België heeft ziekenhuizen niet aangemerkt als aanbieders van essentiële diensten, wat gevolgen heeft voor de beveiliging van systemen en het reageren op cyberaanvallen. Dat meldt de Belgische krant De Tijd. In 2016 werd de Europese Network and Information Systems (NIS)-richtlijn aangenomen. Die verplicht dat aanbieders van vitale diensten maatregelen nemen om hun systemen te beveiligden en incidenten en aanvallen melden.

In Nederland werd de NIS-richtlijn omgezet naar de Wet beveiliging netwerk- en informatiesystemen (Wbni). De richtlijn verplicht vitale aanbieders om technische en organisatorische beveiligingsmaatregelen te nemen om cyberincidenten te voorkomen of hun impact te beperken. Ook moet er beveiligingsbeleid zijn uitgewerkt, geldt er een meldplicht voor het melden van ernstige incidenten en moeten er periodiek audits naar de veiligheid van systemen worden uitgevoerd.

In België werd de richtlijn twee jaar geleden naar nationale wetgeving omgezet. De Belgische regering heeft echter nagelaten om ziekenhuizen als essentiële dienst aan te merken. Die zijn daardoor niet verplicht om cyberaanvallen te melden en kunnen in het geval van een incident niet eenvoudig een beroep doen op de overheid om hen te helpen.

De Belgische minister van Volksgezondheid Frank Vandenbroucke laat in een reactie weten dat hij de situatie wil verbeteren. “Naar aanleiding van de recente cyberaanvallen is de overheid opnieuw in overleg gegaan met de sector van de ziekenhuizen en de laboratoria, en werden een aantal instrumenten aangereikt om de cyberveiligheid te verhogen. Sinds begin dit jaar wordt de richtlijn NIS-2 besproken. Binnen dit kader willen we tot een aanpak komen op maat van de ziekenhuissector.”

Source