen de sectoren energie en transport officieel als vitaal. Nu komt daar onder meer de zorg bij.

“Displace one note and there would be diminishment. Displace one phrase, and the structure would fall.” 

Uit de film Amadeus (1984)

Nu gezondheidszorg – samen met sectoren als voedselvoorziening, financiële marktinfrastructuur, drinkwater en digitale infrastructuur – ook geldt als vitaal voor de samenleving, zal risicomanagement aan bepaalde richtlijnen moeten voldoen. De NIS2-richtlijn vormt Europa-breed de basis voor het beheer van cyberbeveiligingsrisico’s en rapportageverplichtingen. Het vervangt de oude NIS-richtlijn over beveiliging van netwerk- en informatiesystemen. We hebben voor de zorg natuurlijk al kwaliteitsnormen als ISO 27001 en onze eigen NEN7510 voor informatiebeveiliging. Maar met NIS2 worden de rechten en plichten en de handhaving daarvan flink uitgebreid en aangescherpt. De richtlijn versterkt het fundament van fysieke en digitale veiligheid. Naar verwachting zal handhaving van NIS2 in 2023 van kracht worden en wordt de richtlijn medio 2024 in nationale wetgeving verwerkt.

NIS2
Om Europa beter te beschermen tegen cyberaanvallen komt er een nieuwe Europese cybersecuritywet: de NIS2. NIS staat voor netwerk- en informatiesystemen. Vergeleken met NIS1 verhoogt NIS2 de cybersecurity-eisen in Europa én het geldt voor meer zogeheten vitale sectoren. Ook nieuw is het uitdelen van boetes wanneer bestuurders aantoonbaar nalatig zijn ondanks herhaaldelijke waarschuwingen. Dit betekent dat voor het eerst niet de IT-beheerder maar de bestuurder verantwoordelijk is voor cybersecurity. Essentiële organisaties moeten gecertificeerd zijn en zullen vaker bezoek krijgen van een toezichthouder. Ook komen er nieuwe rapportageverplichtingen bij.

NIS2 is het Europese antwoord op de toenemende cybercriminaliteit. Het aantal meldingen van cybercrime was in 2021 verdrievoudigd vergeleken met 2019.

Noodsituatie
Alle leveranciers binnen de vitale sector zorg moeten ook aan NIS2 voldoen. De verantwoordelijkheid of verwijtbaarheid hiervoor ligt bij de zorginstelling. Met andere woorden, het ziekenhuis of de care-instelling is straks verplicht om te toetsen of het risico- en incidentmanagement van hun leveranciers voldoet aan de strenge Europese eisen. Dit is nu precies een van de zorgen die ITQ grotendeels kan wegnemen. Dankzij een actieve participatie in het hele ecosysteem, heeft ITQ een helder beeld van de gehele keten achter de applicaties op het end-point (desktop, laptop, COW) en van de cloud en mobiel werken (tablet, smartphone). Hierdoor kan ITQ veel van de NIS2-verantwoordelijkheden overnemen van de zorginstelling. Daarnaast creëren deze korte lijnen een kennisvoorsprong en snelheid bij het adresseren van problemen. Tijdens een noodsituatie is niets zo frustrerend als een onbereikbare of onbekwame leverancier. Wanneer een ziekenhuis bericht krijgt dat een cybercrimineel al een half jaar toegang heeft tot hun EPD en ieder moment malware kan activeren die bijvoorbeeld de bloedgroep van patiënten willekeurig kan veranderen, is directe en doelgerichte actie vereist. Je wilt dan echt geen kostbare tijd verliezen met het zoeken naar welke afspraken er ook alweer gemaakt zijn met welke leverancier.

Twee voor twaalf
Goede zorg is vitaal voor onze maatschappij. In het verlengde daarvan is ICT vitaal voor de zorginstelling. Velen zien het wellicht als een noodzakelijk kwaad, maar zonder digitale ondersteuning valt de zorg stil. En als de informatieveiligheid niet op orde is, loopt de continuïteit van ICT en daarmee de zorg groot gevaar. Het moet nu echt tot ons allemaal doordringen dat cybersecurity niet een luxe is maar een vereiste. Je kan dit er niet even naast doen. Informatieveiligheid moet in ieders gedachten zitten. Tegelijkertijd moeten we ons beseffen dat de besluitvorming omtrent risicomanagement niet thuishoort op operationeel, maar op strategisch niveau. Europa heeft NIS2 ontwikkeld om een einde te maken aan de fragmentatie qua normering en regelgeving in de verschillende lidstaten. En bovendien is de boodschap van de richtlijn voor alle vitale sectoren helder: ‘U zult uw cyberbeveiliging op orde hebben’. Vergeleken met de GDPR/AVG zal de handhaving van NIS2 op termijn krachtiger zijn. In zekere zin geeft de EU met NIS2 de boodschap af dat het twee voor twaalf is. Ondanks de slinkende budgetten en personeelsschaarste moet cybersecurity in de zorg naar het volgende niveau worden getild. Want uiteindelijk gaat het over de vraag of een ziekenhuis open kan of niet.

