Reeks : NIS2 en de Weg naar Compliance – Een Blauwdruk voor de Zorg - ZOL als usecase

De deadline voor compliance met de NIS2-richtlijn nadert onverbiddelijk. Een eerste verificatie deadline is inmiddels verstreken met een volgende deadline op de horizon tegen 18 april 2027. Binnen het Belgische zorglandschap vertaalt zich dat naar de concrete eisen van het CCB vertaald in het CyberFundamentals (CyFun 2023/2025) framework, waarbij van de meerderheid van de zorginstelling verwacht wordt een CyFun Essential niveau te behalen. Voor veel zorginstellingen voelt dit als het beklimmen van een steile berg zonder kaart.  

Bij Ziekenhuis Oost-Limburg (ZOL) hebben we de eerste horde genomen met het behalen van zowel de ISO 27001-certificering als het CyFun Essential-label. Een start voor een traject dat nooit meer zal stoppen. 

Het behalen van deze labels is immers geen eindpunt, maar de bekroning van een transformatieproces waarbij informatieveiligheid is verhuisd van de IT-kelder naar de Boardroom. Omdat we geloven in de kracht van collectieve kennisdeling binnen de zorgcommunity, publiceren we deze artikelreeks, waarvan de volgende artikels beschikbaar zullen worden op ons community platform.

Deze reeks is niet bedoeld als een theoretisch handboek, maar als een praktijkgerichte weerspiegeling van het traject dat we binnen ZOL hebben gelopen, met bijhorende lessons learned en zonder schroom voor de pijnpunten die we onderweg zijn tegengekomen. Ook voor ons was dit een traject met vallen en opstaan. De weg die ZOL heeft afgelegd is een mogelijke weg, niet de enige weg. We willen de contouren schetsen van een haalbare strategie, waarbij we de lat, die voor het Essential niveau behoorlijk hoog ligt, gezamenlijk proberen te overbruggen. Let wel, de gevolgde weg vraagt behoorlijk wat engagement en ondubbelzinnig commitment van het senior management van de organisatie. 

We nodigen u dan ook uit tot interactie. Laat weten waar jullie aanvullingen en/of verduidelijkingen willen zien. We proberen maximaal te delen waar mogelijk. Laat deze artikelenreeks een startpunt zijn voor breakout-discussies en het delen van ervaringen om zo elkaar zo snel mogelijk vooruit te stuwen in onze respectievelijke maturiteitsgroei. 

In de komende vijf artikelen nemen we u mee door de aandachtspunten die we zijn tegengekomen op ons traject: 

Waarom wij kozen voor de 219 CyFun-maatregelen in plaats van de standaard 93 Annex A-controls van ISO 27001. We bespreken hoe deze kaders naadloos in elkaar passen om zo versneld tot presumption of conformity te komen. 

Informatieveiligheid is een fundament voor patiëntveiligheid, geen puur technisch dossier. We belichten de cruciale rol van het topmanagement en de noodzaak van een "levend" ISMS, gedragen in alle geledingen van de organisatie 

Van management-by-Excel naar een beheersbaar ecosysteem. Hoe wij met tools als Brainframe, Monday.com en Confluence structuur brachten in risicobeheer, documentatie, planning en bewijslast verzameling. 

De technische realisatie in een complexe ziekenhuisomgeving. We zoomen in op de technische randvoorwaarden van Secure Engineering praktijken en het belang van afdwingbare supportovereenkomsten met business stakeholders en leveranciers. 

Hoe bereid je de organisatie voor op een externe audit door een Conformity Assessment Body (CAB)? We delen onze lessons learned over de overgang van projectmodus naar Business-as-Usual en de kracht van de SHIELD Library. 

De dreigingen in de zorg zijn reëel en de impact van incidenten is groot. Door onze aanpak en ervaringen te delen, hopen we jullie te informeren en in de gelegenheid te stellen snelheid te maken door herbruik van reeds geleverd werk. Wij zijn klaar voor de dialoog en beschikbaar voor vragen en verdere input mocht deze gewenst zijn. Reacties, vragen en suggesties zijn zeer welkom.

Bent u benieuwd hoe uw organisatie de stap van papier naar praktijk kan zetten? Volg dan deze reeks of neem contact op voor een diepere duik in onze aanpak. 

Geschreven door Kurt Gielen