Cyberbeveiligingswet 2026: wat betekent de NIS2 voor uw zorgpraktijk?

Cyberbeveiligingswet 2026: wat betekent de NIS2 voor uw zorgpraktijk?

De Europese NIS2-richtlijn wordt naar verwachting in het tweede kwartaal van 2026 omgezet in de Nederlandse Cyberbeveiligingswet. Voor huisartsenpraktijken, apotheken en GGZ-instellingen heeft dit directe gevolgen. In dit artikel leggen we uit wat er verandert, of uw praktijk eronder valt en welke stappen u nu al kunt nemen.

De zorgsector is doelwit nummer één

Het dreigingslandschap voor de Nederlandse zorg is de afgelopen jaren ingrijpend veranderd. Volgens een rapport van Check Point Software Technologies werd de gezondheidszorg in het eerste kwartaal van 2025 gemiddeld 3.164 keer per week aangevallen — waarmee de sector tot de top drie meest getroffen sectoren in Nederland behoort. Landelijk steeg het aantal cyberaanvallen in diezelfde periode met 53 procent.

Die cijfers zijn niet abstract. In 2025 registreerde Z-CERT, het expertisecentrum voor cybersecurity in de zorg, minstens tien succesvolle cyberaanvallen op Nederlandse zorgorganisaties. Het meest spraakmakende incident was de datadiefstal bij laboratorium Clinical Diagnostics, waarbij gegevens van 485.000 Nederlanders werden buitgemaakt. Maar ook kleinere incidenten — bij ziekenhuizen, leveranciers van alarmknoppen en toeleveranciers — lieten zien hoe kwetsbaar de gehele zorgketen is.

De boodschap is helder: cyberdreigingen raken niet alleen grote ziekenhuizen. Ook huisartsenpraktijken, apotheken en GGZ-instellingen zijn een doelwit. Juist omdat zij werken met gevoelige patiëntgegevens, kritische zorgsystemen en vaak een beperkt ICT-team hebben.

Wat is de Cyberbeveiligingswet (NIS2)?

De NIS2-richtlijn — voluit Network and Information Security Directive 2 — is een Europese richtlijn die de digitale weerbaarheid van organisaties in de EU moet versterken. Het is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016, maar dan breder, strenger en geldend voor veel meer organisaties.

In Nederland wordt de NIS2 omgezet in de Cyberbeveiligingswet (Cbw). Het wetsvoorstel is op 4 juni 2025 ingediend bij de Tweede Kamer en treedt naar verwachting in het tweede kwartaal van 2026 in werking. De zorgsector is expliciet aangewezen als een van de sectoren die onder deze wet vallen.

Waar de vorige richtlijn zich vooral richtte op grote, vitale organisaties, geldt de Cyberbeveiligingswet voor een veel grotere groep. Middelgrote en grote organisaties in sectoren als energie, transport, digitale infrastructuur — én gezondheidszorg — moeten straks aantonen dat hun digitale beveiliging op orde is.

Valt uw zorgpraktijk onder de Cyberbeveiligingswet?

Of uw organisatie onder de wet valt, hangt af van twee criteria:

1. Sector Uw organisatie moet actief zijn in een van de aangewezen deelsectoren. Voor de zorg zijn dat: zorgaanbieders, organisaties die onderzoek doen naar geneesmiddelen, farmaceuten en fabrikanten van medische hulpmiddelen.

2. Omvang Uw organisatie heeft minimaal 50 medewerkers (FTE) in dienst. Of, als dat niet het geval is, een jaaromzet én een balanstotaal van meer dan 10 miljoen euro.

Voldoet uw organisatie aan beide voorwaarden? Dan valt u als belangrijke entiteit onder de Cyberbeveiligingswet. Grotere organisaties — met meer dan 250 medewerkers of een jaaromzet boven de 50 miljoen euro — worden aangemerkt als essentiële entiteit, met een intensiever toezichtregime.

Wat als uw praktijk kleiner is?

Veel huisartsenpraktijken en apotheken zullen als zelfstandige entiteit niet direct onder de wet vallen vanwege hun omvang. Toch is het verstandig om de Cyberbeveiligingswet als leidraad te gebruiken. Want als onderdeel van een grotere zorgketen worden er steeds vaker eisen gesteld aan de beveiliging van alle schakels. Denk aan zorggroepen, regionale samenwerkingsverbanden of apotheekketens die wél onder de wet vallen en hun ketenpartners vragen om aantoonbare beveiliging.

