Cybersecurity in de zorg: wat vraagt het nieuwe actieplan van de Europese Commissie van Nederlandse zorginstellingen?

De Europese Commissie presenteerde in januari 2025 een ambitieus actieplan om de cyberweerbaarheid van zorginstellingen in Europa te versterken. De reden: het aantal cyberaanvallen in de zorgsector is in korte tijd explosief gestegen. In 2023 werden meer dan 300 grote incidenten gemeld.

Met dit actieplan wil de Commissie zorgaanbieders helpen om hun beveiliging te verbeteren. Tegelijkertijd sluit het plan direct aan op bestaande en aankomende Europese wetgeving, zoals de NIS2-richtlijn, de AI Act, de Cyber Resilience Act (CRA) en de Medical Device Regulation (MDR).

Voor zorginstellingen in Nederland betekent dit dat cybersecurity geen IT-project is, maar een verplicht juridisch en organisatorisch thema. De verantwoordelijkheid reikt van het bestuur tot de IT-manager en de zorgverlener zelf.

Wat staat er in het Europese actieplan voor cybersecurity?

Het actieplan van de Europese Commissie bestaat uit vier pijlers:

  • Preventie: investeren in bewustwording, risicobeheer en training;
  • Detectie: opzetten van een EU-brede waarschuwingsdienst (vanaf 2026);
  • Reactie en herstel: betere samenwerking met nationale CSIRTs en het Europese ENISA;
  • Afschrikking: maatregelen tegen kwaadwillende cyberaanvallen.

Daarnaast komt er een European Cybersecurity Support Centre, gericht op de zorgsector. Dat centrum gaat instellingen ondersteunen bij naleving van wetgeving en het opzetten van passende beveiligingsmaatregelen.

Verhouding tot wet- en regelgeving

Het actieplan van de Europese Commissie is beleidsmatig van aard, maar raakt direct aan bestaande wet- en regelgeving. Zo vallen zorginstellingen onder de NIS2-richtlijn en zijn zij verplicht om risico’s te beheersen, hun leveranciers te toetsen en ernstige cyberincidenten binnen 24 uur te melden. De AI Act verplicht instellingen die gebruikmaken van hoog-risico AI-systemen tot transparantie, uitlegbaarheid en cybersecurity-by-design. Hoewel de Cyber Resilience Act vooral van toepassing is op softwarefabrikanten, moeten zorgorganisaties als afnemers controleren of hun leveranciers voldoen aan de eisen. Daarnaast blijft de MDR (Medical Device Regulation) van kracht voor software die kwalificeert als medisch hulpmiddel. Deze moet voldoen aan CE-markeringseisen, waarbij veiligheid en prestaties inclusief cybersecurity aantoonbaar geborgd zijn. De AVG (Algemene Verordening Gegevensbescherming) verplicht zorginstellingen bovendien om passende technische en organisatorische beveiligingsmaatregelen te treffen.

Wat kunnen zorginstellingen nu doen?

De combinatie van actieplan en wetgeving betekent dat zorginstellingen nú stappen moeten zetten:

  • Start met een risico-inventarisatie volgens NIS2;
  • Beoordeel softwareleveranciers op CRA- en MDR-vereisten;
  • Breng AI-toepassingen in kaart ;en bepaal de risicoklasse volgens de AI Act;
  • Herzie interne governance: compliance, IT en beleid moeten samenwerken;
  • Zorg voor aantoonbare awareness en training in de hele organisatie.

Volg de opleiding tot Certified Health Compliance Officer

Om zorginstellingen te helpen bij deze complexe juridische kaders, bieden wij de opleiding Certified Health Compliance Officer aan. Deze opleiding is gericht op professionals in de zorg, van jurist tot informatiemanager.

Je leert onder andere:

  • Hoe je NIS2 praktisch implementeert;
  • Hoe je AI-systemen juridisch en ethisch beoordeelt;
  • Hoe je contractueel borgt dat softwareleveranciers voldoen aan de CRA en MDR;
  • Hoe je toezicht en meldplichten organiseert.

Deelnemers bouwen aan concrete expertise én een structurele aanpak van digitale compliance in de zorg.

Samengevat

Cybersecurity in de zorg is niet langer een technische bijzaak. De Europese regelgeving – versterkt door het nieuwe actieplan – vereist aantoonbare maatregelen op juridisch, organisatorisch én technologisch vlak. Nederlandse zorginstellingen doen er verstandig aan om nu werk te maken van hun digitale weerbaarheid.

Wil je hulp bij het in kaart brengen van je juridische verplichtingen of zoek je ondersteuning bij implementatie? Neem contact met ons op.

Aan de slag met cybersecuritywetgeving? Download onze NIS2-cheatsheet en zie in één oogopslag welke stappen je moet nemen om te voldoen aan de richtlijn.

Downloaden

Terug naar overzicht