De verantwoordelijkheid voor cybersecurity moet op bestuursniveau komen te liggen. Dat vinden de toezichthouders op de Wet beveiliging netwerk en informatiesystemen, Wbni. Hierin is nog een wereld te winnen, schrijven ze in het Samenhangend Inspectiebeeld cybersecurity vitale processen 2024, dat de minister van Justitie en Veiligheid vorige week heeft aangeboden aan de Tweede Kamer. In dit Inspectiebeeld beschrijven de samenwerkende toezichthouders jaarlijks de stand van zaken met betrekking tot de cybersecurity van vitale processen en aanbieders.

Netwerk en informatiesystemen zijn essentieel voor de continuiteit van de bedrijfsvoering en verdienen daarom de hoogste prioriteit. Volgens de toezichthouders is cybersecurity dan ook niet alleen iets voor de Chief Information Security Officer, CISO, en betrokken ICT medewerkers, maar moeten bestuurders zich hier ook mee bezighouden. Bestuursaansprakelijkheid is ook een belangrijk onderdeel in de nieuwe wetgeving die voortkomt uit de Europese richtlijn NIS2.

Prioriteit geven aan informatieveiligheid

Ook zorginstellingen zijn in hoge mate afhankelijk van ICT en digitale producten, diensten en informatie. Tegelijkertijd nemen de bedreigingen, zoals gijzelsoftware, toe. En ook onverwachte gebeurtenissen, zoals stroomuitval, kunnen van invloed zijn op de continuiteit van de zorg. Daarom moeten ook bestuurders van zorginstellingen de hoogste prioriteit geven aan informatiebeveiliging.

Deze boodschap sluit naadloos aan bij de uitspraak van Sietske Rozie van ECP I Platform voor de InformatieSamenleving tijdens de ICT and Health World Conference in het MECC in Maastricht. Zij stelde dat cybersecurity meer vergt dan een werkgroepje. Informatieveiligheid is volgens haar een belangrijk thema en randvoorwaardelijk voor innovatie in de zorg. Maar het is niet iets wat je er zomaar even bij doet.

Deze versturen we 3-4x per jaar.