De zorgsector als mikpunt van cyberaanvallen in België

Frieda Gijbels (N-VA): Mevrouw de voorzitster, mijnheer de minister, recente cijfers tonen aan dat organisaties in de gezondheidszorg het meest geviseerd worden door cybercriminelen, met gemiddeld 2.620 aanvallen per week in België. Wereldwijd zien we een algemene toename met 21 % van cyberaanvallen, terwijl de toename in België 17 % bedraagt. Daarnaast is er ook een wijzigende trend in de aanvalstechnieken. Waar er vroeger vooral gebruik werd gemaakt van ransomware, zien we nu een toenemend gebruik van artificiële intelligentie en informatiediefstal. U gaf eerder al aan dat de omzetting van de NIS2- richtlijn ertoe leidt dat ziekenhuizen een meldingsplicht hebben met betrekking tot dergelijke aanvallen – dat is in voege sinds 18 oktober 2024 – en dat er ondersteuning wordt voorzien voor risicoanalyses. Uit uw antwoord bleek ook dat enkele ziekenhuizen inmiddels melding hebben gedaan van incidenten en dat ISO-certificatie kan dienen om conformiteit aan te tonen. Hoeveel meldingen van cyberincidenten zijn er sinds de inwerkingtreding van de meldingsplicht in oktober 2024 effectief gedaan? Betreft dit uitsluitend ziekenhuizen of ook ambulante praktijken? Kunt u aangeven of bepaalde ziekenhuizen of ambulante praktijken vaker het doelwit zijn geweest van aanvallen? Worden er systematisch analyses gemaakt van de aard van deze incidenten? Kunt u dit verder specificeren en toelichten welke trends men kan vaststellen? Wordt er ook nagegaan wat de concrete impact van deze cyberincidenten is op de werking van de betrokken ziekenhuizen of praktijken? Hebt u zicht op de herkomst van deze aanvallen en de bedoeling ervan? Zijn er gevallen bekend waarbij ziekenhuizen of praktijken betalingen hebben gedaan om opnieuw toegang te krijgen tot hun systemen? In welke mate zijn ziekenhuizen momenteel effectief conform aan de NIS2-verplichtingen? Kunt u cijfers geven over het aantal instellingen dat al een risicoanalyse heeft uitgevoerd en gecertificeerd is?

Minister Frank Vandenbroucke: De vraag gaat over de toepassing van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, de NIS2-wet, die in ons land de NIS2-richtlijn van het Europees Parlement en de Raad van 14 december 2022 vertaalt. Het doel van de NIS2-wet is het versterken van maatregelen op het gebied van cyberveiligheid, incidentbeheer en toezicht voor entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. De wet heeft ook als doel de coördinatie van het overheidsbeleid op het gebied van cyberveiligheid te verbeteren. Artikel 34 van deze wet voorziet in een verplichting om incidenten te melden. De wet specificeert eveneens welke instanties zijn opgericht om die meldingen te ontvangen, cyberdreigingen, kwetsbaarheden en incidenten te monitoren en te analyseren, te reageren op incidenten en bijstand te verlenen aan de betrokken essentiële en belangrijke entiteiten. Die organen zijn het Centrum voor Cybersecurity België en het Nationaal Crisiscentrum. De sectorale overheid voor de gezondheidszorg ontvangt de meldingen die door het CCB worden doorgestuurd. Ze bekijkt die meldingen in de sectorale context van bedreigingen en impact, maar niet met de bedoeling individuele incidenten op te volgen. Dat behoort immers tot het takenpakket van het CCB in de uitvoering van zijn verschillende opdrachten voor NIS2. Tot op heden zijn er vijftien meldingen geregistreerd bij de sectorale overheid voor de gezondheidszorg. Organen die rechtstreeks betrokken zijn bij de behandeling van een incident, zijn niet specifiek voor de ziekenhuis- of gezondheidssector en hun rol bij cyberbeveiligingsincidenten heeft betrekking op alle sectoren die onder de NIS2-richtlijn vallen. We hebben uw vragen aan het CCB gericht en we zullen u de informatie bezorgen zodra we die hebben ontvangen. 

Frieda Gijbels (N-VA): Mijnheer de minister, ik begrijp dat er nog antwoorden volgen. Worden die automatisch toegestuurd of moeten wij daar nog eens naar informeren?

Minister Frank Vandenbroucke: Nee, ik zal proberen mij zo te organiseren dat wij u de informatie toesturen. 

Frieda Gijbels (N-VA): Dat is heel fijn. Ik ben een grote voorstander van nieuwe technologieën en digitalisering. Die kunnen de gezondheidszorg beter, efficiënter, goedkoper en slimmer maken. Ze maken ons echter ook kwetsbaar voor aanvallen, zowel door individuen als door mogendheden die ons niet gunstig gezind zijn. Het is daarom essentieel een strategie te ontwikkelen om die technologieën en uiteindelijk ook onze bevolking te beschermen. Het zijn immers de burgers die het doelwit vormen van dergelijke inbreuken. Ik ben benieuwd naar de cijfers die in voorbereiding zijn en hoop spoedig meer te vernemen over een strategie waarmee wij al onze zorginstellingen optimaal kunnen beveiligen. Dank u wel. 

Bekijk het fragment: https://media.dekamer.be/meeting/56-018679-U0957/fragment/SzSSi_DF-5VN-a2Mmvuu5mTtRaRm0XBEoKluuvCMO2MuZx1FHJ73E_WzdUXwjMmsT1O10f5UW57J55nBe9B7XQvAzMOr-p0-wKoYo6Km7x0