Weet je al of jouw zorginstelling onder de NIS2-richtlijn valt? En zo ja, heb je al scherp wat dat betekent voor jouw organisatie, jouw bestuur en jouw ketenpartners?
Zo niet, dan is het zaak om daar op korte termijn werk van te maken. Het lijkt er namelijk op dat de Cyberbeveiligingswet – de Nederlandse implementatie van de Europese NIS2-richtlijn – in het tweede kwartaal van 2026 in werking treedt. Dat schrijft demissionair minister Van Weel in een recente brief aan de Tweede Kamer.
De zorg is kwetsbaar. Dat bleek de afgelopen jaren wel, ook digitaal. Denk aan uitval van systemen op de spoedeisende hulp, datalekken van patiëntgegevens of ransomware-aanvallen die hele instellingen platleggen. De impact van zulke incidenten reikt verder dan de IT-afdeling. De continuïteit van zorg staat op het spel.
Met de komst van NIS2 worden zorgorganisaties verplicht om werk te maken van cybersecurity en risicomanagement. Niet alleen technisch, maar juist ook juridisch en bestuurlijk.
Welke organisaties, actief in de gezondheidszorg, vallen onder de NIS2-richtlijn?
De NIS2-richtlijn is van toepassing op een breed palet aan organisaties binnen de gezondheidszorg. Niet alleen ziekenhuizen, maar ook veel andere zorgaanbieders kunnen eronder vallen. Het is echter lang niet altijd direct duidelijk of en wanneer dat het geval is.
In de basis geldt: organisaties vallen onder de richtlijn als ze actief zijn in een relevante zorgsector én een bepaalde economische omvang hebben (de zogeheten ‘size cap’). De snelste manier om dit te toetsen, is door te beginnen bij de ondergrens: Heeft jouw organisatie 50 werknemers of meer? Dan val je in principe onder de richtlijn valt. Heb je minder dan 50 werknemers? Dan kun je er nog steeds onder vallen als je jaarbalans of jaaromzet boven de 10 miljoen euro uitkomt. In dat geval val je alsnog binnen de reikwijdte van NIS2.
Is die eerste drempel genomen – dus voldoe je aan de minimale omvangeisen? Dan stopt het daar niet. Je moet vervolgens ook bepalen of jouw organisatie wordt aangemerkt als essentiële entiteit of als belangrijke entiteit.
Dat onderscheid is relevant, omdat het bepaalt hoe intensief het toezicht wordt en welke verplichtingen precies gelden. Essentiële entiteiten vallen onder een zwaarder regime, met bijvoorbeeld meer actieve controle en handhaving.
De NIS2-richtlijn is dus nadrukkelijk niet beperkt tot ziekenhuizen. Ook GGZ-instellingen, huisartsenpraktijken, revalidatiecentra, thuiszorgorganisaties en laboratoria kunnen onder de wet vallen, mits ze aan de economische criteria voldoen.
Daarnaast kunnen ook organisaties die software, medische hulpmiddelen of onderzoeksdiensten leveren aan zorginstellingen binnen de reikwijdte van NIS2 vallen. Zelfs als zij formeel niet zelf als zorgaanbieder zijn aangemerkt, kunnen zij via ketenverantwoordelijkheid toch aan de strengere eisen moeten voldoen.
Let op: Voor de toepassing in de zorgsector gebruikt het ministerie van VWS de definitie van ‘zorgaanbieder’ zoals opgenomen in de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Deze definitie is breed en omvat meer dan wat in de praktijk vaak als ‘klassieke zorginstelling’ wordt gezien. Het is daarom verstandig om niet uit te gaan van labels als ‘ziekenhuis’ of ‘GGZ-instelling’, maar te kijken naar je feitelijke activiteiten en schaalgrootte.
Twijfel je nog of jouw organisatie in de gezondheidszorg onder NIS2 valt? Onze IT-juristen helpen je graag te bepalen of de richtlijn op jouw organisatie van toepassing is, en zo ja, wat er nodig is om tijdig compliant te zijn. Neem gerust contact met ons op.
Wat zijn de belangrijkste verplichtingen onder NIS2 voor zorgorganisaties?
De NIS2-richtlijn legt in ieder geval twee (hele!) belangrijke verplichtingen op aan organisaties in de zorg: de zorgplicht en de meldplicht.
Zorgplicht
Als zorginstelling ben je verplicht om maatregelen te nemen die je digitale weerbaarheid structureel versterken. Denk daarbij aan technische en organisatorische maatregelen. De richtlijn schrijft niet exact voor welke tools of software je moet gebruiken, maar verwacht wel dat je keuzes ‘passend en evenredig’ zijn en in lijn met de stand van de techniek.
Dat betekent bijvoorbeeld:
- actuele risicoanalyses
- beleid voor incidentrespons en bedrijfscontinuïteit
- afspraken over cybersecurity in contracten met leveranciers
- opleiding en bewustwording binnen de hele organisatie
- juridische vastlegging van verantwoordelijkheden binnen het bestuur
- toetsing en documentatie van beveiligingsmaatregelen (‘aantoonbaarheid’)
- periodieke evaluatie en actualisatie van het cybersecuritybeleid
- duidelijke interne meldprocedures voor cyberincidenten
Zorginstellingen kunnen dus niet langer volstaan met enkel ‘iets doen aan IT’. NIS2 vereist aantoonbare actie en betrokkenheid, ook van bestuur.
Meldplicht
Bij een ernstig cyberincident moet je binnen 24 uur een eerste melding doen bij de bevoegde autoriteit. Binnen 72 uur volgt een update, en uiterlijk binnen een maand een eindrapport.
Deze meldplicht is vergelijkbaar met de datalekkenregeling onder de AVG, maar dan gericht op verstoringen van digitale dienstverlening. Denk aan uitval van systemen, ransomware-aanvallen of ernstige kwetsbaarheden in je netwerk.
Kortom: met NIS2 wordt cybersecurity een organisatiebrede verantwoordelijkheid. De richtlijn vraagt niet alleen om technische maatregelen, maar om juridische borging en bestuurlijke betrokkenheid.
Wat kun je als zorgorganisatie verwachten van de toezichthouder?
Op dit moment lijkt het erop dat de toezichthouder qua intensiteit van het toezicht een onderscheid zal maken tussen essentiële en belangrijke zorgorganisaties.
Bij organisaties die als essentieel worden aangemerkt, zal de toezichthouder naar verwachting proactief gaan handhaven. Denk aan steekproefsgewijze controles en verplichte documentatie, ook zonder dat er een incident is.
Voor belangrijke entiteiten geldt waarschijnlijk een reactiever toezichtregime: pas bij een incident of melding zal de toezichthouder actief optreden.
Hulp nodig bij juridische vragen rond NIS2?
Onze IT-juristen hebben ruime ervaring met compliance-vraagstukken in de zorgsector en kennen de ins en outs van de NIS2-richtlijn. We denken mee over wat de wetgeving concreet betekent voor jouw organisatie.
Of het nu gaat om het toetsen van de toepasselijkheid, het opzetten van een meldprocedure of het vastleggen van verantwoordelijkheden: we helpen je graag verder.
Neem gerust contact op als je wilt sparren of een eerste juridische toets wilt doen.
