Eind 2024 gaat de NIS2-wetgeving in. Voldoet jouw zorgorganisatie nog niet aan de verplichtingen die uit deze nieuwe regelgeving volgen, dan is het hoog tijd om actie te ondernemen. Maar meer veiligheid creëren vraagt ook om een hoger IT-budget. Hoe overtuig je als CISO het zorgbestuur dat het IT-budget omhoog moet? En hoe bepaal je welke extra investering voor jouw organisatie nodig is om te voldoen aan NIS2? Je leest het in dit blog.
Veel zorgbestuurders beschouwen het IT-budget als een kostenpost waar ze het liefst zo min mogelijk aan willen spenderen. DeepBlue Security & Intelligence rekende uit dat zorgorganisaties gemiddeld 3 tot 10% van hun jaaromzet investeren in IT. Om te voldoen aan de NIS2-wetgeving, moet je organisatie (extra) maatregelen nemen op het gebied van onder andere veiligheidshygiëne en awareness, cloudbeveiliging, detectie en response, back-up en niet te vergeten het juiste IT-personeel of de juiste IT-partner. Dit heeft uiteraard gevolgen voor je IT-budget. Internetbeveiligingsbedrijf ESET Nederland schatte in dat:
Een hard bedrag of percentage is lastig te geven omdat elke organisatie anders is en al bepaalde securityzaken heeft ingeregeld, los van de NIS-richtlijn. Juist daarom is het zo belangrijk om gericht te kijken naar de impact van NIS2 op jouw zorgorganisatie en de gevolgen voor jouw IT-budget.
Het helpt om de budgetverhoging te zien als een investering in extra veiligheid om je continuïteit, je succes en de reputatie van je organisatie te beschermen. Die extra uitgaven verdien je weer terug door een lager risico op cybercriminaliteit en een sneller herstel als er toch een incident plaatsvindt. Maar denk ook aan het voorkomen van gevolgschade en kosten zoals:
De impact van de NIS2-regelgeving is juist in de zorg enorm, want de zorg is een complexe sector met veel verschillende ketenpartners en stakeholders. Steeds meer zorgbestuurders en IT-managers worden zich hiervan bewust en voelen de noodzaak om zich goed voor te bereiden. Dit is geen geringe opgave, zeker aangezien veel zorgorganisaties IT-investeringen uitstellen en als gevolg daarvan met verouderde apparatuur en toepassingen werken.
Ook de beperkte security awareness van zorgpersoneel – de mate waarin zij de impact van bepaalde handelingen goed kunnen inschatten - en de hoge werkdruk vormen een uitdaging. Want hoe maak je drukbezet zorgpersoneel bewust van de invloed van de nieuwe regelgeving op hun werk? En van de bijdrage die zij moeten leveren aan het naleven van deze NIS2-regels?
IT-budget vrijmaken om te voldoen aan NIS2 lijkt een hoge prijs. We kunnen ons voorstellen dat een eerste gedachtensprong bij organisaties is om hier niet in mee te gaan. Omdat het budget al is gealloceerd, er onvoldoende resources zijn, geen tijd voor implementatie, etc, Maar los van het feit dat je simpelweg moet zorgen dat je voldoet aan de wetgeving, is een niet-adequate oplossing om ongewenste indringers buiten de deur te houden heel gevaarlijk.
Een voorbeeld: een organisatie van samenwerkende tandartspraktijken werd in 2022 aangevallen door hackers. De cybercriminelen blokkeerden het systeem met ransomware en vroegen om losgeld. Dit had niet alleen gevolgen voor het moederbedrijf, maar voor de hele keten: 120 tandartspraktijken hadden geen toegang meer tot patiëntendossiers. Vooral bij zorgorganisaties zien we dit soort constructies vaker, waardoor de gevolgen van cyberincidenten direct niet meer te overzien zijn. Als de hoofdvestiging – waar de server staat en IT-gerelateerde zaken plaatsvinden - wordt aangevallen, hebben alle locaties daar last van. Bovendien is de impact in de zorg groter dan in andere sectoren. Denk aan patiëntgegevens die op straat komen te liggen met alle consequenties daarvan. Of patiënten met een hoge urgentie die niet geholpen kunnen worden omdat hun dossier niet toegankelijk is.
Uit het bovenstaande blijkt dat de gevolgen groot zijn als je geen actie onderneemt op security en wat het belang is om wél te investeren in NIS2-compliancy. Maar hoe bepaal je nu welk IT-budget je hiervoor moet reserveren? Met de volgende stappen krijg je de behoeften van je organisatie snel in beeld:
Breng in kaart wat je organisatie op dit moment aan cybersecuritymaatregelen heeft. Denk hierbij aan een vulnerabilityscan of een uitgebreid onderzoek van je tenant en/of ICT-infrastructuur. Zo weet je exact hoe je ervoor staat en waar de gaten zitten in je huidige securitymaatregelen. Vertaal deze huidige situatie naar wat nodig is voor NIS2. Zo krijg je een duidelijk beeld van wat er nog moet gebeuren.
Voor een zorgvuldige implementatie van NIS2 is specialistische (security)kennis nodig, maar de meeste zorginstellingen hebben geen securityspecialisten in dienst die het hele spectrum aan IT-securityoplossingen beheersen. Een IT-partner die over de benodigde kennis en ervaring beschikt kan je dan helpen. De ICT-consultants van Hands on ICT hebben elk hun eigen specialisme. Zo ben je altijd verzekerd van actuele kennis en hulp.
Door de toenemende berichtgeving over cyberincidenten in de media, zijn de meeste zorgbestuurders inmiddels wel doordrongen van de urgentie en het belang van goede IT-security. Toch blijft het lastig om zo'n grote verhoging van IT-budget erdoor te krijgen. Door de kwetsbaarheden en dreigingen concreet te maken voor jouw organisatie, te laten zien wat er mis kan gaan op securitygebied en tot welke desastreuze gevolgen dit kan leiden, gaat het meer leven. Meer tips om in gesprek te gaan met de directie vind je in dit blog.
De verwachting is dat eind dit jaar de regelgeving staat en dat er vanaf dat moment ook gehandhaafd wordt. Effectief heb je dus nog maar 6 tot 8 maanden om NIS2-compliant te worden. Start dus nu met het bepalen van je IT-budget. Zo is jouw zorgorganisatie op tijd klaar voor NIS2 en voorkom je boetes en paniek.
Download nu onze whitepaper ‘Alles over NIS2: maak jouw organisatie NIS2-proof’ en ontdek wat er nog moet gebeuren om te voldoen aan de nieuwe NIS2-regelgeving. Meer weten? Bij Hands on ICT helpen we je graag om op tijd klaar te zijn voor NIS2. Kijk op onze website of neem contact op met ons.