image

Minister wil minimale digitale beveiliging voor vitale aanbieders

zondag 22 maart 2020, 09:33 door Redactie, 15 reacties

Minister Grapperhaus van Justitie en Veiligheid wil dat alle vitale aanbieders in Nederland worden verplicht om aan een minimaal digitaal beveiligingsniveau te voldoen. Hiervoor wil de minister de Wet beveiliging netwerk- en informatiesystemen (Wbni) gaan wijzigen, zo laat hij aan de Tweede Kamer weten.

De Wbni is de Nederlandse vertaalslag van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (de NIB-Richtlijn), die voor meer eenheid in beleid over netwerk- en informatiebeveiliging moet zorgen. Het is gericht op aanbieders van essentiële diensten in onder andere de energie-, de financiële- en vervoerssector en digitale dienstverleners, zoals clouddiensten, online zoekmachines en online marktplaatsen.

Niet alleen zijn deze partijen door de Wbni verplicht om ernstige incidenten te rapporteren aan het Nationaal Cyber Security Centrum (NCSC) en het Agentschap Telecom, ze moeten ook maatregelen nemen om hun ict-infrastructuur tegen aanvallen en incidenten te beveiligen. Naar aanleiding van de problemen rond het recente Citrix-lek en een rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) over digitale ontwrichting is Grapperhaus met een kabinetsreactie gekomen. In de kabinetsreactie gaat de minister ook in op de bescherming van de vitale infrastructuur en de Wbni.

De wet geldt namelijk niet voor alle vitale aanbieders. Voor een deel van hen geldt slechts een meldplicht van incidenten met aanzienlijke gevolgen bij het NCSC en geen zorgplicht of toezicht daarop. "Door ook andere vitale aanbieders onder het volledige regime van de Wbni te brengen, moeten zij aan de zorgplicht en daarmee aan een algemeen basisniveau van beveiligingsdoelen voldoen", stelt Grapperhaus. De minister wil daarvoor de Wbni wijzigen, zodat het volledige regime van de wet voor alle vitale aanbieders van toepassing wordt, voor zover sectorale wetgeving niet reeds dezelfde of strengere eisen stelt.

"Voor alle sectoren moet gekeken worden naar wet- en regelgeving om uitvoering, toezicht, verantwoording en evaluatie op cybersecurity mogelijk te maken. Dit geldt in het bijzonder voor als vitaal aangemerkte- en rijksoverheidsorganisaties. Uitval van systemen bij deze organisaties heeft immers al snel gevolgen voor alle burgers en bedrijven in ons land", aldus Grapperhaus.

Reacties (15)
22-03-2020, 09:51 door Anoniem
Ik ben benieuwd wat dit voor een gedrocht gaat worden...
22-03-2020, 10:22 door Anoniem
Daar hoort dan ook een totale lock-down van ons land bij zodat ze niet besmet raken en niet meer kunnen werken.
Pro-actief handelen in alle sectoren is belangrijk om de maatschappij draaiende te houden.
22-03-2020, 12:41 door Anoniem
Naar aanleiding van de problemen rond het recente Citrix-lek
Maar daar was het toch hardstikke duidelijk dat je aan een papiertje met een beveiligingsnivo enz helemaal niks hebt?
Dat zou dan hooguit betekenen dat je geen software meer kunt afnemen van een bedrijf als Citrix wat zulke ruime termijnen
stelt voor het beschikbaar maken van patches. Maar dat staat vast niet in die NIB-richtlijn.
22-03-2020, 12:48 door [Account Verwijderd]
Ik las even virale aanbieders :-)
22-03-2020, 14:43 door Anoniem
Nutteloos met al die zero day lekken.
22-03-2020, 18:07 door Anoniem
Toch wel bijzonder dat ziekenhuizen en de zorgsector niet tot de vitale infrastructuur behoren volgens de definitie die de overheid hanteert.....
22-03-2020, 19:37 door Anoniem
Saillant detail is dat de Zorg door de overheid niet als vitaal wordt gezien, tenminste niet voor de Wbni. Het idee is dat als een ziekenhuis uitvalt, een ander ziekenhuis het wel opvangt. Daarbij is natuurlijk niet heel erg nagedacht dat ruim 60% op hetzelfde EPD draait (Chipsoft/Hix), dus als dat uitvalt door bv. een supply-chain attack, tja. En dit was ook een pre Corona insteek. Als eind volgende week een UMC uitvalt, dan kost het wel degelijk levens, doordat niet iedereen de juiste zorg geleverd kan krijgen.
22-03-2020, 21:20 door Anoniem
Bestond daar geen wetgeving voor? Beter laat dan nooit. Wat het ook mag worden...
23-03-2020, 00:00 door Anoniem
Door Anoniem: Bestond daar geen wetgeving voor? Beter laat dan nooit. Wat het ook mag worden...
Gewoon lezen, die wet bestond al, maar wordt aangepast!
23-03-2020, 00:14 door Anoniem
Door Anoniem: Bestond daar geen wetgeving voor? Beter laat dan nooit. Wat het ook mag worden...

