sluiten
Inloggen op je TOPdesk account
login
Dienstverlening
CAMCUBE-Workspace
CAMCUBE-Datacenter
Security
Applicatiemanagement
Advies
Support
IT vraagstukken in de zorg
Regie
Veiligheid
Applicatiemanagement
Medewerkers
Inzichten
Blog
Whitepapers
CAM in de praktijk
Zo werkt de zorg
Klantcases
Over CAM
Visie van CAM
Carrière
Partners
MVO
Team
Vrienden van CAM
Contact
Contact
Word jij collega van dit geweldige team?
Bekijk snel onze vacatures en solliciteer!
bekijk alle vacatures
Volg ons
LinkedIn
menu
Inloggen op je TOPdesk account
login
Inzichten
Blog
ISO27001/NEN7510/NIS2 …. What’s next?
terug naar overzicht
Security
10
November
2022

ISO27001/NEN7510/NIS2 …. What’s next?

Deel 2 van het ecosysteem van de CAMCUBE: NIS2, een nieuwe richtlijn op Europees niveau. Dat de gezondheidszorg een vitale sector is, weet iedereen. Maar dit is nu ook officieel zo benoemd door het Europese Parlement. Tot voor kort golden alleen de sectoren energie en transport officieel als vitaal. Nu komt daar onder meer de zorg bij.

Dit is het tweede deel van een serie van drie artikelen over het belang van een ecosysteem voor de informatieveiligheid binnen de zorg.

door: Yuri Haak en Robert de Nijs

Uit de film Amadeus (1984)“Displace one note and there would be diminishment. Displace one phrase, and the structure would fall.”

Nu gezondheidszorg – samen met sectoren als voedselvoorziening, financiële marktinfrastructuur, drinkwater en digitale infrastructuur – ook geldt als vitaal voor de samenleving, zal risicomanagement aan bepaalde richtlijnen moeten voldoen. De NIS2-richtlijn vormt Europa-breed de basis voor het beheer van cyberbeveiligingsrisico’s en rapportageverplichtingen. Het vervangt de oude NIS-richtlijn over beveiliging van netwerk- en informatiesystemen. We hebben voor de zorg natuurlijk al kwaliteitsnormen als ISO 27001 en onze eigen NEN7510 voor informatiebeveiliging. Maar met NIS2 worden de rechten en plichten en de handhaving daarvan flink uitgebreid en aangescherpt. De richtlijn versterkt het fundament van fysieke en digitale veiligheid. Naar verwachting zal handhaving van NIS2 in 2023 van kracht worden en wordt de richtlijn medio 2024 in nationale wetgeving verwerkt.

NIS2

Om Europa beter te beschermen tegen cyberaanvallen komt er een nieuwe Europese cybersecuritywet: de NIS2. NIS staat voor netwerk- en informatiesystemen. Vergeleken met NIS1 verhoogt NIS2 de cybersecurity-eisen in Europa én het geldt voor meer zogeheten vitale sectoren. Ook nieuw is het uitdelen van boetes wanneer bestuurders aantoonbaar nalatig zijn ondanks herhaaldelijke waarschuwingen. Dit betekent dat voor het eerst niet de IT-beheerder maar de bestuurder verantwoordelijk is voor cybersecurity. Essentiële organisaties moeten gecertificeerd zijn en zullen vaker bezoek krijgen van een toezichthouder. Ook komen er nieuwe rapportageverplichtingen bij.

NIS2 is het Europese antwoord op de toenemende cybercriminaliteit. Het aantal meldingen van cybercrime was in 2021 verdrievoudigd vergeleken met 2019.

