Cyberaanvallen zijn tegenwoordig een van de grootste bedreigingen voor organisaties. Ook ziekenhuizen zijn steeds vaker targets voor ransomware. Om alle cruciale organisaties te helpen om zich hier beter tegen te beschermen, zijn door de Europese Unie maatregelen in het leven geroepen, de zogenoemde Network & Information Systems (NIS2) richtlijnen. NIS2 valt onder een breder pakket van maatregelen vanuit de Europese Unie om een veilige digitale ruimte te realiseren, vertrouwelijke informatie en bedrijfskritische processen beter te beschermen. Dit wordt ook wel de EU Digital Package genoemd. Hieronder vallen bijvoorbeeld de Cyber Resilience Act, de Data Governance Act, de Digital Services Act (DSA), de Digital Marketing Act (DMA) en DORA (Digital Operational Resilience Act). Veel van deze maatregelen worden vanaf 2024 actief. Orin Pieterson, manager bij EY (Ernst & Young), adviseert om bij de invoering van NIS2 niet alleen naar de regels te kijken, maar vooral naar de bedoeling van de wet. Wat is de bedoeling van de Europese Unie bij deze wetgeving en welke instrumenten zet zij in om die doelen te bereiken? Dat en meer bespreekt hij tijdens het Cybervault event (een veiligere zorg met de Cybervault) van Dell en Infinity IT op 11 oktober aanstaande. Orin geeft graag zijn visie op de samenhang van de verschillende wetgevingen en richtlijnen zodat jij als bestuurder beter voorbereid bent op deze nieuwe set aan verplichtingen. Tijd voor een voorbereidend gesprek op dit event. Ben jij al klaar voor NIS2?
Een concreet plan maken als de wetgeving nog vaag omschreven is, het kan
“Op dit moment is men nog bezig om de Europese richtlijnen van NIS2 om te zetten naar Nederlandse wetgeving omdat het een richtlijn betreft. Een hoop organisaties vinden het dan ook lastig om in kaart te brengen welke stappen zij moeten ondernemen om in oktober 2024 compliant te zijn. Het is allemaal namelijk best wel breed geformuleerd. Om toch een accuraat beeld te schetsen van het werk dat gedaan moet worden om compliant te zijn, houden wij bij EY de huidige industriestandaarden aan. Dan kan je bijvoorbeeld denken aan NEN7510 (Norm voor informatiebeveiliging in de zorg), de ISO-standaarden (International Standardization Organization), COBIT (Control Objectives for Information and Related Technologies) en ISF (Information Security Forum). Die bieden allemaal goede handvatten en concrete controls die helpen om je informatiebeveiliging goed op orde te hebben. De kern van NIS2 wordt gevangen in artikel 17 tot en met 34. Als je weet of je onder de essentiële of belangrijke sector valt dan helpen deze artikelen je verder. Deze sectoren zijn onder NIS2 fors uitgebreid, waardoor een hoop organisaties die je daar wellicht niet onder zou verwachten nu wel worden aangemerkt als belangrijk of essentieel.”
De kwetsbaarheid van de gehele supplychain beperken
“Een van de zaken waar NIS2 echt naar kijkt is de afhankelijkheid en kwetsbaarheid van de supply chain. Voor ziekenhuizen en zorginstellingen is dat natuurlijk evident. Zij hebben een hele belangrijke maatschappelijke functie en wanneer zij door een cyberaanval op één van de leveranciers hun dienstverlening niet meer kunnen garanderen, dan kan dit grote gevolgen hebben