Nu de implementatie van de NIS2-richtlijn in Nederland in een vergevorderd stadium is, komt de Cyberbeveiligingswet (Cbw) snel dichterbij. De Tweede Kamer heeft op 15 april 2026 ingestemd met het wetsvoorstel en momenteel ligt het bij de Eerste Kamer. Inwerkingtreding van de Cbw per 1 juli 2026 lijkt daarmee aannemelijk.
Voor veel organisaties is NIS2 inmiddels geen onbekend onderwerp meer. Met de komst van de Cbw wordt echter steeds concreter wat er in de praktijk van organisaties wordt verwacht. Juist dat leidt tot nieuwe vragen, zeker bij zorgorganisaties die al werken met NEN 7510.
Met de recente A1-update van NEN 7510-2 is daarbij een interessant hulpmiddel beschikbaar gekomen: een directe mapping tussen de norm en de wettelijke verplichtingen uit de Cbw en het Cyberbeveiligingsbesluit (Cbb). Deze mapping maakt inzichtelijk in hoeverre bestaande NEN 7510-controls al invulling geven aan de eisen uit de Cbw. Voor organisaties die al met NEN 7510 werken, biedt dit een praktisch startpunt om te bepalen waar zij al voldoen en waar nog aanvullende maatregelen nodig zijn.
De vier kernverplichtingen
De NIS2-richtlijn draait in de kern om vier centrale verplichtingen voor organisaties: governance, zorgplicht, meldplicht en registratieplicht.
Governance ziet op de bestuurlijke verantwoordelijkheid voor cyberbeveiliging. Het bestuur moet actief betrokken zijn bij het beoordelen van informatiebeveiligingsrisico’s, het formeel goedkeuren van passende beveiligingsmaatregelen en het toezien op de implementatie daarvan. De zorgplicht verplicht organisaties om passende en evenredige beveiligingsmaatregelen te treffen voor de bescherming van netwerken en informatiesystemen. De meldplicht schrijft voor dat significante incidenten tijdig moeten worden gemeld bij de toezichthouder. Tot slot vereist de registratieplicht dat NIS2-entiteiten zich registreren in het entiteitenregister van het NCSC.
Deze vier kernverplichtingen vormen de basis van de wetgeving en komen grotendeels terug in de manier waarop de mapping in NEN 7510-2:2024+A1:2026 is opgebouwd. Opvallend is dat de registratieplicht hierin ontbreekt. De mapping focust zich vooral op de beveiligings- en governanceverplichtingen uit de Cbw en niet op de registratieplicht, aangezien de registratieplicht primair een wettelijke registratieverplichting betreft en geen directe organisatorische of technische beveiligingsmaatregel binnen NEN 7510.
De praktische waarde van de mapping
In de mapping zijn deze kernverplichtingen vertaald naar concrete thema’s en domeinen (zie NEN 7510-2:2024+A1:2026, bijlage E, tabel E.1, p. 273). Deze tabel bestaat uit meerdere kolommen waarin de relatie tussen wetgeving en norm inzichtelijk wordt gemaakt. Onder het thema wordt de relevante kernverplichting uit de NIS2 en de Cyberbeveiligingswet benoemd. Het domein geeft aan op welk onderwerp de verplichting betrekking heeft. In de kolom juridische grondslag wordt verwezen naar de bijbehorende wetsartikelen uit de Cbw en het Cbb. Tot slot wordt onder gezondheidszorg inzichtelijk gemaakt welke onderdelen van NEN 7510-1 en NEN 7510-2 hierop aansluiten.
Voor zorgorganisaties die al werken met NEN 7510 is deze mapping bijzonder relevant. De kans is groot dat bestaande maatregelen al gedeeltelijk invulling geven aan de eisen uit de Cyberbeveiligingswet. De tabel kan daarom goed worden gebruikt als basis voor een gerichte gap-analyse. Door per wettelijke verplichting te bekijken welke NEN 7510-controls hieraan gekoppeld zijn, ontstaat snel inzicht in waar de organisatie al voldoet en waar nog aanvullende maatregelen nodig zijn. Daarbij is het belangrijk om niet alleen te kijken naar de aanwezigheid van beleid en procedures, maar vooral ook naar de vraag in hoeverre deze aantoonbaar zijn geïmplementeerd en effectief functioneren.
Wat is er nieuw in de A1-update?
De wijziging NEN 7510-2:2024 + A1:2026 introduceert aanvullende zorgspecifieke richtlijnen die nadrukkelijk aansluiten op de eisen uit de Cbw en Cbb. De A1-update bevat onder meer aanvullingen op de zorgspecifieke richtlijnen in: 5.12, 5.15, 5.16, 5.30, 5.34, 6.3, 6.8 en 6.9. Hieronder lichten wij de belangrijkste toe en wat deze betekenen voor de praktijk.