Bovendien: de normen die de Cyberbeveiligingswet voorschrijft — zoals NEN 7510 en de AVG — gelden nu al voor elke zorgverlener, ongeacht de omvang. De wet voegt daar vooral een meldplicht, een zorgplicht en een bewijsplicht aan toe.

De drie pijlers van de Cyberbeveiligingswet

De Cyberbeveiligingswet introduceert drie hoofdverplichtingen voor organisaties die eronder vallen:

1. Zorgplicht: passende beveiligingsmaatregelen nemen

Uw organisatie moet passende technische, operationele en organisatorische maatregelen nemen om de risico's voor uw netwerk- en informatiesystemen te beheersen. Concreet betekent dit onder andere: het uitvoeren van risicoanalyses, het inrichten van toegangsbeheer, het implementeren van monitoring en logging, het zorgen voor supply chain security en het treffen van encryptiemaatregelen.

Belangrijk: het bestuur of de directie is hier persoonlijk verantwoordelijk voor. Bij niet-naleving kunnen de Inspectie Gezondheidszorg en Jeugd (IGJ) een last onder dwangsom of een boete tot 25.000 euro opleggen — aan de bestuurder persoonlijk.

2. Meldplicht: cyberincidenten snel melden

Bij een ernstig cyberincident moet uw organisatie binnen 24 uur een eerste melding (early warning) doen bij het Nationaal Cyber Security Centrum (NCSC). Binnen 72 uur volgt een uitgebreidere melding met informatie over het incident, de impact en de genomen maatregelen. Binnen één maand levert u een eindrapport aan.

3. Bewijsplicht: aantoonbare compliance

Het is niet langer voldoende om te zeggen dat uw beveiliging op orde is — u moet het ook kunnen aantonen. Dat betekent gedocumenteerd beleid, vastgelegde risicoanalyses, aantoonbare maatregelen en inzicht in uw beveiligingsstatus.

Wat betekent dit voor uw dagelijkse praktijk?

Voor veel zorgpraktijken voelt dit misschien overweldigend. Maar als we het vertalen naar de dagelijkse praktijk, gaat het om herkenbare onderwerpen:

Weet u wie er toegang heeft tot uw patiëntgegevens?

Een goed toegangsbeleid begint bij de vraag: wie mag wat zien, en waarom? In veel praktijken hebben medewerkers meer toegangsrechten dan strikt noodzakelijk. De Cyberbeveiligingswet vraagt om een bewuste, gedocumenteerde aanpak van toegangsbeheer.

Zijn uw systemen altijd up-to-date?

Verouderde software is een van de meest voorkomende ingangen voor cyberaanvallen. Het regelmatig doorvoeren van beveiligingsupdates — bij voorkeur buiten openingstijden — is geen optie meer, maar een verplichting.

Herkent uw team een phishingmail?

Menselijk handelen is vaak de zwakste schakel. Phishing, social engineering en het onbedoeld delen van inloggegevens zijn veelvoorkomende oorzaken van incidenten. De wet verwacht dat organisaties hun medewerkers trainen en bewust maken van digitale risico's.

Heeft u een plan voor als het misgaat?

De meldplicht binnen 24 uur vereist dat u een incidentresponsplan klaar heeft liggen. Wie belt u als uw systemen platliggen? Hoe communiceert u met patiënten? Hoe zorgt u dat de zorgverlening doorgaat? Z-CERT noemt dit een "digitaal noodpakket" — en stelt dat het geen luxe is, maar een basisvoorwaarde.

Zijn uw leveranciers betrouwbaar?

De Cyberbeveiligingswet kijkt niet alleen naar uw eigen organisatie, maar ook naar uw toeleveringsketen. De contracten die u heeft met ICT-leveranciers moeten aantoonbaar voldoen aan de beveiligingsnormen. Vage SLA's, onduidelijke verantwoordelijkheden bij incidenten of onvoldoende afspraken over monitoring en datalocatie zijn straks niet meer acceptabel.

NEN 7510, AVG en de Cyberbeveiligingswet: hoe verhouden ze zich?

Als zorgverlener heeft u al te maken met de AVG (Algemene Verordening Gegevensbescherming) en de NEN 7510, de norm voor informatiebeveiliging in de zorg. De Cyberbeveiligingswet vervangt deze niet, maar komt er bovenop.