Sowieso nutteloos als er wordt gestrooid met classificaties die een niet eenduidige mix van 3 tot meer componenten tot uitdrukking moeten brengen:
- mate van belang
- mate van urgentie
- functie / deelfunctie binnen maatschappij en/of vakgebied-stelsel

Dus nee, niet sowieso is elke stap altijd een goede stap.
De inventarisatie door het ministerie van wat en wel niet goed in de smiezen gehouden moet worden is nogal gebrekkig.
En niet enkel zogenaamde zeer essentiele organisaties voor een goed functionerende maatschappij moeten hun beveiliging op orde hebben.
Die vlieger gaat natuurlijk op voor ALLLE organisaties!!
Nu broeden ze kennelijk op een hit-and-fine beleid, niet dermate functioneel.
Als je extern allerlei vogels hebt rondlopen die va alles en nog wat lopen uit te vreten dan blijft het dweilen met de kraan open als je een hierarchie gaat aanbrengen in hoe belangrijk welke organisaties zijn.
Een maatschappij is slechts zo waardevol als DE hele set van delen op orde is.
Dit heeft meer weg van flink willen deep-staten met een polder-sausje dan NL beter maken!
23-03-2020, 07:43 door Anoniem
Door Anoniem: Ik ben benieuwd wat dit voor een gedrocht gaat worden...
De Wbni is nu al een enorm gedrocht. Elke wijziging aan die wet kan haast niet anders dan een verbetering zijn.

Het idee is goed, maar de uitvoering is echt om te janken.
23-03-2020, 09:16 door Anoniem
Door Anoniem: Saillant detail is dat de Zorg door de overheid niet als vitaal wordt gezien, tenminste niet voor de Wbni. Het idee is dat als een ziekenhuis uitvalt, een ander ziekenhuis het wel opvangt. Daarbij is natuurlijk niet heel erg nagedacht dat ruim 60% op hetzelfde EPD draait (Chipsoft/Hix), dus als dat uitvalt door bv. een supply-chain attack, tja. En dit was ook een pre Corona insteek.
Zorg kan ook zonder EPD door draaien, helemaal in nood.
Daarnaast bijna ieder bedrijf werkt op Windows, en in de zorg is Citrix eigenlijk bijna ook overal actief.
Daarnaast zijn veel software issues op te lossen via een change proces icm OTA omgeving.

Als eind volgende week een UMC uitvalt, dan kost het wel degelijk levens, doordat niet iedereen de juiste zorg geleverd kan krijgen.
Maar Nederland vergaat niet. Impact is gelimiteerd tot dat ziekenhuis. En het UMC valt niet zomaar uit. Vallen de computers uit, grote shit, maar de echte zorg draait gewoon door.
Valt de elektriciteit uit, dan is er nu echt een probleem.

Is er een te kort aan beschermedemiddelen...... daar zit nu echt het risico in voor de zorg.
23-03-2020, 11:09 door Anoniem
Wat loopt Grapperhaus nu te eisen?

Bij J&V is de ICT betreurenswaardig laag, niet op orde en de bestuurders liggen elkaar dwars. Je zou er eens moeten kijken en je wordt er verdrietig van.
23-03-2020, 12:38 door Anoniem
Door Anoniem: Saillant detail is dat de Zorg door de overheid niet als vitaal wordt gezien, tenminste niet voor de Wbni. Het idee is dat als een ziekenhuis uitvalt, een ander ziekenhuis het wel opvangt. Daarbij is natuurlijk niet heel erg nagedacht dat ruim 60% op hetzelfde EPD draait (Chipsoft/Hix), dus als dat uitvalt door bv. een supply-chain attack, tja. En dit was ook een pre Corona insteek. Als eind volgende week een UMC uitvalt, dan kost het wel degelijk levens, doordat niet iedereen de juiste zorg geleverd kan krijgen.

