Cyberaanvallen zijn tegenwoordig een van de grootste bedreigingen voor organisaties. Ook ziekenhuizen zijn steeds vaker targets voor ransomware. Om alle cruciale organisaties te helpen om zich hier beter tegen te beschermen, zijn door de Europese Unie maatregelen in het leven geroepen, de zogenoemde Network & Information Systems (NIS2) richtlijnen. NIS2 valt onder een breder pakket van maatregelen vanuit de Europese Unie om een veilige digitale ruimte te realiseren, vertrouwelijke informatie en bedrijfskritische processen beter te beschermen. Dit wordt ook wel de EU Digital Package genoemd. Hieronder vallen bijvoorbeeld de Cyber Resilience Act, de Data Governance Act, de Digital Services Act (DSA), de Digital Marketing Act (DMA) en DORA (Digital Operational Resilience Act). Veel van deze maatregelen worden vanaf 2024 actief. Orin Pieterson, manager bij EY (Ernst & Young), adviseert om bij de invoering van NIS2 niet alleen naar de regels te kijken, maar vooral naar de bedoeling van de wet. Wat is de bedoeling van de Europese Unie bij deze wetgeving en welke instrumenten zet zij in om die doelen te bereiken? Dat en meer bespreekt hij tijdens het Cybervault event (een veiligere zorg met de Cybervault) van Dell en Infinity IT op 11 oktober aanstaande. Orin geeft graag zijn visie op de samenhang van de verschillende wetgevingen en richtlijnen zodat jij als bestuurder beter voorbereid bent op deze nieuwe set aan verplichtingen. Tijd voor een voorbereidend gesprek op dit event. Ben jij al klaar voor NIS2?

Een concreet plan maken als de wetgeving nog vaag omschreven is, het kan

“Op dit moment is men nog bezig om de Europese richtlijnen van NIS2 om te zetten naar Nederlandse wetgeving omdat het een richtlijn betreft. Een hoop organisaties vinden het dan ook lastig om in kaart te brengen welke stappen zij moeten ondernemen om in oktober 2024 compliant te zijn. Het is allemaal namelijk best wel breed geformuleerd. Om toch een accuraat beeld te schetsen van het werk dat gedaan moet worden om compliant te zijn, houden wij bij EY de huidige industriestandaarden aan. Dan kan je bijvoorbeeld denken aan NEN7510 (Norm voor informatiebeveiliging in de zorg), de ISO-standaarden (International Standardization Organization), COBIT (Control Objectives for Information and Related Technologies) en ISF (Information Security Forum). Die bieden allemaal goede handvatten en concrete controls die helpen om je informatiebeveiliging goed op orde te hebben. De kern van NIS2 wordt gevangen in artikel 17 tot en met 34. Als je weet of je onder de essentiële of belangrijke sector valt dan helpen deze artikelen je verder. Deze sectoren zijn onder NIS2 fors uitgebreid, waardoor een hoop organisaties die je daar wellicht niet onder zou verwachten nu wel worden aangemerkt als belangrijk of essentieel.”

De kwetsbaarheid van de gehele supplychain beperken

“Een van de zaken waar NIS2 echt naar kijkt is de afhankelijkheid en kwetsbaarheid van de supply chain. Voor ziekenhuizen en zorginstellingen is dat natuurlijk evident. Zij hebben een hele belangrijke maatschappelijke functie en wanneer zij door een cyberaanval op één van de leveranciers hun dienstverlening niet meer kunnen garanderen, dan kan dit grote gevolgen hebben voor de maatschappij. De nieuwe richtlijnen dringen erop aan om de kwetsbaarheden van je eigen omgeving in kaart te brengen en om kritisch te kijken naar de impact van je leveranciers (waaronder systemen en applicaties) op jouw bedrijfprocessen.”

Eerste stap naar compliance: maak een inventarisatie en prioriteer

“Wij bieden een NIS2-assement aan wat ongeveer 200 controls bevat. Dat is echt een enorme kluif. Daarom adviseer ik om niet blindelings te gaan implementeren, maar om vooral te prioriteren. Inventariseer welke applicaties en systemen je allemaal in jouw omgeving hebt, welke maatregelen je op dit moment al hebt ingeregeld, en maak daarna een strategisch plan wat je wanneer oppakt. Heb je bijvoorbeeld goed zicht op wat er binnen je omgeving gebeurt? Monitor je de juiste zaken om  technische kwetsbaarheden te signaleren en op tijd in te grijpen? Welke applicaties in jouw omgeving zijn cruciaal voor jouw dienstverlening? Als een van jouw systemen of applicaties uitvalt, welke impact heeft dat dan op jouw processen? Bekijk of je daarbij zaken stand alone op kunt pakken of dat je ze juist gezamenlijk op moet pakken in verband met de samenhang/afhankelijkheden? En stel een applicatie ligt eruit, hoeveel dataverlies is dan acceptabel als je bijvoorbeeld een back-up terug moet zetten om processen te hervatten na een incident? Hoeveel tijd dat is mag je zelf beoordelen en bepalen na een risicoanalyse. Kortom; begin met de business continuity eisen en maak vanuit daar een plan wat je wanneer op gaat pakken. Houd je plan realistisch en wees vooral kritisch.”

Gebruik certificeringen en beveiligingsrapportages die je al hebt en volg een security training

“Zorginstellingen zijn reeds gewend aan wet- en regelgeving op het gebied van cybersecurity. Daarom zal er wellicht ook al data uit audits (NEN7510, ISO27001) of rapportages (ISAE) beschikbaar zijn. Bespaar tijd en kijk naar het beleid en de maatregelen die je al hebt. Wellicht kan je die ook voor NIS2 gebruiken of met een kleine aanpassing toepassen. Dat is alvast een begin. Heb je als bestuurder nog niet veel kennis van security dan zou ik adviseren om een NIS2 boardroom training te volgen. Bestuurders worden onder NIS2 verwacht op de hoogte te zijn van maatregelen en implementaties van de richtlijnen. Je hoeft echt geen technisch expert te worden, maar het is wel fijn als je de kennis hebt om de juiste vragen te stellen. De digitale infrastructuur is zo enorm verbonden aan de dienstverlening, dat je verdiepen in cybersecurity echt geen overbodige luxe is.”

Denk niet dat de verzekering wel dekt

“In de risico-inventarisatie is het natuurlijk ook mogelijk om een deel van het risico te accepteren of te verleggen. Bijvoorbeeld door een verzekering af te sluiten. Kijk dan wel goed naar de kleine lettertjes. Verzekeraars bieden minder hoge dekkingen en sluiten de schade van cyberaanvallen vaak deels of geheel uit.  Dat komt door het gestegen risicoprofiel en de grote mate van digitalisering. Je kunt natuurlijk een verzekering afsluiten, maar het gros van je risico’s zal je moeten verminderen door maatregelen te implementeren. Testen kan daar ook een goede stap in zijn: wat gebeurt er in je organisatie in het geval van een cyberaanval, hoe is het menselijk handelen en krijg je systemen weer werkend om jouw bedrijf kritische processen weer op te pakken.”

Orin Pieterson
Manager bij EY

Wil je meer weten over NIS2 en wat dit specifiek voor zorginstellingen betekent? Ben je benieuwd wat jouw IT omgeving voor je kan doen om security te monitoren, data veilig te stellen en in geval van een aanval kunt herstellen? Ontdek hoe Dell en Infinity een veiligere zorg bieden op het Cybervault event op 11oktober aanstaande in Oudewater.