5.12 Genetische en biometrische gegevens verdienen extra aandacht
De update benadrukt dat genetische en biometrische gegevens een aparte classificatie verdienen, zeker wanneer wet en regelgeving daar onvoldoende houvast voor biedt. Voor zorgorganisaties is dit direct relevant: denk aan DNA gegevens, vingerafdrukken voor toegangscontrole of gezichtsherkenning. Deze gegevens vallen onder de zwaarste categorie van de AVG en vragen om expliciete classificatie en aanvullende beschermingsmaatregelen.
5.15 Toegangsbeveiliging afgestemd op zorgprocessen
Toegangsbeveiligingsbeleid moet nadrukkelijk aansluiten op rollen en werkprocessen binnen de zorg. Dit klinkt vanzelfsprekend, maar in de praktijk zien wij vaak dat toegangsrechten historisch zijn gegroeid en niet meer aansluiten bij de werkelijke functie van medewerkers. De norm vraagt nu uitdrukkelijk dat rechten worden afgestemd op de daadwerkelijke zorgbehoeften: niet meer, niet minder. Zero trust als uitgangspunt is hiermee feitelijk verankerd in de norm.
5.16 Verificatie van beroepsmatige competenties
In de zorg gaat identiteitsbeheer verder dan alleen een gebruikersnaam en wachtwoord. Beroepsmatige competenties moeten worden geverifieerd via relevante registratie instanties, zoals het BIG register. Dit is relevant bij het onboarden van nieuwe medewerkers, maar ook bij het inzetten van tijdelijk of extern personeel. Digitale certificaten kunnen hierbij een rol spelen. Voor veel zorgorganisaties betekent dit dat het HR-proces en het toegangsbeheer proces nadrukkelijker op elkaar moeten worden afgestemd.
5.34 Elke toegang tot patiëntgegevens moet worden gelogd
Dit is een van de meest impactvolle wijzigingen voor de dagelijkse praktijk. De update vereist dat alle toegang tot persoonlijke gezondheidsinformatie wordt geregistreerd, inclusief noodtoegang waarbij normale toegangsbeperkingen worden omzeild. Verdachte patronen, zoals het herhaaldelijk bekijken van dossiers zonder duidelijke zorgnoodzaak, moeten automatisch een alarmering genereren die direct wordt onderzocht. Voor organisaties zonder geavanceerde logging en monitoring is dit een aanzienlijke opgave.
6.3 Social engineering: een specifiek zorgrisico
Social engineering wordt expliciet benoemd als een bijzonder risico voor zorgorganisaties. Aanvallers imiteren niet alleen IT-medewerkers, maar ook clinici, familieleden van patiënten of zelfs politiemedewerkers. De norm vereist nu expliciet dat training en bewustwording hierop zijn afgestemd en dat medewerkers worden gestimuleerd om pogingen tot social engineering direct te melden, ook als de poging niet is geslaagd. Een generieke phishingtest volstaat hier niet meer. Dit vraagt om scenario gebaseerde training die aansluit bij de zorgcontext.
6.8 Melden zonder angst
Effectief incidentbeheer begint bij het melden van incidenten. De update benadrukt dat de drempel voor melden zo laag mogelijk moet zijn en dat medewerkers geen angst mogen hebben voor beschuldigingen. Organisaties worden aangespoord om anoniem melden technisch mogelijk te maken. Dit vraagt om een cultuurverandering waarbij open communicatie over incidenten actief wordt gestimuleerd.
6.9 Bestuurders moeten oefenen met crisisscenario's
Ook bestuurders en managementteams moeten aantoonbaar voorbereid zijn op cybercrisissen. Managementtraining moet voortaan simulaties van crisismanagement omvatten, expliciet gericht op cyberincidenten zoals ransomware aanvallen en datalekken. Wat dit extra relevant maakt, is dat 6.9 in de nieuwe mapping is gekoppeld aan het governance thema onder de Cbw. Dit betekent dat bestuurders niet alleen moeten worden getraind, maar ook aantoonbaar moeten hebben geoefend. Een tabletop oefening is daarmee geen nice to have, maar een bestuurlijke verplichting die bij toezicht kan worden getoetst.
De rode draad
Wie de wijzigingen overziet, ziet een duidelijke lijn: de A1-update maakt informatiebeveiliging in de zorg persoonlijker, procesgerichter en aantoonbaarder. Het gaat niet langer alleen om technische maatregelen, maar om de vraag of de juiste mensen, met de juiste rechten, op de juiste manier omgaan met gevoelige informatie, en of dat aantoonbaar is vastgelegd en geoefend. Dat is precies waar de Cbw op toetst.
Benieuwd hoe jouw organisatie ervoor staat?
Met strengere regels en groeiende risico's is dit hét moment om je data en privacy onder de loep te nemen. Wij helpen je graag ontdekken waar kansen liggen om compliant én weerbaar te zijn.