Cross-post:

Weldenkende ministers en Tweede Kamer ...

In de Tweede Kamer zijn vertegenwoordigers bang voor een tweede virus uit bijv. onze veestapel.
Niets over het risico van cyberaanvallen op gezondheidsinstellingen tijdens deze crisis.

De EU Netwerk en InformatieBeveiliging (NIB) richtlijn stelt dat de cyberveiligheid van de gezondheidszorg beschermt moet worden en stelt daar eisen aan. De Nederlandse interpretatie van de richtlijn keipert echter de gezondheidszorg buiten dit stelsel aan voorzorgen en eisen.
Zie de Minister van Medische zorg in https://zoek.officielebekendmakingen.nl/kst-27529-158.html

Referend aan vitaal criteria: "Wij zijn destijds tot de conclusie gekomen dat er geen situaties zijn waarin uitval van ICT-systemen of -structuren in de zorg deze gevolgen zullen hebben. In Nederland is er namelijk geen centrale vitale technische infrastructuur voor de gehele zorg die bij uitval dergelijke gevolgen heeft voor landsbrede zorg. De zorg en de zorginfrastructuur in Nederland zijn niet centraal georganiseerd, maar decentraal en de instellingen zijn zelf verantwoordelijk voor de veiligheid van informatievoorziening en gegevensuitwisseling. Bij uitval van een deel van de zorg kan deze zorg in veel gevallen worden overgenomen door andere zorgaanbieders. Daarom heeft het Ministerie van VWS geen processen in de zorg als vitaal geïdentificeerd en zijn er dus geen AED’s [Aanbieders van Essentiële Diensten] aangewezen. "

"De continue beschikbaarheid en betrouwbaarheid van informatievoorziening en gegevensuitwisseling in de zorg is echter van groot belang voor de patiëntveiligheid. Wij hebben ons daarom met de zorgsector wel gericht op andere maatregelen om de veiligheid van de technische infrastructuur in de zorg te verhogen, zoals mijn ambtsvoorganger vorig jaar bij eerder genoemde brief van 20 juni 2017 aan uw Kamer heeft gemeld. Wij hebben specifieke normen voor informatieveiligheid in de zorg vastgesteld: De NEN-normen 7510, 7512 en 7513. Verder heeft de sector haar eigen sectorale CERT (Computer Emergency Response Team) voor de Zorg (Z-CERT) in het leven geroepen. Z-CERT draagt zorg voor specifieke monitoring, preventie en reparatie van informatieveiligheidsinbreuken in het zorgveld en medische apparatuur. Sinds 24 januari 2018 is Z-CERT officieel van start gegaan. Verder hebben wij samen met de koepels NVZ, NFU, ZKN en GGZ Nederland een Actieplan opgezet voor de verhoging van de veiligheid van patiëntgegevens. "

... niets over het cyberrisico van bevoorbeeld patientmonitoring, beademing, continuiteit van het laboratorium, ... essentieel voor de gezondheid van corona- en andere patiënten.

Nederland heeft als enig land in de EU geen enkele zorginstelling aangewezen als Aanbieder van Essentiele Diensten (AED) waardoor de zorginstellingen minder getoetst zullen worden op hun cybersecurityhygiëne.

Regeren is vooruitzien ... veel sterkte en applaus aan de medewerkers in de zorgsector die de cyberveiligheid proberen te waarborgen zonder overheidssteun.
23-03-2020, 17:10 door Anoniem
Door Anoniem:
Door Anoniem: Saillant detail is dat de Zorg door de overheid niet als vitaal wordt gezien, tenminste niet voor de Wbni. Het idee is dat als een ziekenhuis uitvalt, een ander ziekenhuis het wel opvangt. Daarbij is natuurlijk niet heel erg nagedacht dat ruim 60% op hetzelfde EPD draait (Chipsoft/Hix), dus als dat uitvalt door bv. een supply-chain attack, tja. En dit was ook een pre Corona insteek. Als eind volgende week een UMC uitvalt, dan kost het wel degelijk levens, doordat niet iedereen de juiste zorg geleverd kan krijgen.

