7 april 2026 • NIS2
NIS2 is geen toekomstmuziek meer. De richtlijn is van kracht, toezichthouders monitoren actief, en zorgorganisaties in de hele EU zijn wettelijk verplicht om adequate cybersecuritymaatregelen aan te tonen. Voor velen is de vraag niet langer óf ze moeten voldoen, maar waar ze moeten beginnen.
Waarom de gezondheidszorg een prioritaire sector is onder NIS2
NIS2 (Richtlijn inzake netwerk- en informatiesystemen 2) is het EU-kader dat de lat voor cyberbeveiliging in kritieke sectoren hoger legt. De gezondheidszorg wordt expliciet aangemerkt als een essentiële sector, de hoogste risicocategorie binnen de richtlijn. De reden is simpel: een cyberaanval op een ziekenhuis kan levens kosten. Patiëntendossiersystemen, medische apparatuur en de infrastructuur van operatiekamers zijn allemaal afhankelijk van betrouwbare IT. De ransomware-aanval in april 2026 op ChipSoft, maker van het meest gebruikte EPD-systeem van Nederland, laat zien hoe kwetsbaar die afhankelijkheid in de praktijk is.
In de praktijk betekent dit dat zorgorganisaties die onder de reikwijdte vallen, moeten kunnen aantonen dat ze adequate technische en organisatorische maatregelen hebben getroffen. Toezichthouders kunnen de naleving controleren en sancties opleggen bij niet-naleving van verplichtingen.
Welke zorginstellingen vallen onder NIS2?
NIS2 maakt onderscheid tussen essentiële en belangrijke entiteiten. In de gezondheidszorg vallen de volgende soorten organisaties hieronder:
| Soort organisatie | Categorie |
|---|---|
| Ziekenhuizen (algemene en academische) | Essentieel |
| Aanbieders van medische diagnostische diensten (laboratoria) | Essentieel |
| Farmaceutische bedrijven | Essentieel |
| Fabrikanten van medische hulpmiddelen | Essentieel |
| Thuiszorg- en revalidatiecentra (afhankelijk van de grootte) | Belangrijk |
| Instellingen voor geestelijke gezondheidszorg (afhankelijk van de grootte) | Belangrijk |
De omvangdrempels zijn: meer dan 50 werknemers of een jaaromzet of balanstotaal van meer dan 10 miljoen euro. Kleinere organisaties kunnen toch onder de richtlijn vallen als ze door nationale autoriteiten als kritiek worden aangemerkt.
Zelfs organisaties die niet direct onder de regeling vallen, moeten hier rekening mee houden. Als je opdrachtgevers, financiers of grotere partners aan de NIS2-verplichtingen moeten voldoen, zijn zij verplicht om de beveiligingseisen door te geven aan hun toeleveringsketen. Zorgnetwerken en softwareleveranciers worden hierdoor indirect geraakt.
Belangrijke verplichtingen voor zorginstellingen
NIS2 schrijft een breed scala aan maatregelen voor. Voor zorginstellingen zijn de belangrijkste verplichtingen:
Risicoanalyse en beveiligingsbeleid
Je moet de risico’s voor je netwerk en informatiesystemen aantoonbaar in kaart brengen, inclusief de systemen van leveranciers die toegang hebben tot je gegevens. Deze risicoanalyse moet worden gedocumenteerd en up-to-date worden gehouden, en moet formeel worden goedgekeurd op bestuursniveau.
Verplichtingen inzake het melden van incidenten
Ernstige beveiligingsincidenten moeten binnen 24 uur aan de bevoegde autoriteit worden gemeld, en binnen 72 uur moet er een uitgebreider rapport worden ingediend. Hieronder vallen ransomware-aanvallen, inbreuken waarbij patiëntgegevens betrokken zijn en storingen in kritieke systemen.
Beveiliging van de toeleveringsketen
Leveranciers van software, hardware en clouddiensten moeten aan jouw beveiligingseisen voldoen. Dit geldt voor leveranciers van EPD-systemen, fabrikanten van medische hulpmiddelen en externe IT-dienstverleners. NIS2 schrijft voor dat je je belangrijkste leveranciers aan een gedocumenteerde beoordeling moet onderwerpen.
Toegangsbeheer en authenticatie
Meervoudige authenticatie is verplicht voor toegang tot kritieke systemen, zoals patiëntendossiers, beheerdersaccounts en externe werkplekken.
Security awareness training voor personeel
NIS2 vereist expliciet dat organisaties medewerkers trainen in cybersecurity. Dit is in de praktijk een van de meest onderschatte en tegelijkertijd meest impactvolle verplichtingen. De meeste cyberincidenten in de zorg beginnen met menselijk gedrag: phishing, credential misuse of het per ongeluk delen van patiëntgegevens.
Waarom bewustwording rond beveiliging in de gezondheidszorg zo’n bijzondere uitdaging vormt
De zorg heeft te maken met specifieke omstandigheden die cybersecuritytraining ingewikkelder maken dan in de meeste andere sectoren:
- Tijdsdruk – het klinisch personeel heeft tussen de diensten door weinig tijd voor uitgebreide trainingen.
- Groot personeelsverloop – nieuwe medewerkers moeten snel voldoende kennis opdoen.
- Een divers personeelsbestand – van chirurgen tot schoonmaakpersoneel: bij veel functies heb je toegang tot gevoelige systemen of gegevens.
- Medische noodsituaties – veiligheidsprotocollen worden vaker genegeerd als er snel iets moet gebeuren.
Dit vraagt om een aanpak die past bij de zorgomgeving: korte, herhaalbare training modules die aansluiten bij de dagelijkse praktijk van klinisch en ondersteunend personeel, in plaats van generieke IT security content.
Hoe Guardey NIS2 compliance ondersteunt in de zorg
Guardey biedt security awareness training met content die specifiek is ontwikkeld voor de zorgsector. Medewerkers leren phishing te herkennen in een medische context, patiëntgegevens veilig te verwerken en weten wat ze moeten doen bij een vermoedelijk incident, dit alles via korte, toegankelijke modules die passen in een drukke werkdag.
De training sluit aan bij de NIS2-verplichtingen en helpt organisaties niet alleen om aan de wettelijke eisen te voldoen, maar ook om een duurzame beveiligingscultuur in de hele organisatie op te bouwen.
Wil je precies weten wat NIS2 voor jouw zorgorganisatie betekent? De NIS2-gids 2026 zet alle verplichtingen, deadlines en praktische stappen overzichtelijk op een rijtje.
Zorgorganisaties die nu investeren in de juiste awareness aanpak werken niet alleen aan compliance. Ze bouwen aan een organisatie die weerbaarder is tegen de cyberaanvallen die de sector steeds vaker treffen.
Guardey voor de Zorg
Guardey heeft specifieke trainingsmodules ontwikkeld voor zorgpersoneel. Download de brochure of ontdek hoe een programma op maat eruitziet voor jouw zorgorganisatie.