Vertraging in NIS2- en CER-richtlijn. Wat betekent dit voor zorgorganisaties?

De digitale en fysieke weerbaarheid van zorgorganisaties is cruciaal voor de continuïteit en veiligheid van hun zorgverlening. In de afgelopen jaren hebben gebeurtenissen zoals de COVID-19-pandemie, toenemende cyberdreigingen en de impact van klimaatverandering de stabiliteit van onze maatschappij en economie steeds verder onder druk gezet. Om deze risico’s beter te beheersen, worden in Nederland twee belangrijke Europese richtlijnen geïmplementeerd: de NIS2-richtlijn en de CER-richtlijn. Deze richtlijnen worden opgenomen in respectievelijk de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Beide wetten zijn gericht op sectoren met een grote maatschappelijke impact, waaronder de zorg.

Rijksoverheid

2 april 2025

Digitale zorg

Weerbaarheid

De omzetting van deze twee richtlijnen naar nationale wetgeving door het ministerie van Justitie en Veiligheid, vergt meer tijd dan oorspronkelijk gepland. Dit betekent dat Nederland, net als veel andere EU-lidstaten, niet de oorspronkelijke deadline van 17 oktober 2024 haalt. Dit komt door de complexiteit en de omvang van het wetstraject. Naar verwachting zullen beide wetten in het najaar van 2025 in werking treden.

Wat betekent dit voor zorgorganisaties?

De gevolgen van het niet-tijdig omzetten van de NIS2-richtlijn en CER-richtlijn voor organisaties (in de wet entiteiten genoemd) in de zorgsector, gedurende de periode tussen 17 oktober 2024 en de inwerkingtreding van de wetten, worden hieronder toegelicht.

NIS2-richtlijn

Een aantal bepalingen uit de NIS2-richtlijn hebben een directe werking. Dit betekent dat zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen vanaf 17 oktober 2024 wel rechten hebben, maar nog geen wettelijke verplichtingen uit de NIS2-richtlijn.

Rechten

Gedurende de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet hebben organisaties die onder de Cyberbeveiligingswet gaan vallen bepaalde rechten. Organisaties kunnen bijstand ontvangen bij een cyberincident door een Computer Security Incident Response Team (CSIRT). Voor de zorgsector is dit Z-CERT. Alle zorgorganisaties die onder de rechtstreekse werking vallen van de Cyberbeveiligingswet kunnen bij Z-CERT terecht voor ondersteuning in het geval van cyberincidenten (incident response).

Verplichtingen

Voor zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen gaan de verplichtingen in de NIS2-richtlijn pas gelden na inwerkingtreding van de wet. Ook zal de Inspectie Gezondheidszorg en Jeugd (IGJ) tot de inwerkingtreding van de Cyberbeveiligingswet geen toezicht houden. Dit neemt niet weg dat zorgorganisaties verplicht zijn te voldoen aan de NEN7510-norm, waarop de IGJ nu al toezicht houdt. Deze norm biedt een sterke basis voor de toekomstige eisen van de Cyberbeveiligingswet en helpt organisaties zich voor te bereiden op hun digitale weerbaarheid en wettelijke verplichtingen.

CER-richtlijn

In de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn.

De CER-richtlijn wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Organisaties vallen pas onder de wet zodra ze zijn aangewezen als ‘kritieke entiteit’. De minister van VWS zal deze kritieke entiteiten niet eerder dan het vierde kwartaal van 2025 aanwijzen. Voor deze organisaties zullen de zorgplicht en de meldplicht uit deze wet pas van toepassing zijn vanaf 10 maanden na hun aanwijzing als kritieke entiteit.

Voor meer verdieping PONT | Zorg & Sociaal

Gerelateerd nieuws

STOER tegen woningnood: minder regels, meer ruimte om te bouwen

29 april 2025

De woningnood in Nederland is groot; in 2024 ontbraken er naar schatting 401.000 woningen. De adviesgroep STOER (Schrappen Tegenstrijdige en Overbodige Eisen en Regelgeving) zal op verzoek van de minister van VROM voorstellen doen voor het aanpassen, schrappen en uniformeren van regelgeving om woningbouw te versnellen, kosten te verlagen en meer woningen te realiseren. Op 24 april 2025 heeft de adviesgroep hun eerste rapport aangeboden aan de minister. Het rapport bevat aanbevelingen om de woningbouw te verstellen, hieronder een overzicht.

Gebruik van AI-modellen in vastgoedsector: Kans of risico voor privacy?

29 april 2025

Beschik jij al over de vaardigheid van ‘prompten’? In deze blog legt Alexandra Boot uit waarom ‘prompt engineering’ niet langer mag ontbreken op je cv. Ontdek hoe AI de sector transformeert en welke risico’s en kansen daarbij horen.

Nieuw AI-platform Berghauser Pont koppelt wetgeving aan praktijk

29 april 2025

Berghauser Pont en LEXGEN AI lanceren een baanbrekend AI-platform: de co-intelligente assistent die wet en praktijk samenbrengt.

ACM roept levensmiddelenbedrijven op tot controle duurzaamheidsclaims

28 april 2025

De Autoriteit Consument en Markt (ACM) heeft een dringende oproep gedaan aan levensmiddelenbedrijven om hun duurzaamheidsclaims te controleren en waar nodig aan te passen. In een recentelijk verzonden brief benadrukt de ACM het belang van eerlijke, specifieke, meetbare en onderbouwde claims, zodat consumenten met vertrouwen een duurzamere keuze kunnen maken.

Meer nieuws