Cross-post:

Weldenkende ministers en Tweede Kamer ...

In de Tweede Kamer zijn vertegenwoordigers bang voor een tweede virus uit bijv. onze veestapel.
Niets over het risico van cyberaanvallen op gezondheidsinstellingen tijdens deze crisis.

De EU Netwerk en InformatieBeveiliging (NIB) richtlijn stelt dat de cyberveiligheid van de gezondheidszorg beschermt moet worden en stelt daar eisen aan. De Nederlandse interpretatie van de richtlijn keipert echter de gezondheidszorg buiten dit stelsel aan voorzorgen en eisen.
Zie de Minister van Medische zorg in https://zoek.officielebekendmakingen.nl/kst-27529-158.html

Referend aan vitaal criteria: "Wij zijn destijds tot de conclusie gekomen dat er geen situaties zijn waarin uitval van ICT-systemen of -structuren in de zorg deze gevolgen zullen hebben. In Nederland is er namelijk geen centrale vitale technische infrastructuur voor de gehele zorg die bij uitval dergelijke gevolgen heeft voor landsbrede zorg. De zorg en de zorginfrastructuur in Nederland zijn niet centraal georganiseerd, maar decentraal en de instellingen zijn zelf verantwoordelijk voor de veiligheid van informatievoorziening en gegevensuitwisseling. Bij uitval van een deel van de zorg kan deze zorg in veel gevallen worden overgenomen door andere zorgaanbieders. Daarom heeft het Ministerie van VWS geen processen in de zorg als vitaal geïdentificeerd en zijn er dus geen AED’s [Aanbieders van Essentiële Diensten] aangewezen. "

"De continue beschikbaarheid en betrouwbaarheid van informatievoorziening en gegevensuitwisseling in de zorg is echter van groot belang voor de patiëntveiligheid. Wij hebben ons daarom met de zorgsector wel gericht op andere maatregelen om de veiligheid van de technische infrastructuur in de zorg te verhogen, zoals mijn ambtsvoorganger vorig jaar bij eerder genoemde brief van 20 juni 2017 aan uw Kamer heeft gemeld. Wij hebben specifieke normen voor informatieveiligheid in de zorg vastgesteld: De NEN-normen 7510, 7512 en 7513. Verder heeft de sector haar eigen sectorale CERT (Computer Emergency Response Team) voor de Zorg (Z-CERT) in het leven geroepen. Z-CERT draagt zorg voor specifieke monitoring, preventie en reparatie van informatieveiligheidsinbreuken in het zorgveld en medische apparatuur. Sinds 24 januari 2018 is Z-CERT officieel van start gegaan. Verder hebben wij samen met de koepels NVZ, NFU, ZKN en GGZ Nederland een Actieplan opgezet voor de verhoging van de veiligheid van patiëntgegevens. "

... niets over het cyberrisico van bevoorbeeld patientmonitoring, beademing, continuiteit van het laboratorium, ... essentieel voor de gezondheid van corona- en andere patiënten.

Nederland heeft als enig land in de EU geen enkele zorginstelling aangewezen als Aanbieder van Essentiele Diensten (AED) waardoor de zorginstellingen minder getoetst zullen worden op hun cybersecurityhygiëne.

Regeren is vooruitzien ... veel sterkte en applaus aan de medewerkers in de zorgsector die de cyberveiligheid proberen te waarborgen zonder overheidssteun.

Sowieso zijn die dus niet klaar voor de natte dromen van Rathenau, KPMG en zorg-innovatie leuteraars met zorg via 5G of hybride tussenvormen danwel halve heilige gralen.
Het zou an sich echt kunnen volstaan om bepaalde instrumenten voor medici te verbeteren, zo lang het niet raak aan het bovenstaande dat iedereen hier en eerder al aankaartte.
Het is gewoonweg onverantwoord om zoveel meer met digitale instrumenten aan elkaar te willen koppelen.
Jammer voor de SAP managers en SAP fanaten die denken dat ERM en CRM een heilige graal zijn of doen alsof al het ziekenhuis personeel moet bukken en buigen voor de ideeën van fans van zulke systemen.
Zorg verlenen staat voorop, niet die fantastische sprongen in digitaal dromenland en mensen die niet door hebben dat ze met hun efficiency verkoop argumenten het algehele serviceniveau van hele organisaties eruit knijpen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.