NIS2 in de zorgsector

Wat is de NIS2-wet?

België heeft de Europese NIS2-richtlijn omgezet via de Wet van 26 april 2024 en het Koninklijk Besluit van 9 juni 2024. Samen vervangen ze de eerdere NIS1-wet uit 2019. Het Centrum voor Cybersecurity België (CCB) treedt op als nationale toezichthoudende autoriteit. 

De wet legt een uitgebreid cybersecuritykader op aan organisaties die diensten leveren die essentieel zijn voor het functioneren van kritieke maatschappelijke of economische activiteiten — waaronder ziekenhuizen en zorginstellingen. 

Val je als zorginstelling onder de NIS2-wet?

Je valt onder de NIS2-wet als je organisatie actief is in een sector die als essentieel of belangrijk wordt beschouwd, én als je de Europese omvangsdrempels overschrijdt: 

• minstens 50 voltijdse equivalenten (VTE), of 
• een jaarlijkse omzet of balanstotaal van meer dan €10 miljoen. 

Ziekenhuizen worden daarbij als essentiële entiteiten beschouwd. Dat betekent strenger, proactief toezicht. 

Waarom is dit zo urgent voor de zorgsector?

Het incident bij AZ Monica toonde scherp aan hoe kwetsbaar de sector is. Een enkele aanval zorgde ervoor dat: 

• het Elektronische Patiëntendossier drie weken ontoegankelijk was 
  
• slechts 30% van de geplande zorgverlening de dag na de aanval kon doorgaan 
  
• het MUG- en PIT-team moesten worden stilgelegd 
  
• de personeelsplanning en loonverwerking wekenlang ontregeld waren 
  
• ook vijf andere Belgische ziekenhuizen geraakt bleken via een gemeenschappelijke softwareleverancier 

En AZ Monica is geen alleenstaand geval. De Belgische zorgsector staat al jaren bovenaan de lijst van meest aangevallen sectoren. Die kwetsbaarheid heeft een logische verklaring: waardevolle patiëntgegevens, vaak complexe en verouderde IT-infrastructuren, en een sterke afhankelijkheid van externe leveranciers. 

Wat zijn je verplichtingen onder NIS2?

De wet legt vier grote verplichtingen op: 

1. Risicobeheersmaatregelen (zorgplicht)

Je moet aantoonbare technische en organisatorische maatregelen nemen. Denk aan beveiliging van netwerk- en informatiesystemen, incidentbeheer, toegangsbeheer, logging, business continuity en ketenbeveiliging (ook je leveranciers vallen hieronder). 

2. Meldplicht 

Bij een ernstig incident moet je binnen 24 uur een melding doen via de door het CCB aangeduide kanalen. 

3. Registratie en toezicht

Organisaties die onder de NIS2-wet vallen, moeten zich registreren via het Safeonweb@Work-portaal. Essentiële entiteiten (zoals ziekenhuizen) staan onder verscherpt, proactief toezicht. 

4. Governance en aansprakelijkheid 

Het management is persoonlijk aansprakelijk bij nalatigheid. Sancties kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet. Audit- en inspectiemechanismen worden structureel opgeschaald. 

Hoe kan BDO je ondersteunen? 

BDO biedt zorginstellingen integrale ondersteuning bij NIS2-compliance: 

• Juridische analyse van je NIS2-verplichtingen, governancemodellen en leverancierscontracten 
• Cybersecurity-assessments met risicoanalyses, maturityscans en technische/organisatorische audits 
• Beleidsopbouw rond incidentrespons, business continuity en ketenbeveiliging 
• CISO-as-a-Service: tijdelijke of structurele ondersteuning voor governance, rapportering en securityaansturing 
• Implementatie en certificatie: begeleiding bij ISO 27001 en de Belgische CyberFundamentals-vereisten 
• Hands-on begeleiding bij technische en organisatorische verbetertrajecten 

BDO zorgt voor een helder, uitvoerbaar stappenplan zodat je organisatie aantoonbaar voldoet aan de NIS2-wet en tegelijk haar digitale weerbaarheid structureel versterkt.