Waarom deze dialoog nu urgent is
De Europese NIS2-richtlijn (EU 2022/2555) is sinds eind 2022 van kracht. Nederland zet deze om via de Cyberbeveiligingswet, maar de implementatie is vertraagd: de wet zal naar verwachting in het derde kwartaal van 2025 in werking treden. Zorginstellingen vallen expliciet onder deze regelgeving en dienen zich nu al voor te bereiden, ondanks dat formele verplichtingen later volgen.
Tegelijkertijd is op 16 december 2024 de herziene NEN 7510:2024 verschenen, bestaande uit:
- Deel 1: managementsysteem conform ISO 27001:2023, aangevuld met zorgspecifieke eisen.
- Deel 2: richtlijnen gebaseerd op ISO 27002:2022 en concept ISO 27799.
Deze update sluit structureel aan op NIS2-eisen, inclusief mappingtabellen in bijlage E voor governance, incidentmeldingen en zorgplicht.
Zorgsector onder NIS2 – wat volgt er nu?
Tot de Cyberbeveiligingswet van kracht is (verwacht Q3 2025) kunnen zorginstellingen zich vrijwillig registreren en steunen op bestaande Wbni-regels. Na inwerking zullen ze onder NIS2 vallen als “essentiële entiteiten”.
Verplichtingen zijn onder meer:
- Zorgplicht: systematische beveiliging van netwerk- en informatiesystemen, inclusief risicoanalyse en ketenbewaking.
- Meldplicht: serieuze incidenten moeten binnen 24 uur gemeld worden bij CSIRT en toezichthouder.
- Registratieplicht: bij Centrale registratie via het NCSC.
- Bestuurlijke aansprakelijkheid: expliciete rol voor directie bij het toezicht op cybersecurity.
Toezicht zal risico-gestuurd zijn en uitgevoerd door sectorale toezichthouders, zoals IGJ in de zorg.
Wat biedt NEN 7510:2024 al?
De nieuwe NEN 7510 beantwoordt aan veel NIS2-context. Overeenkomsten omvatten:
- Risicobeheer, incidentenrespons, toegang, logging
- Zorgplichtnormen die overeenkomen met NIS2 Artikel 21 en A.16 in NEN 7510
- Governance en managementtraining expliciet opgenomen in nieuwe versie
De norm biedt in bijlage E kaartjes die onderdelen van NIS2 koppelen aan NEN 7510-maatregelen .
Waar zit de kloof?
| Onderdeel | NEN 7510:2024 | NIS2 / Cyberbeveiligingswet |
|---|---|---|
| Juridische status | Normatief, verplicht via sectorafspraken | Dwingend via EU-richtlijn en nationale wetgeving |
| Incidentmeldplicht | Gelegenheidsmeldingen, auditfocus | 24 uur meldplicht bij significante incidenten |
| Governance | Managementverantwoordelijkheid, maar niet verplichte training | Bestuurdersaansprakelijkheid & opleidingsplicht |
| Registratieverplichting | Niet van toepassing | verplichte registratie bij NCSC |
| Ketenrisicobeheer | Richtlijnen aanwezig | Verplichte risicoanalyse inclusief leveranciers |