IT&R
DOSSIERS
Alle dossiers
Gepubliceerd op dinsdag 31 maart 2026
IT 5169
      

Artikel van Nysingh.

Cyberbeveiligingswet zet zorgbestuurders nadrukkelijk aan zet

Een cyberincident kan een zorgorganisatie binnen enkele uren ontwrichten: patiëntgegevens zijn niet toegankelijk en/of buitgemaakt door hackers, afspraken moeten worden afgezegd en zorgprocessen komen stil te liggen. Digitale verstoringen raken daarmee direct de continuïteit en kwaliteit van de zorg. Met de komst van de Cyberbeveiligingswet wordt cyberveiligheid nadrukkelijk een bestuurlijke verantwoordelijkheid. Bestuurders moeten aantonen dat hun organisatie cyberrisico’s beheerst en dat zij daarop actief toezicht houden. De Cyberbeveiligingswet treedt naar verwachting al in het tweede kwartaal van 2026 in werking. De overheid adviseert organisaties om nu stappen te zetten om voorbereid te zijn en wij van Nysingh onderschrijven dit advies.

Waarom deze wet er komt
De Cyberbeveiligingswet vormt de Nederlandse implementatie van de Europese NIS2- richtlijn. Deze richtlijn heeft als doel het niveau van cyberbeveiliging binnen de Europese Unie te verhogen, met name in sectoren die van groot maatschappelijk belang zijn, waaronder de zorg. De wet bevat onder meer een zorgplicht voor organisaties om passende maatregelen te nemen om hun netwerk- en informatiesystemen veilig en beheersbaar te houden. Daarnaast geldt een meldplicht bij cyberbeveiligingsincidenten en moeten organisaties zich registreren bij de toezichthouder.

Welke zorgorganisaties onder de wet vallen
Grote zorgorganisaties vallen als zogenaamde essentiële entiteit van rechtswege onder de wet wanneer zij 250 werknemers of meer in dienst hebben. Ook kleinere kunnen kwalificeren als essentiële entiteit wanneer zij bepaalde financiële drempels overschrijden, zijnde een jaaromzet van meer dan 50 miljoen euro of een jaarlijks balanstotaal van meer dan 43 miljoen euro. Overige zorgorganisaties kunnen alsnog kwalificeren als essentiële entiteit wanneer zij aangewezen worden als kritieke entiteit of op basis van nadere regelgeving. Voor essentiële entiteiten is het toezicht op de naleving van de verplichtingen uit de wet het strengst.

Cyberveiligheid wordt een bestuurstaak
Bestuurders moeten aantoonbaar beschikken over voldoende kennis en vaardigheden om cyberbeveiligingsrisico’s te begrijpen, risicobeheersmaatregelen te beoordelen en toezicht te houden op de digitale weerbaarheid van de organisatie. Daarnaast verplicht de wet bestuurders om periodiek een training over cyberbeveiliging te volgen. Daarmee moeten zij op strategisch niveau kunnen meepraten over risico’s, incidenten en de maatregelen die nodig zijn om systemen en gegevens te beschermen. Bestuurders krijgen na inwerkingtreding van de betreffende verplichtingen twee jaar de tijd om aan deze verplichtingen te voldoen en moeten hun kennis en vaardigheden daarna aantoonbaar actueel houden.

Wat bestuurders straks moeten kunnen aantonen
Voor zorgbestuurders betekent de wet dat zij actief toezicht moeten houden op cyberveiligheid binnen de organisatie. In de praktijk gaat het bijvoorbeeld om:

  • Inzicht in de belangrijkste cyberrisico’s voor de organisatie
  • Bestuurlijk toezicht op beveiligingsmaatregelen en -beleid
  • Structureel overleg met verantwoordelijke functionarissen zoals de CISO
  • Kennis van procedures bij cyberincidenten en meldplichten

Digitale weerbaarheid wordt daarmee onderdeel van goed bestuur en risicomanagement.

Strengere handhaving en hogere boetes
Het niet naleven van de Cyberbeveiligingswet kan aanzienlijke gevolgen hebben. Voor organisaties die kwalificeren als essentiële entiteit kan overtreding leiden tot boetes die kunnen oplopen tot maximaal 10 miljoen euro of 2 procent van de wereldwijde jaaromzet van de organisatie in het voorgaande boekjaar. Ook kan verscherpt toezicht worden opgelegd. Daarnaast kunnen sancties worden opgelegd aan de individuele leden van het bestuur, waaronder bestuurlijke boetes. Voor bestuurders benadrukt dit dat cyberveiligheid niet alleen een operationeel risico is, maar ook een juridisch en bestuurlijk vraagstuk.

Een integrale juridische blik op cyberrisico’s in de zorg
De Cyberbeveiligingswet laat zien dat digitale weerbaarheid in de zorg niet alleen een technische uitdaging is, maar ook een kwestie van governance, regelgeving en risicobeheersing. Bij Nysingh advocaten en notarissen werken specialisten in het gezondheids-, ICT- en privacyrecht nauw samen om zorgorganisaties hierbij te ondersteunen. Die integrale aanpak is belangrijk, omdat cyberveiligheid vaak meerdere rechtsgebieden raakt: van zorgregelgeving en gegevensbescherming tot contractuele afspraken met ICT-leveranciers.