De aangenomen Cyberbeveiligingswet legt organisaties binnen en buiten de zorg allerlei extra verplichtingen op die raken aan de digitale beveiliging. Zo moeten ze zich aanmelden bij het Nationaal Cyber Security Centrum, aan bepaalde beveiligingsnormen voldoen en cyberincidenten melden. De wet is de Nederlandse implementatie van de Europese NIS2-richtlijn. Het is aan organisaties zelf om te beoordelen of ze onder de nieuwe wetgeving vallen. Dat is het geval als ze meer dan vijftig medewerkers hebben en een omzet van 10 miljoen euro of meer. De bestuurders zijn verantwoordelijk, zij moeten de maatregelen goedkeuren en toezien op de uitvoering. Bij (grove) nalatigheid kunnen ze persoonlijk aansprakelijk gesteld worden.
Kritieke entiteiten
De wet Weerbaarheid kritieke entiteiten geldt voor een beperkt aantal organisaties met een essentiële rol binnen de zorgsector. Zij moeten zich niet alleen beter beschermen tegen digitale bedreigingen maar ook tegen fysieke aanvallen, zoals sabotage of natuurrampen. De overheid bepaalt wie dat zijn, naar verwachting doet de minister van VWS dat in de loopt van dit jaar voor de zorgsector.
Sectorale wetgeving
Nu de wetsvoorstellen door de Tweede Kamer zijn, kan de Eerste Kamer zich erover buigen. Tegelijkertijd werkt het ministerie van VWS aan sectorale regelgeving, met een specifieke uitwerking van de wetgeving voor de zorgsector. De verwachting is dat de nieuwe wetten en regels halverwege dit jaar van kracht zijn. De oorspronkelijke Europese deadline voor de wetgeving was oktober 2024.
Cybersecurity in de zorg staat momenteel in de belangstelling door de recente hack bij epd-leverancier ChipSoft, lees hier ons dossier hierover.
