Cyberbeveiligingsregeling in de Zorg

Reactie

Vraag1

Art. 3.1 moet gesplitst worden in een lid 1 en lid 2. Art. 3.1 lid 1 blijft de nu huidige tekst. Art. 3.1 lid 2 zal aangeven dat de maatregelen ook evenredig moeten zijn in het beheer van de cyberrisico's. ISO- en NEN-normen geven alleen de passendheid aan van maatregelen. De evenredigheid is een expliciete toevoeging uit NIS2 die in de huidige concept regeling volledig ontbreekt. Dat gaat dan automatisch leiden tot een onvolledige implementatie en non-compliance met de Cbw.

Een regeling leent zich goed om de kern van NIS2 en dus ook de Cbw te verwoorden waar het gaat om de invulling van de risico gebaseerde aanpak. Het gaat om het beheersen van alle risico's welke relevant zijn voor de entiteit. Dat laat echter onverlet dat iedere entiteit inspanningen moet verrichten om alle gevaren te inventariseren en te evalueren zodat zij kan bepalen welke passende en evenredige maatregelen genomen moeten worden. Ook gevaren die mogelijk niet plausibel geacht worden zouden geëvalueerd moeten worden zodat de eindverantwoordelijken goed geïnformeerde besluiten kunnen nemen. Hierdoor nemen zij hun rol in zoals verwoord in art. 20 NIS2. De regeling zou handvatten moeten bieden aan de specifieke branche voor de invulling van eventuele branche specifieke risico gebaseerde aanpak. De nadere invulling van beheersmaatregelen zoals nu weergegeven in de regeling kunnen een schijn van veiligheid creëren wanneer entiteiten zich alleen maar richten op deze artikelen en zich niet laten leiden door de daadwerkelijke risico's.