Waarom ziekenhuizen onvoldoende beschermd worden tegen cyberaanvallen

Cyberaanvallen ziekenhuizen

Hoewel informatiebeveiliging bij tal van bedrijven en sectoren hoog op de agenda staat, blijken bepaalde sectoren hierbij nog steeds onvoldoende ondersteuning te krijgen. De gezondheidssector is zo’n voorbeeld daarvan, meer specifiek de ziekenhuizen in België.

In 2016 werd een Europese richtlijn opgesteld voor de beveiliging van netwerk- en informatiesystemen binnen essentiële diensten en digitale dienstverleners. Het doel is om een hoog gemeenschappelijk niveau van beveiliging voor deze systemen in de Europese Unie te bekomen.

In België werd deze richtlijn omgezet naar de nationale NIS-wet die specifiek definieert welke sectoren en entiteiten in België beschouwd worden als Aanbieder van Essentiële Diensten (AED). Denk hierbij aan de energie- en transportsector, financiële instellingen, de drinkwatersector én de gezondheidszorg. Deze wet garandeert dat deze diensten in het geval van een cyberincident meteen professionele hulp en ondersteuning krijgen.

Om effectief als AED gezien te worden en te voldoen aan de nieuwe wetgeving, dient de overheid de leverancier aan te duiden. Tot deze aanduiding gaat het slechts om een ‘potentiële aanbieder’, en daar liep het mis. De Federale Minister bevoegd voor Volksgezondheid heeft de zorginstellingen niet aangeduid als AED waardoor zij een uitzondering zijn en niet verplicht worden te voldoen aan de NIS-Wet. Dat zorgt ervoor dat de keuze bij de zorginstellingen zelf ligt, wat niet wil zeggen dat elke zorginstelling de NIS-wetgeving niet toepast.

Het gevolg hiervan is dat ziekenhuizen geen officiële meldplicht hebben aan de federale overheid wanneer zich een cyberincident voordoet. Net die melding zorgt ervoor dat bij een ernstig incident eenvoudig beroep kan gedaan worden op de cyberspecialisten van het Federaal Cyber Emergency Team (CERT.be) dat deel uitmaakt van het Centrum Cybersecurity België (CCB) om hen daarin bij te staan.

Onze minister van Volksgezondheid liet in een reactie via de pers weten dat men naar aanleiding van een recent cyberincident in een ziekenhuis opnieuw overleg gaat plegen met de sector. Momenteel is het wachten op een mogelijke NIS-2 richtlijn waar een aanpak op maat van de ziekenhuissector zal voorzien worden.

SpotIT wil de vertrouwde partner zijn voor elke onderneming, binnen élke sector. Samen zorgen wij voor een betere beveiliging van het bedrijfsnetwerk, een hoger bewustzijn rond cyberveiligheid, en professionele bijstand in het geval van ernstige incidenten.

SpotIT kan u bijstaan voor een NIS-assessment en implementatietraject om de verplichtingen als essentiële en digitale dienstverlener in kaart te brengen. Verder kunnen we u steeds bijstaan met het aanstellen van een Chief Information Security Officer (CISO) en Data Protection Officer (DPO).

Als u nog vragen heeft, neem gerust contact op.

ICONS