NIS2 voor zorgaanbieders: wat MSP's moeten leveren

Een Europees ziekenhuis krijgt om 2 uur 's nachts een ransomware-melding. Het team van dienst weet precies welke leveranciersverbinding het toegangspunt is. Ze kunnen die niet snel genoeg afsluiten. Tegen de tijd dat de verbinding is verbroken, heeft de versleuteling zich verspreid naar de beeldvormingssystemen en worden geplande operaties drie dagen uitgesteld.

Dat scenario is niet hypothetisch. Uit de dreigingsdata van ENISA blijkt dat de gezondheidszorg de meest door ransomware getroffen kritieke sector in de EU is, en uit een recent onderzoek bleek dat minder dan één op de drie Europese zorgaanbieders een gecompromitteerde Tier-1-leverancier binnen 90 minuten kan isoleren. Onder NIS2 is dat gat niet langer alleen een operationele schande. Het is een nalevingsfout met persoonlijke aansprakelijkheid eraan vast.

Als je een MSP runt of adviseert voor ziekenhuizen, klinieken, laboratoria of fabrikanten van medische apparatuur, dan is de gezondheidszorg nu een van de NIS2-sectoren met de hoogste inzet waarin je zult werken. Dit is wat de richtlijn daadwerkelijk van deze klanten eist, en waar het praktische werk zit.

Zorginstellingen zijn "essentieel" — de strengste NIS2-categorie

NIS2 verdeelt gereguleerde organisaties in essentiële en belangrijke entiteiten. Ziekenhuizen en de meeste zorgaanbieders vallen in de categorie essentieel, die het zwaardere toezichtregime met zich meebrengt.

De omvangsdrempel vangt meer organisaties dan men denkt: een entiteit met minstens 50 medewerkers of €10 miljoen jaaromzet of balanstotaal valt onder de regelgeving. In de praktijk betekent dat de meeste ziekenhuizen, grotere diagnostische laboratoria, farmaceutische fabrikanten en grote bedrijven voor medische apparatuur. Veel middelgrote privéklinieken en laboratoriumgroepen halen die drempel zonder het te beseffen.

Het verschil tussen essentieel en belangrijk is niet cosmetisch. Essentiële entiteiten krijgen te maken met ex-ante toezicht — proactieve audits, inspecties ter plaatse en beveiligingsscans, zelfs als er niets is misgegaan. Belangrijke entiteiten worden reactief gecontroleerd, na een incident of een klacht. Ga er bij je zorgklanten van uit dat een auditor onaangekondigd kan langskomen.

Is NIS2 van toepassing op uw organisatie?
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼
Nee▼
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼
Nee▼
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassing
Mogelijk van toepassing
Niet van toepassing

Het bestuur is persoonlijk aansprakelijk, en kwartaalbeoordelingen moeten worden vastgelegd

NIS2 Article 20 legt cyberrisico bij het leidinggevende orgaan. Voor een ziekenhuis betekent dat dat het bestuur of de directie dit niet aan "IT" kan delegeren en vergeten. Zij moeten de risicobeheermaatregelen goedkeuren, de uitvoering bewaken en een cybersecuritytraining volgen.

De praktische toets die auditors toepassen is documentatie. Kan de entiteit aantonen dat het bestuur cyberrisico minstens elk kwartaal heeft beoordeeld en vastgelegd? Zijn er gegevens over deelname van het management aan trainingen? Is er een uitdagingslogboek waaruit blijkt dat het bestuur de beveiligingshouding kritisch heeft bevraagd in plaats van klakkeloos goed te keuren?

Bij herhaalde of ernstige niet-naleving kunnen toezichthouders een tijdelijk verbod opleggen aan personen in leidinggevende functies. Een ziekenhuisdirecteur kan in principe uit de functie worden gezet. Dat soort consequenties zorgt ervoor dat een bestuur een kwartaalbeoordeling serieus neemt — jouw taak is om hen het bewijsspoor te geven dat dit ook is gebeurd.

