Plan intake
Sector

Cybersecurity en NIS2 voor zorg

Laatst bijgewerkt: 12 mei 2026Leestijd: 8 minDoor URL.nl Redactie

TL;DR

Zorginstellingen zijn essentiële entiteit onder NIS2 en hebben daarnaast NEN 7510 als sectorale norm. Risico's concentreren zich rond EPD, medische devices en uitwisseling met ketenpartners. Ransomware blijft de grootste dreiging, gevolgd door datalekken via portalen en mobiele apparaten. De combinatie NEN 7510 plus NIS2 vraagt om documentatie die beide kaders dekt en om bestuurlijke verantwoording per kwartaal.

Waarom deze sector

Ziekenhuizen, ggz-instellingen, langdurige zorg en zelfstandige klinieken vallen onder de essentiële entiteiten in NIS2. Een incident raakt direct de patiëntzorg en de meldketen.

EPD's, medische devices, zorginformatiesystemen en koppelingen met huisartsen, apotheken en laboratoria vormen samen een complex aanvalsoppervlak. NEN 7510 en NIS2 vragen om aantoonbaar risicobeheer.

Welke wetgeving relevant is

  • NIS2, Europese richtlijn cyberbeveiliging.
  • Cyberbeveiligingswet, Nederlandse implementatie, naar verwachting rond 1 juli 2026.

Concrete dreigingen in deze sector

  • Ransomware op EPD of laboratoriumsystemen met directe gevolgen voor patiëntenzorg
  • Datalekken via patiëntportalen, mobiele apparaten of onbeveiligde mailwisseling
  • Verouderde medische devices die niet meer worden gepatcht maar wel in het netwerk hangen
  • Compromis van leveranciers van medicatie-, plannings- of beeldvormingssystemen
  • Misbruik van breed verspreide accounts met te hoge rechten

Voorbeelden uit de praktijk

  • Ransomware in een ziekenhuis: OK-planning handmatig, doorverwijzingen naar omliggende ziekenhuizen
  • Datalek via een verouderd patiëntportaal met onvoldoende sessiebeheer
  • Verstoring beeldvorming na incident bij een PACS-leverancier

Toezicht en handhaving

De Inspectie Gezondheidszorg en Jeugd (IGJ) is sectoraal toezichthouder voor zorginstellingen onder de Cyberbeveiligingswet, naast bestaande NEN 7510-verplichtingen.

Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.

Eerste praktische stappen

  1. Koppel NEN 7510-dossier aan de NIS2-zorgplicht, voorkom dubbele administratie
  2. Inventariseer medische devices met netwerkaansluiting en eigenaarschap per device
  3. Beoordeel meldroute richting IGJ, NCSC en Autoriteit Persoonsgegevens parallel
  4. Toets herstel van EPD en lab vanuit immutable back-ups

Vragen voor het bestuur

  • Hoeveel uur kunnen wij maximaal zonder EPD voor patiëntenzorg?
  • Wie is verantwoordelijk voor patching van medische apparatuur?
  • Hoe vaak oefenen wij een tabletop met directie en communicatie?

Hoe URL.nl helpt

URL.nl werkt samen met onze cybersecurity partners aan een aantoonbare aanpak voor jouw organisatie. Modulair, schaalbaar en aansluitend op wat je al hebt staan.

  • 24/7 risicobewaking, Continue monitoring van afwijkend gedrag, kwetsbaarheden en dreigingen.
  • Kwetsbaarheidsscans, Periodieke en doorlopende scans op publiek en intern bereikbare systemen.
  • IT-security review, Onafhankelijke review van je technische en organisatorische maatregelen.
  • ISMS dashboard, Eén plek waar risico's, maatregelen en documentatie samenkomen.
  • NIS2-documentatie, Praktische documentatie die NIS2-eisen vertaalt naar jouw organisatie.
  • Auditvoorbereiding, Voorbereiding op interne, externe of toezichthoudende audits.
  • Security awareness training, Praktische training voor medewerkers in herkennen en melden van risico's.
  • Pentesten, Gerichte aanvallen op afgesproken scope om kwetsbaarheden bloot te leggen.

Veelgestelde vragen

Valt onze zorg-organisatie automatisch onder de Cyberbeveiligingswet?

Niet automatisch. Het hangt af van omvang, rol in de keten en exacte definitie in de wet. Een korte scope-analyse geeft binnen een dagdeel uitsluitsel.

Wij hebben al een MSP, wat doet URL.nl er nog bij?

Een MSP regelt techniek, wij richten ons op governance, documentatie, meldroutes en bestuurlijke verankering. Beide rollen vullen elkaar aan.

Hoe lang duurt een serieus voorbereidingstraject?

Voor een gemiddelde organisatie zes tot twaalf maanden, afhankelijk van de uitgangssituatie. De grootste tijdwinst zit in een goede nulmeting.

Officiële bronnen

Andere sectoren: Transport en logistiek, Energie, Financiële dienstverlening, Digitale infrastructuur, ICT-dienstverlening, Overheid.

Laatst bijgewerkt op 12 mei 2026 door de URL.nl Redactie. Wetgeving en toezicht kunnen wijzigen, controleer altijd de actuele versie bij de toezichthouder.

Wil je weten of jouw organisatie binnen de reikwijdte valt?

Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.

Plan een intake