De Europese Unie heeft twee richtlijnen geïntroduceerd om de weerbaarheid van kritieke infrastructuren te verbeteren.
In Nederland worden deze richtlijnen omgezet in de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke).
- Network and Information Security 2 (NIS2) Richtlijn (Cyberbeveiligingswet)
Deze richtlijn richt zich op het vergroten van de digitale weerbaarheid van organisaties die essentiële of belangrijke diensten leveren, waaronder zorginstellingen.
- Critical Entities Resilience (CER) Richtlijn (Wet weerbaarheid kritieke entiteiten)
Deze richtlijn is gericht op het versterken van de fysieke weerbaarheid van kritieke entiteiten.
Wanneer geldt de Cyberbeveiligingswet voor apotheken?
Een apotheek moet voldoen aan de Cyberbeveiligingswet wanneer deze wordt aangemerkt als een middelgrote of grote onderneming, volgens de Europese KMO-definitie:
- Meer dan 50 medewerkers, én/of
- Meer dan 10 miljoen euro jaaromzet of balanstotaal.
Indien aan (één van) deze criteria wordt voldaan, wordt de apotheek aangemerkt als een belangrijke entiteit in de zorgsector en moet de apotheek zich houden aan de verplichtingen uit de Cyberbeveiligingswet (Cbw).
Verplichtingen voor apotheken die onder de Cyberbeveiligingswet vallen
Apotheken die onder de Cyberbeveiligingswet vallen, zijn wettelijk verplicht om maatregelen te nemen ter versterking van hun digitale weerbaarheid. Deze verplichtingen omvatten onder andere:
- Risicoanalyse uitvoeren
Het in kaart brengen van risico’s die de continuïteit van de zorgverlening kunnen bedreigen, zoals cyberaanvallen of systeemstoringen.
- Beveiligingsmaatregelen treffen
Het nemen van technische en organisatorische maatregelen om de geïdentificeerde risico’s te beheersen, zoals netwerkbeveiliging, toegangsbeheer en back-upvoorzieningen.
- Incidentdetectie en –afhandeling
Het inrichten van processen voor het signaleren, registreren, afhandelen en melden van beveiligingsincidenten, zoals datalekken of systeemuitval.
- Rapportageverplichting
Bepaalde incidenten moeten binnen 24 uur gemeld worden aan het Nationaal Cyber Security Centrum (NCSC) of het Computer Security Incident Response Team (CSIRT) in de zorg.
- Continu verbeteren
De wet vereist dat de organisatie aantoonbaar blijft werken aan verbetering van de digitale weerbaarheid, bijvoorbeeld via periodieke audits of evaluaties.
Wat als een apotheek niet onder de Cyberbeveiligingswet valt?
Kleinere apotheken, die níét onder de definitie van een middelgrote of grote onderneming vallen, zijn formeel uitgesloten van de directe verplichtingen van de Cyberbeveiligingswet. Toch wordt sterk aanbevolen om maatregelen te treffen om de digitale weerbaarheid te vergroten:
- volg de NEN7510-norm. Dit is dé norm voor informatiebeveiliging in de zorg;
- werk samen met ICT-leveranciers en zorgpartners om risico’s gezamenlijk te beheersen;
- breng intern het beleid hierover op orde en vergroot de bewustwording. Ook buiten de Cbw om kan de Inspectie Gezondheidszorg en Jeugd (IGJ) handhaven op basis van bestaande wetgeving, zoals de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) of AVG.