De tien Article 21-maatregelen, vertaald naar een klinische omgeving

Article 21 noemt tien basismaatregelen die elke entiteit binnen het toepassingsgebied moet implementeren. In de zorg landen die op specifieke, soms ongemakkelijke manieren:

Risicoanalyse en beveiligingsbeleid voor informatiesystemen moeten klinische systemen omvatten die nooit met beveiliging in gedachten zijn ontworpen — verouderde PACS-beeldvormingsservers, infuuspompen en bewakingsapparatuur aan het bed die op niet-ondersteunde besturingssystemen draait. Je kunt een 12 jaar oude MRI-controller niet patchen, dus de maatregel wordt netwerksegmentatie en compenserende controles, gedocumenteerd als zodanig.

Incidentafhandeling moet werken wanneer de mensen die het incident detecteren clinici zijn, geen beveiligingsanalisten. De controle die telt is de controle die een ziekenhuis in staat stelt een beveiligingsincident te signaleren voordat het de patiëntenzorg raakt.

Bedrijfscontinuïteit en back-upbeheer is waar levensveiligheid en naleving samenkomen. De entiteit moet zorg kunnen blijven leveren wanneer systemen plat liggen, wat geteste failover voor het elektronisch patiëntendossier en offline back-ups betekent die ransomware niet kan bereiken.

Beveiliging van de toeleveringsketen is de maatregel die de meeste ziekenhuizen blootlegt. De zorg draait op externe beeldvormingsleveranciers, laboratoriuminformatiesystemen, beheerde apparatenparken en steeds vaker AI-diagnoseplatforms. NIS2 vereist dat de entiteit het risico in die relaties beheert — en een gecompromitteerde relatie snel kan afsnijden.

Artikel 21 — 10 NIS2 Cybersecuritymaatregelen
🛡️
Artikel 21
10 Cybersecuritymaatregelen
📊
Governance & Strategie
1Risicoanalyse & informatiebeveiligingsbeleid
6Effectiviteitsbeoordeling van beveiligingsmaatregelen
🚨
Incidenten & Continuïteit
2Incidentafhandeling & melding
3Bedrijfscontinuïteit & disaster recovery
🔗
Toeleveringsketen & Systemen
4Beveiliging van de toeleveringsketen
5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemen
🔐
Technische Beheersing
8Cryptografie & versleuteling
10Multi-factor authenticatie & veilige communicatie
👥
Mensen & Middelen
7Cyberhygiëne & training
9HR-beveiliging & toegangscontrole

Wil je de volledige uitleg van alle tien de maatregelen, lees dan onze gids over de tien Article 21-maatregelen uitgelegd.

Leveranciersrisico is de maatregel die als eerste audits zal laten mislukken

Het cijfer over leveranciersisolatie is het overdenken waard: minder dan een derde van de Europese zorgaanbieders gelooft dat ze een Tier-1-leverancier of AI-platform binnen anderhalf uur volledig kunnen isoleren. Veel cyberleiders beschouwen isolatie binnen een uur inmiddels als het werkelijke doel voor patiëntveiligheid.

NIS2 laat een ziekenhuis niet toe om naar zijn leverancier te wijzen en weg te lopen. De richtlijn maakt de entiteit verantwoordelijk voor het beheren van risico's in de toeleveringsketen, wat concrete resultaten betekent: een leveranciersinventaris die in kaart brengt welke derde partij welk klinisch systeem raakt, beveiligingsclausules in leverancierscontracten en een geteste procedure om een gecompromitteerde leverancier af te koppelen zonder de patiëntenzorg plat te leggen.

Dit is vruchtbare grond voor MSP's en consultants. De meeste ziekenhuizen hebben geen actuele kaart van hun leverancierconnectiviteit, geen contractuele beveiligingsbasis en geen ingeoefend isolatie-draaiboek. Het bouwen van die drie artefacten is een duidelijk afgebakende opdracht die direct het grootste Article 21-risico afdekt. Specifiek voor de contractkant behandelt onze uiteenzetting over leverancierscontracten onder Article 21 de clausules die standhouden.

