De digitale transformatie brengt nieuwe kansen met zich mee, maar ook aanzienlijke uitdagingen. Voor veel zorgorganisaties is cybersecurity vandaag de dag een zorgenkindje. Om de beveiliging van netwerken en informatiesystemen te versterken, wordt de NIS2-richtlijn in de EU geïntroduceerd.
In deze blogpost krijg je een overzicht van de belangrijkste aandachtspunten. Hiervoor gingen we om de tafel met Bart Saels, teamlead voor de customer-service- en cloud-infrastructuur-teams bij Spikes. Zijn advies: “NIS2 biedt een solide basis voor digitale beveiliging. Zelfs als het nog niet verplicht voor je is, heb je er baat bij om deze richtlijn serieus te nemen. Het helpt je namelijk enorm om je security op orde te krijgen!”
Wat houdt NIS2 eigenlijk in?
NIS2 is een richtlijn inzake de beveiliging van netwerk- en informatiesystemen. Hiermee wil de Europese Unie de digitale veiligheid naar een hoger niveau tillen.
“NIS2 bevat een tiental maatregelen die allemaal nodig zijn om een goede securitybasis te leggen,” vertelt Bart. “Deze maatregelen gaan niet alleen over technologie, maar ook over procedures en beleidsmaatregelen. NIS2 gaat dus veel verder dan IT. Het raakt de hele organisatie — van medewerkers tot klanten en leveranciers.”
Waarom zijn deze maatregelen nu zo belangrijk voor zorgorganisaties? “Zij vallen onder de kritieke sectoren,” legt Bart uit. “Net als banken en overheidsinstellingen kunnen zorgorganisaties enorm getroffen worden door cyberaanvallen.”
Daarom adviseert Bart om nu al stappen te zetten. “Momenteel is het nog niet verplicht, maar waarschijnlijk zal dat vanaf begin 2025 wel het geval zijn. Net zoals bij de GDPR is het verstandig om er alvast mee aan de slag te gaan. Dan heb je een actieplan liggen. Dat is belangrijk met het oog op regelgeving, maar ook in verband met de veiligheid van je organisatie.”
NIS2 gaat dus veel verder dan IT. Het raakt de hele organisatie — van medewerkers tot klanten en leveranciers.
Valt jouw zorgorganisatie onder NIS2?
Als zorgorganisatie val je vrijwel zeker onder NIS2. Daarom is het raadzaam om je over de regelgeving te buigen. “Zorgorganisaties staan hoog op de lijst van kritieke sectoren,” zegt Bart. “Dit betekent dat je vroeg of laat sowieso maatregelen moet nemen.”
Omdat NIS2 vraagt om een solide beveiligingsstrategie, moet je verder denken dan technische oplossingen. Bart geeft een voorbeeld: “Je wilt onder andere procedures implementeren om phishing-aanvallen tegen te gaan. Er zijn veel spammails in omloop waarmee kwaadwillenden gegevens van gebruikers proberen te achterhalen. Deze mails vormen een groot risico. Daarom is het cruciaal om het bewustzijn rondom zulke dreigingen onder medewerkers te vergroten.”
Barts advies: “Start nu met het opstellen van een beveiligingsbeleid. Zet het op papier en zorg dat het door de hele organisatie gedragen wordt. Dit helpt je niet alleen om in de nabije toekomst compliant te zijn, maar ook om jezelf beter te wapenen tegen cyberaanvallen.”
Zorgorganisaties staan hoog op de lijst van kritieke sectoren, dit betekent dat je vroeg of laat sowieso maatregelen moet nemen.
Cyberaanval: de waarde van een sterk fundament
Een solide beveiligingsfundament kan het verschil maken tussen chaos en controle. Bart illustreert dit met een praktijkvoorbeeld: “Bij een zorgorganisatie die klant is van ons, hebben wij dit onlangs ervaren. Een cyberaanval legde de systemen plat. Gelukkig hadden we een sterke basis gelegd met duidelijke securitymaatregelen.”
De aanpak van Spikes omvatte endpoint-management- en security-baselines voor werkplekken en de backend. Omdat de zorgorganisatie al deels was overgegaan naar de Microsoft 365-cloud, kon zij daarin doorwerken. Deze was namelijk niet aangetast door de aanval.
Binnen enkele dagen had Spikes de kritische zaken weer op orde: “Dankzij een goed ingericht fundament konden we basisfunctionaliteiten heel snel herstellen. Enkele weken later hadden we alles weer op rails.”
Deze ervaring benadrukt hoe belangrijk het is om van tevoren robuuste beveiligingsmaatregelen te treffen. “Als zo’n aanval plaatsvindt, kun je niets meer vertrouwen. Zolang je niet weet wat er allemaal besmet is, moet je terugvallen op back-ups — mits deze níet in de besmette omgeving staan. Alles wat is aangetast, moet je volledig opnieuw opbouwen. In dit geval was het dus zeer gunstig dat de organisatie deels met Microsoft cloud bezig was, zowel Microsoft 365 als Azure. Dit toont aan dat je met een stevig fundament sneller en efficiënter kunt reageren.”
Cloud-infrastructuur: onmisbaar voor cybersecurity
Tegenwoordig is een goede cloud-infrastructuur eigenlijk onlosmakelijk verbonden met cybersecurity. “Bij Spikes maken we gebruik van de Microsoft Cloud-stack,” vertelt Bart. “Wij gebruiken voornamelijk Microsoft 365, Azure en Microsoft Defender .” Zo biedt Spikes een solide aanpak voor beveiliging en beheer, waardoor organisaties hun netwerken effectief kunnen beschermen.
Daarnaast besteedt Spikes aandacht aan Microsoft Secure Scores, waarmee je bijvoorbeeld een score kunt toekennen aan je Microsoft 365-omgeving of Microsoft Azure. “Deze scores bieden inzicht in waar de organisatie staat qua security,” legt Bart uit. “Ze geven een zeer eerlijke weergave van de realiteit. Je ziet snel wat de voornaamste zorgen zijn rondom security. Op basis daarvan creëer je makkelijk een top drie of top vijf van actiepunten, waarmee je concreet aan de slag kunt.”
Benieuwd welke impact NIS2 op jouw zorgorganisatie heeft wanneer je ermee aan de slag gaat? Dat bespreken we in deel 2 van deze blogserie!
Bart Saels
Team lead Customer Service & Cloud Infra