NIS2based
Terug naar kennisbank
2 juni 20264 min lezenSectoren

NIS2 in de zorg: wat betekent de Cyberbeveiligingswet voor zorgorganisaties?

Gezondheidszorg valt onder de zwaarste NIS2-categorie. Wat betekent de Cyberbeveiligingswet voor ziekenhuizen, klinieken en zorgaanbieders, hoe verhoudt het zich tot NEN 7510, en wat moet je regelen?

De zorg is een geliefd doelwit voor cyberaanvallen: patiëntgegevens zijn waardevol en de continuïteit van zorg is letterlijk van levensbelang. Niet voor niets valt gezondheidszorg onder de zwaarste categorie van NIS2. In dit artikel lees je wat de Nederlandse Cyberbeveiligingswet (verwacht op 1 juli 2026) betekent voor zorgorganisaties, hoe het zich verhoudt tot NEN 7510, en wat je concreet moet regelen.

Wil je direct weten of jouw zorgorganisatie eronder valt? Doe de gratis NIS2-check — in 2 minuten heb je antwoord.

Valt jouw zorgorganisatie onder NIS2?

Gezondheidszorg staat in Annex I van de NIS2-richtlijn: de sectoren met hoge kritikaliteit (zie het volledige overzicht van NIS2-sectoren). Of je er daadwerkelijk onder valt, hangt af van twee dingen:

  1. Sector — je levert gezondheidszorg (denk aan ziekenhuizen, klinieken, zorgaanbieders, laboratoria).
  2. Omvang — je bent minimaal middelgroot: ≥50 medewerkers óf ≥€10 miljoen omzet/balanstotaal.

Een groot ziekenhuis valt als essentiële entiteit onder het zwaarste toezicht- en boeteregime. Kleinere zorgaanbieders — veel huisartsen-, tandarts- en fysiopraktijken — vallen vaak níét direct onder de wet, maar krijgen er wel mee te maken via leveranciers- en ketenrelaties. Lees daarover NIS2 als toeleverancier.

Wat is er specifiek voor de zorg van belang?

De algemene NIS2-verplichtingen — zorgplicht, meldplicht en registratie — gelden ook hier, maar de zorg kent een paar accenten:

  • Continuïteit van zorg — uitval van EPD's, medische apparatuur of netwerken raakt direct de patiëntveiligheid. Bedrijfscontinuïteit en herstel na incidenten wegen extra zwaar.
  • Patiëntgegevens — bijzondere persoonsgegevens onder de AVG. NIS2 en privacywetgeving versterken elkaar hier.
  • Medische apparatuur en IoT — vaak verouderde of moeilijk te patchen systemen die toch aan het netwerk hangen.
  • Ketenafhankelijkheid — softwareleveranciers, EPD-aanbieders en clouddiensten zijn een belangrijk risico.

NIS2 en NEN 7510: wat dekt je al?

Veel zorgorganisaties werken al met NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg. Goed nieuws: dat is een sterke basis. NEN 7510 (gebaseerd op ISO 27001) dekt een groot deel van de NIS2-zorgplicht al af — risicomanagement, toegangsbeheer, beleid en incidentbeheer.

Let wel op de NIS2-specifieke accenten die niet één-op-één in NEN 7510 zitten:

  • de meldplicht met de strakke termijnen (24 uur / 72 uur / 1 maand);
  • expliciete bestuurlijke aansprakelijkheid;
  • ketenbeveiliging met contractuele eisen aan leveranciers.

Een volledige vergelijking per standaard vind je in NIS2 vs ISO 27001, NEN 7510 en BIO 2.0.

Wat moet je als zorgorganisatie doen?

  1. Bepaal je positie met de gratis NIS2-check: val je direct onder de wet, en als essentiële of belangrijke entiteit?
  2. Meet je rijpheid met de gap-analyse tegen de tien NCSC-zorgplichtmaatregelen.
  3. Bouw voort op NEN 7510 en dicht de NIS2-specifieke gaten (meldproces, ketenbeveiliging, bestuurlijke verankering).
  4. Borg de continuïteit van kritieke systemen: back-ups, herstelprocedures en oefeningen.
  5. Werk de basis bij met de whitepaper: de 10 stappen naar NIS2-compliance.

Volgende stap: doe de gratis check en daarna de gap-analyse — binnen een half uur weet je waar je zorgorganisatie staat.

Veelgestelde vragen

Valt mijn huisartsenpraktijk of tandartspraktijk onder NIS2? Meestal niet direct: de meeste eerstelijnspraktijken zijn te klein (minder dan 50 medewerkers en minder dan €10 miljoen omzet) om rechtstreeks onder de Cyberbeveiligingswet te vallen. Je kunt er wel indirect mee te maken krijgen via samenwerkingsverbanden, ketenpartners of leverancierseisen. Doe de NIS2-check voor zekerheid.

Is een ziekenhuis een essentiële of belangrijke entiteit? Een groot ziekenhuis is doorgaans een essentiële entiteit, omdat gezondheidszorg in Annex I (hoge kritikaliteit) valt en grote organisaties onder het zwaarste regime vallen. Dat betekent proactief toezicht en de hoogste boetes.

Voldoe ik aan NIS2 als ik NEN 7510-gecertificeerd ben? Voor een groot deel wel. NEN 7510 dekt veel van de zorgplicht, maar niet alles — met name de meldplicht, bestuurlijke aansprakelijkheid en ketenbeveiliging vragen extra aandacht. Controleer de gaten met de gap-analyse.

Hoe verhoudt NIS2 zich tot de AVG voor patiëntgegevens? Ze vullen elkaar aan. De AVG beschermt persoonsgegevens; NIS2 richt zich op de weerbaarheid van je netwerk- en informatiesystemen. Een datalek met patiëntgegevens kan onder beide wetten meldingsplichtig zijn.

Wanneer treedt de Cyberbeveiligingswet in werking? De wet wordt verwacht op 1 juli 2026. Een volledig overzicht van de tijdlijn vind je in NIS2-deadline: wanneer treedt de Cyberbeveiligingswet in werking?.

Gratis whitepaper · 12 pagina's

De 10 stappen naar NIS2-compliance

Per maatregel: wat het is, concrete acties, en de valkuil. Direct als PDF in je inbox.

Vraag de whitepaper aan
Nieuwsbrief

Blijf op de hoogte van NIS2

Periodiek de belangrijkste updates over de Cyberbeveiligingswet, plus praktische tips voor het MKB. Geen spam, uitschrijven kan altijd.

Door je in te schrijven ga je akkoord met onze verwerking van je e-mailadres. Geen spam, makkelijk uitschrijven.