NIS2-sanctie-escalatie — Voorbij de boete
!
Aanleiding
Non-compliance gedetecteerd of incident treedt op
Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten
Toezichthouders kunnen opleggen
▼
Niet-financiële sancties
1
Nalevingsbevelen met bindende deadlines
2
Verplichte security-audits op eigen kosten
3
Publieke bekendmaking van overtredingen
4
Bindende instructies over specifieke beveiligingsmaatregelen
Escaleert naar
▼
Operationele en persoonlijke gevolgen
1
Opschorting van certificeringen of vergunningen
2
Tijdelijk verbod op bestuursfuncties voor personen
3
Publieke benoeming van verantwoordelijke natuurlijke personen
Aanleiding
Niet-financieel
Operationeel / persoonlijk

Incidentmelding loopt op een klok die klinische prioriteiten negeert

Wanneer een meldingsplichtig incident toeslaat, legt NIS2 een opeenvolgende tijdlijn op die niet pauzeert voor de visite. Een vroege waarschuwing aan het nationale CSIRT of de bevoegde autoriteit binnen 24 uur. Een volledige incidentmelding binnen 72 uur, inclusief een eerste beoordeling van ernst en impact. Een eindrapport binnen één maand.

In een ziekenhuis is het lastige niet het technische detail — het is iemand hebben wiens taak het is om die meldingen te doen terwijl het klinisch personeel de operationele gevolgen beheert. De controle die een audit doorstaat is een benoemde rol, een getest meldingssjabloon en een beslisboom voor wat meldingsplichtig is.

NIS2 Incidentmeldingstijdlijn
24h
⚡
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
Stap 1
72h
📋
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
Stap 2
1mo
📊
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Stap 3
24h
⚡
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72h
📋
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1mo
📊
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.

Een ziekenhuis dat zijn meldingsverplichtingen tijdens het incident leert kennen, is al gezakt voor de paraatheidstest. Het sjabloon en de benoemde verantwoordelijke persoon moeten vooraf bestaan. Onze uiteenzetting over meldingstermijnen voor incidenten loopt de tijdlijn in detail door.

De EU bouwt zorgspecifieke ondersteuning — gebruik het als routekaart

In januari 2025 publiceerde de Commissie een EU-actieplan voor de cybersecurity van ziekenhuizen en zorgaanbieders. Het wordt over 2025 en 2026 uitgerold en het vertelt je waar de regelgevende aandacht naartoe gaat.

Het plan stelt een pan-Europees Cybersecurity Support Centre voor, beheerd door ENISA, dat zorgaanbieders gerichte begeleiding, tools en training biedt. Het omvat een EU-brede vroegtijdige-waarschuwingsdienst die bijna realtime dreigingsmeldingen levert, gepland voor 2026. En het voorziet in ransomware-specifieke responsdraaiboeken voor zorgorganisaties.

Voor een consultant is het Actieplan een gratis prioriteringskaart. De thema's waarin de Commissie investeert — vroegtijdige waarschuwing, ransomware-draaiboeken, leveranciersrisico — zijn precies de controles die auditors verwachten te zien rijpen. Bouw de programma's van je zorgklanten langs deze lijnen op en je bent in lijn met zowel de richtlijn als de richting van de ontwikkeling.

Waar te beginnen met een zorgklant

De snelste route naar een verdedigbare houding is de gaten vinden voordat een auditor dat doet. Begin met een gestructureerde paraatheidsbeoordeling: bevestiging van het toepassingsgebied, een eerlijke kaart van klinische systemen en hun beveiligingsschuld, de leverancierconnectiviteitsinventaris en een controle van het bestuurlijke governance-bewijs.

Dat levert een geprioriteerde herstellijst op in plaats van een vaag gevoel dat "we iets met NIS2 moeten doen". Voor de meeste zorgklanten zullen de top drie items hetzelfde zijn — vermogen tot leveranciersisolatie, geteste back-ups voor het patiëntendossier en een gedocumenteerd incidentmeldingsproces met een benoemde eigenaar.

Wil je een snel, gestructureerd startpunt dat je deze week met een zorgklant kunt uitvoeren, dan brengt onze quick scan hun huidige houding in kaart tegen de NIS2-eisen en geeft je de gatenlijst om de opdracht omheen te bouwen.

De gezondheidszorg is waar de inzet van NIS2 het hoogst is, de verouderde technische schuld het diepst en het leveranciersrisico het meest blootgelegd. Die combinatie is moeilijk voor ziekenhuizen — en het is precies het soort werk dat MSP's en consultants kunnen claimen.