Cyberveiligheid in de zorgsector

Frieda Gijbels (N-VA): Mijnheer de minister, in een eerdere vraag vroeg ik u al naar de noodzaak van de verbetering van de cyberveiligheid in onze ziekenhuizen, want we hebben te maken met een digitalisering van de zorg. Dat is goed, dat brengt efficiëntiewinsten met zich mee, maar dat houdt natuurlijk ook in dat er een steeds grotere dreiging ontstaat van cyberaanvallen waaraan we het hoofd moeten bieden. Door de omzetting van de NIS2-richtlijn vallen ziekenhuizen onder de leveranciers van essentiële diensten – althans als ik dat goed heb begrepen – waardoor ze voortaan ook een meldingsplicht hebben en aan strengere cyberveiligheidsvoorwaarden moeten voldoen. Bijgevolg brengen die nieuwe en strengere voorwaarden ook de nodige aanpassingen voor de gezondheidssector met zich mee. Kunt u bevestigen dat ziekenhuizen door de omzetting van de NIS2-richtlijn naar nationale wetgeving voortaan tot de leveranciers van essentiële diensten behoren? Worden ziekenhuizen ondersteund in de voorbereiding op de strengere voorwaarden die de NIS2-richtlijn met zich meebrengt? Zo ja, op welke manier? Worden er, bijvoorbeeld, ook opleidingen voorzien voor het zorgpersoneel of voor veiligheidsmedewerkers om hen te leren werken met de verplichtingen die de richtlijn met zich meebrengt? NIS2 bepaalt ook dat er voortaan een meldingsplicht is voor ziekenhuizen. Zijn de ziekenhuizen op de hoogte gesteld van de praktische implementatie daarvan? Is er een bepaalde termijn vastgelegd tegen wanneer alle ziekenhuizen daaraan zouden moeten voldoen? Zijn er ziekenhuizen die al conform zijn, die al in orde zijn en de meldingsplicht al toepassen? Zo ja, wordt daarover een rapport uitgebracht dat eventueel ook beschikbaar wordt gesteld? Hoeveel ziekenhuizen zijn momenteel al volledig in overeenstemming met de eisen die voortvloeien uit de NIS2-richtlijn? Hoe zal er worden omgegaan met ziekenhuizen die achterblijven op het vlak van de implementatie? Valt de volledige zorgsector onder de nieuwe wetgeving, dus ook de extramurale diensten? Zijn de voorwaarden en de implementatie van NIS2 voor alle onderdelen van de zorgsector dezelfde of wordt er in een specifiek regime voorzien?

Minister Frank Vandenbroucke: Collega's, de omzetting van de NIS2-richtlijn in Belgische wetgeving voorziet dat die van toepassing is op elke rechtspersoon of andere instantie die op het Belgische grondgebied wettelijke gezondheidszorg verstrekt en daarbij voldoet aan de criteria van een middelgrote onderneming of die overstijgt. Ziekenhuizen met de hoedanigheid van middelgrote onderneming zullen als een belangrijke entiteit worden erkend. Ziekenhuizen die de plafonds van middelgrote ondernemingen overstijgen, zullen als een essentiële entiteit worden erkend. Wat de meldingsplicht betreft, bij de invoering van NIS2 werden de entiteiten die onder deze regelgeving vallen op de hoogte gebracht van de meldingsplicht bij incidenten. Die meldingsplicht is van toepassing sinds 18 oktober. Enkele ziekenhuizen en zorginstellingen hebben al melding gedaan van een incident. Mevrouw Gijbels, de naleving van de NIS2- regelgeving valt onder de verantwoordelijkheid van de bestuurders van de entiteit. De ziekenhuizen kunnen een beroep doen op ondersteuning voor het uitvoeren van een risicoanalyse om zo hun werkpunten met betrekking tot het voldoen aan NIS2 te identificeren. Al vóór NIS2 werd ingevoerd, hebben verschillende ziekenhuizen de regeling van hun informatieveiligheid laten certificeren volgens het ISO 27001-kader. Die certificatie kan, mits ze bevestigd wordt door een conformiteitsbeoordelingsinstantie erkend door het Centrum voor Cybersecurity België, gebruikt worden om conformiteit aan te tonen. De ziekenhuizen die erkend worden als essentiële entiteiten zullen op een regelmatige basis worden gecontroleerd op de naleving van de regelgeving. De NIS2-regelgeving voorziet naast toezicht ook sancties voor entiteiten die de regelgeving niet correct naleven. Die sancties dienen echter beschouwd te worden als laatste middel nadat het ziekenhuis corrigerende maatregelen heeft kunnen nemen, daarbij al dan niet gesteund door de sectorale overheid voor de ziekenhuizen aangesteld binnen de NIS2-regelgeving. Zoals vermeld onder punt 1 is de NIS2-regelgeving van toepassing op elke rechtspersoon of andere instantie die op het Belgische grondgebied wettelijke gezondheidszorg verstrekt en daarbij voldoet aan de criteria van een middelgrote onderneming of die overstijgt. NIS2 voorziet een risicogebaseerde aanpak, waarbij onder andere criteria zoals kosten en maatschappelijk risico in overweging worden genomen. Afhankelijk daarvan kunnen entiteiten gepaste maatregelen nemen om het risico op incidenten op een aanvaardbaar niveau terug te brengen. 

Frieda Gijbels (N-VA): Mijnheer de minister, het is goed dat u ook verwijst naar het Shieldinitiatief van het ZOL, het Jessa Ziekenhuis en de UHasselt. Dat is echt een goed initiatief, dat misschien ook als voorbeeld kan worden gebruikt voor andere zorginstellingen en onderwijsinstellingen. U wees zelf ook op de interconnectiviteit tussen ziekenhuizen en een mogelijke zwakke schakel daarin. Ik vraag mij dan ook af hoe we moeten kijken naar andere zorgverstrekkers die niet in instellingen werken en die waarschijnlijk ook iets minder maatregelen nemen voor cyberveiligheid. Ik ben daar technisch niet erg in onderlegd, maar ik kan me voorstellen dat dat ook een zwakke schakel in het systeem zou kunnen zijn. Ik pleit zeker niet voor heel strenge voorwaarden voor alle individuele zorgverstrekkers, maar op het niveau van het ziekenhuis moeten daarvoor wellicht maatregelen worden genomen. Ik kijk dus graag mee uit naar die ontwikkelingen. Zoals mijn collega ook al zei, zouden gezien de geopolitieke situatie ziekenhuizen weleens een doelwit kunnen zijn. Dat is dus zeker iets om goed in de gaten te houden.

Bekijk het fragment: https://media.dekamer.be/meeting/56-018134-U0566/fragment/KS6mPZ8mtdKquB8AAEAbPMJZW1-8hhorTl2T8ujAC25xoz8WUT5IwFTIdzWYtgUgQeg-DVXmTsSCSNF5EjR3XAVQifVmCrBWZGTIoroRn8-gr-6CKqdj3ld5XfDZt8iE