Na ChipSoft: NIS2 maakt ketenveiligheid in de zorg bestuurstaak
Begin april ontdekte softwareleverancier ChipSoft afwijkingen in zijn systemen. Op 16 april bevestigde het bedrijf dat het om een ransomware-aanval ging en dat patiëntgegevens, waaronder medische gegevens, waren ontvreemd. Volgens NOS gebruikt zo'n 70 procent van de Nederlandse ziekenhuizen software van ChipSoft — waardoor één incident direct tientallen zorginstellingen raakte. Patiëntportalen gingen offline, VPN-verbindingen werd
Na ChipSoft: NIS2 maakt ketenveiligheid in de zorg bestuurstaak
Begin april ontdekte softwareleverancier ChipSoft afwijkingen in zijn systemen. Op 16 april bevestigde het bedrijf dat het om een ransomware-aanval ging en dat patiëntgegevens, waaronder medische gegevens, waren ontvreemd. Volgens NOS gebruikt zo’n 70 procent van de Nederlandse ziekenhuizen software van ChipSoft — waardoor één incident direct tientallen zorginstellingen raakte. Patiëntportalen gingen offline, VPN-verbindingen werden verbroken. Precies dit ketenrisico wil de naderende Cyberbeveiligingswet beperken.
Keten is geen bijzaak meer
De wet, de Nederlandse uitwerking van NIS2, treedt naar verwachting in het tweede kwartaal van 2026 in werking, afhankelijk van de behandeling in de Eerste Kamer op 19 mei. Ziekenhuizen, GGD’en en veel ggz-instellingen vallen onder de zorgplicht. Die plicht stopt niet bij de eigen voordeur. Zorginstellingen worden medeverantwoordelijk voor de digitale weerbaarheid van hun toeleveranciers — van EPD-systeem tot medische apparatuur tot beheerde werkplekken.
Dat het ketenrisico geen theorie is, bleek eerder dit jaar ook in Duitsland. Volgens het Cybersecuritybeeld Nederland 2025 van de AIVD werd apotheekgroothandel AEP daar geraakt door ransomware, waarna de bevoorrading van apotheken stagneerde.
Wat zorgorganisaties nu al moeten organiseren
Onder NIS2 moet de basis aantoonbaar op orde zijn:
- Incidentisolatie bij EPD-leveranciers, procedureel vastgelegd en recent getest
- Immutable back-ups met een geverifieerde restore
- Beheerde endpoints met phishing-resistente MFA
- Disaster Recovery Plan dat rekent op dagen uitval, niet uren
- Monitoring van afwijkend gedrag van gebruikers én apparaten
“Ziekenhuizen vragen sinds april echt andere dingen in offertes,” zegt Michel Heinst, CEO van TechOutlet.eu. “Vroeger ging het om specs. Nu om configuratiebewijs en herstelprocedures.”
Meer over NIS2 en zakelijke hardware voor de zorg: NIS2 cybersecurity zakelijke hardware.
Over TechOutlet.eu — B2B-leverancier van ICT-hardware van o.a. HP inc, Lenovo, Dell, Microsoft Surface voor Nederland, België, rest van EU sinds 2014.
Meer lezen