Noodsituatie

Alle leveranciers binnen de vitale sector zorg moeten ook aan NIS2 voldoen. De verantwoordelijkheid of verwijtbaarheid hiervoor ligt bij de zorginstelling. Met andere woorden, het ziekenhuis of de care-instelling is straks verplicht om te toetsen of het risico- en incidentmanagement van hun leveranciers voldoet aan de strenge Europese eisen. Dit is nu precies een van de zorgen die CAM grotendeels kan wegnemen. In een recente whitepaper vertelt CAM over de korte communicatielijnen die worden onderhouden met veel leveranciers van applicaties, al dan niet bedrijfskritisch. Dankzij een actieve participatie in het hele ecosysteem, heeft CAM een helder beeld van de gehele keten achter de applicaties op het end-point (desktop, laptop, COW) en van de cloud en mobiel werken (tablet, smartphone). Hierdoor kan CAM veel van de NIS2-verantwoordelijkheden overnemen van de zorginstelling. Daarnaast creëren deze korte lijnen een kennisvoorsprong en snelheid bij het adresseren van problemen. Tijdens een noodsituatie is niets zo frustrerend als een onbereikbare of onbekwame leverancier. Wanneer een ziekenhuis bericht krijgt dat een cybercrimineel al een half jaar toegang heeft tot hun EPD en ieder moment malware kan activeren die bijvoorbeeld de bloedgroep van patiënten willekeurig kan veranderen, is directe en doelgerichte actie vereist. Je wilt dan echt geen kostbare tijd verliezen met het zoeken naar welke afspraken er ook alweer gemaakt zijn met welke leverancier.

Twee voor twaalf

Goede zorg is vitaal voor onze maatschappij. In het verlengde daarvan is ICT vitaal voor de zorginstelling. Velen zien het wellicht als een noodzakelijk kwaad, maar zonder digitale ondersteuning valt de zorg stil. En als de informatieveiligheid niet op orde is, loopt de continuïteit van ICT en daarmee de zorg groot gevaar. Het moet nu echt tot ons allemaal doordringen dat cybersecurity niet een luxe is maar een vereiste. Je kan dit er niet even naast doen. Informatieveiligheid moet in ieders gedachten zitten. Tegelijkertijd moeten we ons beseffen dat de besluitvorming omtrent risicomanagement niet thuishoort op operationeel, maar op strategisch niveau. Europa heeft NIS2 ontwikkeld om een einde te maken aan de fragmentatie qua normering en regelgeving in de verschillende lidstaten. En bovendien is de boodschap van de richtlijn voor alle vitale sectoren helder: ‘U zult uw cyberbeveiliging op orde hebben’. Vergeleken met de GDPR/AVG zal de handhaving van NIS2 op termijn krachtiger zijn. In zekere zin geeft de EU met NIS2 de boodschap af dat het twee voor twaalf is. Ondanks de slinkende budgetten en personeelsschaarste moet cybersecurity in de zorg naar het volgende niveau worden getild. Want uiteindelijk gaat het over de vraag of een ziekenhuis open kan of niet.

Vorm vanuit visie

De grote vraag is natuurlijk: hoe komt een zorginstelling van de huidige situatie naar een volwaardig ISMS (information security management system), zoals de NIS2 vereist? Risicomanagement gaat eigenlijk niet over techniek, maar over het inrichten van de processen, procedures en het beleid. Hieruit volgt dat besluitvorming op strategisch niveau plaats moet vinden. Zorginstellingen moeten loskomen van de manier van denken dat risicobeoordeling en -behandeling bestaat uit een verzameling losse tools of certificaten die ad-hoc worden aangeschaft en ingezet. (Zie het eerste deel uit deze serie: ‘Veiligheid haal je niet uit een verzameling tools’.) Bovendien moet het niet langer als ‘normaal’ worden ervaren dat bij de verplaatsing van een patiënt diens dossier op de nieuwe locatie handmatig moet worden overgetikt in het systeem.