Vorm vanuit visie
De grote vraag is natuurlijk: hoe komt een zorginstelling van de huidige situatie naar een volwaardig ISMS (information security management system), zoals de NIS2 vereist? Risicomanagement gaat eigenlijk niet over techniek, maar over het inrichten van de processen, procedures en het beleid. Hieruit volgt dat besluitvorming op strategisch niveau plaats moet vinden. Zorginstellingen moeten loskomen van de manier van denken dat risicobeoordeling en -behandeling bestaat uit een verzameling losse tools of certificaten die ad-hoc worden aangeschaft en ingezet. (Zie het eerste deel uit deze serie: ‘Veiligheid haal je niet uit een verzameling tools’.) Bovendien moet het niet langer als ‘normaal’ worden ervaren dat bij de verplaatsing van een patiënt diens dossier op de nieuwe locatie handmatig moet worden overgetikt in het systeem.

ITQ bouwt de werkplek, waarmee informatie en applicaties voor de zorgwerker op een veilige manier worden ontsloten. Dit platform is een ecosysteem met een hoge securitystandaard. Ziekenhuizen en care-instellingen die al bekend zijn met de werkplek ervaren het ISMS-denken zo uit de eerste hand. Het ISMS-denken? Informatieveiligheid krijgt pas werkelijk vorm vanuit een visie op ‘the bigger picture’. En dat grotere geheel bestaat uit beschikbaarheid, integriteit en vertrouwelijkheid (BIV).

Continu verbeteren
Een goed ISMS is ingericht op basis van de context van de hele organisatie. Wie ben ik? Wat ben ik? Wat is er op mij van toepassing? Aan welke wetten en normeringen moet ik voldoen? Hieruit volgen combinaties van beleidsmatige, organisatorische en technische maatregelen, die het welbekende proces van plan-do-check-act volgen. Er is dus sprake van een continue risicoafweging, evaluatie en verbetering. Het herkennen van risico’s (plan), het beoordelen van processen en technologie (plan), het behandelen en beheersen van risico’s (do), het herstellen van schade (do), afhandelen van incidenten, problemen en wijzigingen (do), het evalueren van prestaties (check/act), het beoordelen van correcties en het plannen van verbeteringen (check/act).

Als iemand een ongelukkige val heeft gemaakt met de fiets, moet het ziekenhuis waar hij terechtkomt weten wie hij is en welke bloedgroep of allergieën hij heeft. In zo’n situatie hebben beschikbaarheid en integriteit van informatie een hogere prioriteit dan vertrouwelijkheid. In dat opzicht kunnen de B, de I en de V per casus stuivertje wisselen. Ook dit is een continue afweging van risico’s.

Next level
ITQ ontwikkelt en verfijnt haar platform volgens het plan-do-check-act-proces. Mede doordat CAM privacy-by-design en security-by-design reeds jaren geleden heeft omarmd, is veel van de NIS2-richtlijn al ondervangen in de ITQ-werkplek. Om die reden is het vaak verspilling van energie en resources als zorginstellingen voor de informatiebeveiliging hun heil zoeken bij nieuwe partijen. Niet alleen bieden wij een dienstverlening met hoog securitygehalte. De visie van ITQ – ‘Zorg bezig met zorg’ – in combinatie met de jarenlange ervaring en de stok achter de deur van NIS2 kunnen de informatiebeveiliging van ziekenhuizen en care-instellingen daadwerkelijk naar het next level brengen. 

Robert de Nijs Technical Consultant

Neem contact met ons op!

Kennis is de sleutel voor ons bestaan. Deze kennis zetten we in voor disruptieve innovatie en om organisaties te veranderen. Ben jij klaar voor verandering?

"*" geeft vereiste velden aan

Je voornaam*
Je achternaam*
Hidden