Cyberaanvallen vormen een steeds grotere bedreiging voor de gezondheidszorg, en in het bijzonder voor ziekenhuizen. Met de toenemende connectiviteit door het Internet of Medical Things (IoMT) staan ziekenhuizen voor nieuwe uitdagingen op het gebied van cyberveiligheid. Het is van cruciaal belang dat ziekenhuisbestuurders zich bewust zijn van hun verantwoordelijkheden en de wettelijke aansprakelijkheden die hiermee gepaard gaan.

Via het internet of medical things (IoMT), zoals robotchirurgie en draagbare medische apparaten, maar evenzeer geautomatiseerde incheckbalies, vinden cybercriminelen hun weg naar het kwetsbare ICT-hart van ziekenhuizen. Iedereen in de sector kent wel voorbeelden van al dan niet geslaagde aanvallen op ziekenhuizen. De FOD Volksgezondheid erkent de dreiging en heeft middelen uitgetrokken (15 miljoen euro in 2023 en 12 miljoen in 2024) om de cyberveiligheid te verbeteren.

Ook de (Europese) wetgever zat niet stil. De Wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (de "NIS2-wet") zet de Europese richtlijn om en vervangt de NIS1-wet van 7 april 2019. De wet heeft als doel om netwerk- en informatiesystemen van algemeen belang te beschermen. Ze treedt in werking op 18 oktober 2024.

Belangrijke Wettelijke Ontwikkelingen met nieuwe verplichtingen voor de ziekenhuizen

De nieuwe NIS2-wet, die in werking treedt op 18 oktober 2024, vervangt de NIS1-wet en stelt striktere eisen aan de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang. Zo moeten de ziekenhuizen zich uiterlijk op 18 maart 2025 registreren bij het Centre for Cybersecurity Belgium (CCB) en passende maatregelen nemen om cyberveiligheidsrisico's te beheren.

Het beveiligingsniveau moet afgestemd zijn op de risico’s, rekening houdend met de stand van techniek en met de uitvoeringskosten. Bij de beoordeling van de evenredigheid wordt rekening gehouden met mate van blootstelling aan risico’s, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke gevolgen (art. 30 § 1 en 2). De ‘passende maatregelen’ houden dus enigszins maatwerk in. Verder moeten ziekenhuizen ook oog hebben voor de kwetsbaarheden bij hun toeleveranciers (art. 30 §3, 4°) en moeten ze deze bekend maken op de website van het ziekenhuis.

Naast de registratie bij het Centre for Cybersecurity Belgium (CCB) en het nemen van passende maatregelen om cyberbeveiligheidsrisico’s te beheren, dienen de ziekenhuizen voortaan significante incidenten te melden aan het CCB.

De ziekenhuizen zullen eveneens door het CCB onderworpen worden aan regelmatige conformiteitsbeoordelingen. Het CCB kan een termijn opleggen waarbinnen maatregelen moeten worden getroffen, een controlefunctionaris benoemen, … tot en met de uitoefening van leidinggevende functies tijdelijk verbieden. Het CCB kan eveneens boetes opleggen.

Verantwoordelijkheid van de bestuursorganen

De wet (art. 31) legt een dubbele taakstelling bij de bestuursorganen:

1. Zij moeten beheersmaatregelen voor de cyberbeveiligingsrisico’s goedkeuren en toezicht houden op de uitvoering ervan;
2. De leden van de bestuursorganen moeten een opleiding volgen zodat ze over voldoende kennis en vaardigheden beschikken om risico’s te identificeren en met kennis van zaken het risicobeheer kunnen beoordelen.

Er dient hierbij te worden opgemerkt dat de memorie van toelichting bij de NIS2-wet, een heel ruime betekenis geeft aan (de leden van) de bestuursorganen, alleszins ruimer dan het ‘bestuursorgaan’ zoals bedoeld wordt in het Wetboek van Vennootschappen en Verenigingen. Mede in het licht van het nieuwe aansprakelijkheidsrecht, zal er moeten worden nagegaan in welke mate ook de ziekenhuisdirecteur, de leden van de medische raad, dan wel een betrokken personeelslid (bv. hoofd technische dienst) gevat kunnen worden door de nieuwe NIS2-wet.

Conclusie

Het is essentieel dat ziekenhuizen en hun bestuurders de nieuwe wettelijke vereisten serieus nemen en de nodige stappen ondernemen om hun cyberveiligheid te waarborgen. GD&A Advocaten staat klaar om u te adviseren en te ondersteunen bij het navigeren door deze complexe regelgeving en het implementeren van de vereiste maatregelen.