CAM IT Solutions – onderdeel van KPN – bouwt de CAMCUBE, waarmee informatie en applicaties voor de zorgwerker op een veilige manier worden ontsloten. Dit platform is een ecosysteem met een hoge securitystandaard. Ziekenhuizen en care-instellingen die al bekend zijn met de CAMCUBE ervaren het ISMS-denken zo uit de eerste hand. Het ISMS-denken? Informatieveiligheid krijgt pas werkelijk vorm vanuit een visie op ‘the bigger picture’. En dat grotere geheel bestaat uit beschikbaarheid, integriteit en vertrouwelijkheid (BIV).

Continu verbeteren

Een goed ISMS is ingericht op basis van de context van de hele organisatie. Wie ben ik? Wat ben ik? Wat is er op mij van toepassing? Aan welke wetten en normeringen moet ik voldoen? Hieruit volgen combinaties van beleidsmatige, organisatorische en technische maatregelen, die het welbekende proces van plan-do-check-act volgen. Er is dus sprake van een continue risicoafweging, evaluatie en verbetering. Het herkennen van risico’s (plan), het beoordelen van processen en technologie (plan), het behandelen en beheersen van risico’s (do), het herstellen van schade (do), afhandelen van incidenten, problemen en wijzigingen (do), het evalueren van prestaties (check/act), het beoordelen van correcties en het plannen van verbeteringen (check/act).

Als iemand een ongelukkige val heeft gemaakt met de fiets, moet het ziekenhuis waar hij terechtkomt weten wie hij is en welke bloedgroep of allergieën hij heeft. In zo’n situatie hebben beschikbaarheid en integriteit van informatie een hogere prioriteit dan vertrouwelijkheid. In dat opzicht kunnen de B, de I en de V per casus stuivertje wisselen. Ook dit is een continue afweging van risico’s.

Next level

CAM ontwikkelt en verfijnt haar platform volgens het plan-do-check-act-proces. Mede doordat CAM privacy-by-design en security-by-design reeds jaren geleden heeft omarmd, is veel van de NIS2-richtlijn al ondervangen in de CAMCUBE. Om die reden is het vaak verspilling van energie en resources als zorginstellingen voor de informatiebeveiliging hun heil zoeken bij nieuwe partijen. Niet alleen biedt de dienstverlening van CAM een hoog securitygehalte. De visie van CAM – ‘Zorg bezig met zorg’ – in combinatie met de jarenlange ervaring en de stok achter de deur van NIS2 kunnen de informatiebeveiliging van ziekenhuizen en care-instellingen daadwerkelijk naar het next level brengen.

Lees ook de andere delen van deze serie

  • Deel 1: Veiligheid haal je niet uit een verzameling tools
  • Deel 3: Een ervaren gesprekspartner op strategisch niveau

Meer weten over ICT-security in jouw ziekenhuis?
Neem gerust contact met ons op.
+31 (0)6 45 51 52 65
n.molenbeek@cam.nl
Of stuur een algemeen bericht

Meest recente artikelen binnen dezelfde categorie

Security
Applicatiemanagement
Use Cases
CAM realiseert vergaande standaardisatie
lees verder
Security
CAMCUBE
Een ervaren gesprekspartner op strategisch niveau
lees verder
Security
ISO27001/NEN7510/NIS2 …. What’s next?
lees verder
Security
CAMCUBE
Het Ecosysteem van de CAMCUBE
lees verder
Laatste whitepaper
Windows 10 Enigma
bekijk alle whitepapers
Laatste blog
Uw Applicaties Optimaal Beheren: Onze Expertise, Uw Voordeel
bekijk alle blogs
Werken bij CAM 
Klaar voor de volgende stap in jouw carrière? Check alle vacatures
bekijk vacatures
Blijf op de hoogte
Schrijf je in voor de nieuwsbrief en mis niets!
inschrijven
Bezoekadres
Kromme Schaft 5
3991 AR Houten
Overige gegevens
Bank  NL73 RABO 0394 7312 20
KvK Utrecht  30174130
Privacy StatementKlachtenprocedure