Een cyberincident kan een zorgorganisatie binnen enkele uren ontwrichten: patiëntgegevens zijn niet toegankelijk en/of buitgemaakt door hackers, afspraken moeten worden afgezegd en zorgprocessen komen stil te liggen. Digitale verstoringen raken daarmee direct de continuïteit en kwaliteit van de zorg.

Met de komst van de Cyberbeveiligingswet wordt cyberveiligheid nadrukkelijk een bestuurlijke verantwoordelijkheid. Bestuurders moeten aantonen dat hun organisatie cyberrisico’s beheerst en dat zij daarop actief toezicht houden.

De Cyberbeveiligingswet treedt naar verwachting al in het tweede kwartaal van 2026 in werking. De overheid adviseert organisaties om nu stappen te zetten om voorbereid te zijn en wij van Nysingh onderschrijven dit advies.

Waarom deze wet er komt

De Cyberbeveiligingswet vormt de Nederlandse implementatie van de Europese NIS2-richtlijn. Deze richtlijn heeft als doel het niveau van cyberbeveiliging binnen de Europese Unie te verhogen, met name in sectoren die van groot maatschappelijk belang zijn, waaronder de zorg. De wet bevat onder meer een zorgplicht voor organisaties om passende maatregelen te nemen om hun netwerk- en informatiesystemen veilig en beheersbaar te houden. Daarnaast geldt een meldplicht bij cyberbeveiligingsincidenten en moeten organisaties zich registreren bij de toezichthouder.

Welke zorgorganisaties onder de wet vallen

Grote zorgorganisaties vallen als zogenaamde essentiële entiteit van rechtswege onder de wet wanneer zij 250 werknemers of meer in dienst hebben. Ook kleinere zorgorganisaties kunnen kwalificeren als essentiële entiteit wanneer zij bepaalde financiële drempels overschrijden, zijnde een jaaromzet van meer dan 50 miljoen euro of een jaarlijks balanstotaal van meer dan 43 miljoen euro. Overige zorgorganisaties kunnen alsnog kwalificeren als essentiële entiteit wanneer zij aangewezen worden als kritieke entiteit of op basis van nadere regelgeving. Voor essentiële entiteiten is het toezicht op de naleving van de verplichtingen uit de wet het strengst.

Cyberveiligheid wordt een bestuurstaak

Bestuurders moeten aantoonbaar beschikken over voldoende kennis en vaardigheden om cyberbeveiligingsrisico’s te begrijpen, risicobeheersmaatregelen te beoordelen en toezicht te houden op de digitale weerbaarheid van de organisatie.

Daarnaast verplicht de wet bestuurders om periodiek een training over cyberbeveiliging te volgen. Daarmee moeten zij op strategisch niveau kunnen meepraten over risico’s, incidenten en de maatregelen die nodig zijn om systemen en gegevens te beschermen.

Bestuurders krijgen na inwerkingtreding van de betreffende verplichtingen twee jaar de tijd om aan deze verplichtingen te voldoen en moeten hun kennis en vaardigheden daarna aantoonbaar actueel houden.

Wat bestuurders straks moeten kunnen aantonen

Voor zorgbestuurders betekent de wet dat zij actief toezicht moeten houden op cyberveiligheid binnen de organisatie. In de praktijk gaat het bijvoorbeeld om:

• Inzicht in de belangrijkste cyberrisico’s voor de organisatie
• Bestuurlijk toezicht op beveiligingsmaatregelen en -beleid
• Structureel overleg met verantwoordelijke functionarissen zoals de CISO
• Kennis van procedures bij cyberincidenten en meldplichten

Digitale weerbaarheid wordt daarmee onderdeel van goed bestuur en risicomanagement.

Deze versturen we 3-4x per jaar.