NIS2 dwingt zorginstellingen om hun digitale weerbaarheid te versterken. Dit is overigens niet gek als je bedenkt dat de zorgsector de meest gehackte sector van Nederland is. Daarbij komt dat de gevolgen van een cyberincident groot kunnen zijn en er zelfs toe kunnen leiden dat primaire zorgprocessen worden verstoord.

Verantwoordelijkheid van bestuurders

De NIS2-richtlijn legt echter niet alleen verplichtingen op aan organisaties, maar legt ook een duidelijke verantwoordelijkheid (en mogelijke aansprakelijkheid) bij de bestuurders van deze entiteiten. Het is de verantwoordelijkheid van bestuurders om ervoor te zorgen dat de organisatie voldoet aan de vereisten van de NIS2-richtlijn en dat passende maatregelen worden genomen om de digitale weerbaarheid te versterken.

Voor zorginstellingen die al voldoen aan de NEN7510, de norm voor informatiebeveiliging in de zorg, is het van belang om te evalueren of aanvullende actie nodig is naar aanleiding van de NIS2-richtlijn. Hoewel de NEN7510 al veel aspecten van informatiebeveiliging dekt, vereist de NIS2-richtlijn aanvullende maatregelen.

Digitaal beveiliging waarborgen

Het niet naleven van de NIS2-richtlijn kan ernstige gevolgen hebben, waaronder boetes die kunnen oplopen tot 10 miljoen euro of 2 procent van de totale wereldwijde jaaromzet van de organisatie. Daarom is het van cruciaal belang dat bestuurders van zorginstellingen proactief handelen. Ervoor zorgen dat de organisatie compliant is met de NIS2-richtlijn en dat de nodige investeringen worden gedaan om de digitale beveiliging te waarborgen, is tevens een verantwoordelijkheid van de bestuurders. Dit vereist een nauwe samenwerking tussen bestuurders, IT-afdelingen en juridische adviseurs. Bovendien is in de NIS2 – mijns inziens terecht – een verplichte opleiding voor bestuurders opgenomen om voldoende kennis en vaardigheden te verwerven om deze verantwoordelijkheden te kunnen nemen. Bestuurders, opgelet dus!

Door Natascha van Duuren, partner De Clerq advocaten