De Europese Commissie presenteerde in januari 2025 een ambitieus actieplan om de cyberweerbaarheid van zorginstellingen in Europa te versterken. De reden: het aantal cyberaanvallen in de zorgsector is in korte tijd explosief gestegen. In 2023 werden meer dan 300 grote incidenten gemeld.
Met dit actieplan wil de Commissie zorgaanbieders helpen om hun beveiliging te verbeteren. Tegelijkertijd sluit het plan direct aan op bestaande en aankomende Europese wetgeving, zoals de NIS2-richtlijn, de AI Act, de Cyber Resilience Act (CRA) en de Medical Device Regulation (MDR).
Voor zorginstellingen in Nederland betekent dit dat cybersecurity geen IT-project is, maar een verplicht juridisch en organisatorisch thema. De verantwoordelijkheid reikt van het bestuur tot de IT-manager en de zorgverlener zelf.
Het actieplan van de Europese Commissie bestaat uit vier pijlers:
Daarnaast komt er een European Cybersecurity Support Centre, gericht op de zorgsector. Dat centrum gaat instellingen ondersteunen bij naleving van wetgeving en het opzetten van passende beveiligingsmaatregelen.
Het actieplan van de Europese Commissie is beleidsmatig van aard, maar raakt direct aan bestaande wet- en regelgeving. Zo vallen zorginstellingen onder de NIS2-richtlijn en zijn zij verplicht om risico’s te beheersen, hun leveranciers te toetsen en ernstige cyberincidenten binnen 24 uur te melden. De AI Act verplicht instellingen die gebruikmaken van hoog-risico AI-systemen tot transparantie, uitlegbaarheid en cybersecurity-by-design. Hoewel de Cyber Resilience Act vooral van toepassing is op softwarefabrikanten, moeten zorgorganisaties als afnemers controleren of hun leveranciers voldoen aan de eisen. Daarnaast blijft de MDR (Medical Device Regulation) van kracht voor software die kwalificeert als medisch hulpmiddel. Deze moet voldoen aan CE-markeringseisen, waarbij veiligheid en prestaties inclusief cybersecurity aantoonbaar geborgd zijn. De AVG (Algemene Verordening Gegevensbescherming) verplicht zorginstellingen bovendien om passende technische en organisatorische beveiligingsmaatregelen te treffen.
De combinatie van actieplan en wetgeving betekent dat zorginstellingen nú stappen moeten zetten:
Om zorginstellingen te helpen bij deze complexe juridische kaders, bieden wij de opleiding Certified Health Compliance Officer aan. Deze opleiding is gericht op professionals in de zorg, van jurist tot informatiemanager.
Je leert onder andere:
Deelnemers bouwen aan concrete expertise én een structurele aanpak van digitale compliance in de zorg.
Cybersecurity in de zorg is niet langer een technische bijzaak. De Europese regelgeving – versterkt door het nieuwe actieplan – vereist aantoonbare maatregelen op juridisch, organisatorisch én technologisch vlak. Nederlandse zorginstellingen doen er verstandig aan om nu werk te maken van hun digitale weerbaarheid.
Wil je hulp bij het in kaart brengen van je juridische verplichtingen of zoek je ondersteuning bij implementatie? Neem contact met ons op.
Aan de slag met cybersecuritywetgeving? Download onze NIS2-cheatsheet en zie in één oogopslag welke stappen je moet nemen om te voldoen aan de richtlijn.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.