De NEN 7510 en ISO 27001 worden door de overheid expliciet genoemd als goed startpunt voor het voldoen aan de Cyberbeveiligingswet. Organisaties die deze normen al serieus hebben geïmplementeerd, hebben daarmee een stevige basis. De Cyberbeveiligingswet voegt daar de meld-, zorg- en bewijsplicht aan toe, plus de persoonlijke verantwoordelijkheid van bestuurders.

In de praktijk betekent dit: als u al werkt volgens NEN 7510, bent u goed op weg. Maar u moet nu ook kunnen aantonen dat uw beleid actueel is, dat uw risicoanalyse recent is uitgevoerd en dat er een incidentresponsplan klaarligt.

Vijf stappen om uw zorgpraktijk voor te bereiden

De Cyberbeveiligingswet treedt naar verwachting in het tweede kwartaal van 2026 in werking. Dat lijkt nog even, maar de voorbereidingen kosten tijd. Deze vijf stappen helpen u op weg:

Stap 1: Bepaal of uw organisatie eronder valt

Controleer of uw organisatie voldoet aan de criteria (sector + omvang). Twijfelt u? Raadpleeg dan uw ICT-partner of gebruik de zelfscan op de website van de overheid.

Stap 2: Voer een risicoanalyse uit

Breng in kaart welke systemen u gebruikt, welke gegevens u verwerkt en waar de kwetsbaarheden zitten. Dit is de basis voor alle verdere maatregelen.

Stap 3: Stel een beveiligingsbeleid op (of actualiseer het)

Documenteer uw aanpak voor toegangsbeheer, incidentafhandeling, back-ups, updates en monitoring. Zorg dat dit beleid is goedgekeurd door het bestuur of de praktijkhouder.

Stap 4: Train uw medewerkers

Zorg dat iedereen in uw praktijk phishing herkent, weet hoe zij veilig omgaan met wachtwoorden en begrijpt waarom informatiebeveiliging belangrijk is. De wet verplicht zelfs bestuurders om scholing te volgen op het gebied van cybersecurity.

Stap 5: Stel een incidentresponsplan op

Beschrijf wat er moet gebeuren als het misgaat: wie doet de melding, hoe beperkt u de schade, hoe communiceert u met patiënten en met de toezichthouder? Oefen dit plan regelmatig.

Hoe Westers uw zorgpraktijk ontzorgt

Als ICT-partner van huisartsen, apotheken en GGZ-instellingen is Westers al meer dan 20 jaar vertrouwd met de specifieke eisen van de eerstelijnszorg. De Cyberbeveiligingswet verandert het speelveld, maar de kern van ons werk blijft hetzelfde: zorgen dat uw ICT veilig, stabiel en toekomstbestendig is, zodat u zich kunt richten op uw patiënten.

Met MijnVeiligePraktijk biedt Westers een complete beveiligingsoplossing die uw zorgpraktijk beschermt tegen cyberdreigingen, datalekken en ongewenste toegang. Deze aanpak combineert technische beveiliging met 24/7 monitoring en bewustwording, en helpt u aantoonbaar te voldoen aan de normen die de Cyberbeveiligingswet voorschrijft — waaronder NEN 7510 en AVG.

Concreet betekent dit dat Westers voor u zorgt voor continue monitoring en proactieve bescherming van uw ICT-omgeving, het tijdig doorvoeren van beveiligingsupdates buiten uw openingstijden, ondersteuning bij het trainen en bewust maken van uw medewerkers, een gestructureerd beveiligingsbeleid dat voldoet aan de geldende zorgnormen en snelle, deskundige hulp wanneer er toch een incident plaatsvindt.

Wacht niet tot de wet in werking treedt

De wet is uitgesteld, maar de dreiging niet. Cybercriminelen wachten niet op wetgeving. De gezondheidszorg is een van de meest aangevallen sectoren in Nederland, en de gevolgen van een incident reiken verder dan IT-systemen — ze raken de patiëntenzorg, het vertrouwen van patiënten en in het ergste geval de veiligheid van mensen.

Juist daarom is het verstandig om nu al te beginnen met de voorbereiding. Niet omdat het moet, maar omdat het de enige manier is om uw praktijk, uw medewerkers en uw patiënten goed te beschermen in een steeds digitaler wordende zorgwereld.

Wilt u weten hoe Westers uw zorgpraktijk kan helpen bij de voorbereiding op de Cyberbeveiligingswet? Neem contact op met Remco den Broeder, Commercieel Directeur, via 088 – 87 20 200 of stuur een bericht via onze website. We denken graag met u mee.