Demo aanvragenDemo
NIS2

NIS2 in de zorg, wat betekent het naast NEN 7510?

Hoe je NIS2 en NEN 7510 als één werkmodel beheert in plaats van twee parallelle dossiers, en wat toezicht feitelijk wil zien.
12 april 2026 12 min leestijd
NIS2ZorgNEN 7510

De zorg is een van de zwaarst geraakte sectoren in Europa als het gaat om ransomware en supply-chain incidenten. Tussen 2022 en 2025 zijn meerdere Nederlandse ziekenhuizen en zorgketenleveranciers wekenlang teruggeworpen op pen en papier. Tegelijkertijd weet vrijwel iedere zorginstelling de weg naar NEN 7510 al jaren te vinden. Hoe past NIS2 daar precies in, en wat moet je nu anders organiseren?

We zien in de praktijk twee uitersten. De ene zorgorganisatie behandelt NIS2 als een nieuw, parallel project, met eigen plan, eigen Excel, eigen werkgroep. De andere doet alsof NIS2 vanzelf wordt afgedekt zodra het NEN 7510 dossier “op orde” is. Beide aannames kloppen niet. NIS2 is geen heruitvinding van NEN 7510, maar het is ook niet hetzelfde. Wie het slim aanpakt, behandelt beide kaders als verschillende blikken op dezelfde onderliggende werkelijkheid: de risico’s, processen en assets van de eigen organisatie.

Dat is ook de stelling van dit artikel. Wie risico-first werkt, en de wettelijke kaders ophangt aan een gemeenschappelijk model van risico, domein en control, beheert NIS2 en NEN 7510 in één werkstroom. Wie kader-first werkt, en per kader een eigen administratie opbouwt, betaalt twee keer en is bij elke wetswijziging opnieuw bezig.

Wie valt onder NIS2 in de zorg

Voor de zorg maakt NIS2 onderscheid tussen “essentiele” en “belangrijke” entiteiten. De grens loopt grofweg langs sector, omvang en kritisch karakter.

  • Essentiele entiteiten in de zorg zijn onder meer ziekenhuizen (inclusief categorale en academische), EU referentielaboratoria, en organisaties die fabriceren of distribueren met betrekking tot medische hulpmiddelen en geneesmiddelen die kritisch zijn voor de gezondheidszorg.
  • Belangrijke entiteiten zijn organisaties die wel in de sector vallen of die werken als essentiele toeleverancier, maar onder de grenswaarden van essentieel uitkomen. Denk aan grote eerstelijnsketens, GGZ-instellingen, klinieken, en IT-dienstverleners die kritische functies leveren aan ziekenhuizen.

Het verschil zit niet zozeer in de inhoudelijke verplichtingen (die zijn voor beide categorieen vrijwel gelijk) maar in de intensiteit van toezicht. Essentiele entiteiten krijgen proactief toezicht en kunnen worden geinspecteerd zonder concrete aanleiding. Belangrijke entiteiten worden reactief gecontroleerd, vooral na incidenten of meldingen. De boetegrenzen verschillen, met EUR 10 miljoen of 2% van de wereldwijde jaaromzet voor essentiele entiteiten als maximum.

Een veelgemaakte fout: aannemen dat “wij zijn geen ziekenhuis dus we vallen er niet onder”. Een laboratorium dat kritische diagnostiek levert aan meerdere ziekenhuizen valt vrijwel zeker onder NIS2, ook als het zelf een MKB is. Een softwareleverancier wiens platform een ziekenhuis nodig heeft om patientzorg te leveren, kan in beeld komen als belangrijke entiteit of via de supply-chain verplichtingen van zijn klant.

NEN 7510 als startpunt, niet als eindpunt

NEN 7510 is in de Nederlandse zorg sinds 2017 als feitelijke standaard verankerd, met NEN 7510-1 voor het managementsysteem en NEN 7510-2 voor de specifieke maatregelen. De aparte logging-norm NEN 7513 (over het vastleggen van handelingen in patientdossiers) heeft de lat op dat punt aanzienlijk omhoog gelegd.

NIS2 dekt veel terrein dat ook NEN 7510 al raakt. Op vier gebieden is de overlap groot:

  1. Risicobeoordeling en risicobehandeling. NEN 7510-1 hoofdstuk 6 en NEN 7510-2 vragen om een formele risicoanalyse en behandelplan. NIS2 artikel 21 lid 2(a) doet hetzelfde. Wie een actuele, traceerbare risicoanalyse heeft, levert die naar beide kaders.
  2. Beveiligingsmaatregelen. De controlcatalogus van NEN 7510-2 (gespiegeld aan ISO 27002) dekt grotendeels de “passende maatregelen” die NIS2 artikel 21 noemt. Toegangsbeheer, encryptie, beveiliging van endpoints, configuratiebeheer: het zit er al.
  3. Continuiteit. Zowel NEN 7510 als NIS2 vragen om Business Continuity Management en recovery testing. NEN 7510 sectie 17 en NIS2 artikel 21 lid 2(c) lopen vrijwel synchroon.
  4. Incident management. Beide kaders verwachten een gedocumenteerd incident proces, registratie, lessons learned en escalatie.

Wie deze vier domeinen volwassen heeft ingericht voor NEN 7510, heeft minstens 60% van de NIS2-eis al staan. Dat is geen excuus om achterover te leunen, het is een startpunt voor gerichte verbreding.

Waar NIS2 verder gaat dan NEN 7510

Er zijn echter vier gebieden waar NIS2 nieuwe of veel strakkere verwachtingen oplegt. Hier ligt het echte werk.

Bestuurlijke aansprakelijkheid

NEN 7510 spreekt over “directieverantwoordelijkheid” maar laat de juridische lading aan de organisatie zelf over. NIS2 artikel 20 maakt het persoonlijk: bestuurders moeten de cybersecuritymaatregelen goedkeuren, toezien op de implementatie, en aantoonbaar getraind zijn. In Nederland is dit doorvertaald naar de Cyberbeveiligingswet (Cbw), waarin nalatigheid van bestuurders sanctioneerbaar is.

Dat heeft praktische gevolgen. Een Raad van Bestuur die NEN 7510 voorheen als compliance-onderwerp delegeerde aan de CISO, moet onder NIS2 daadwerkelijk eigenaarschap aantonen. Concreet: een vast agendapunt op de RvB-agenda, getekende goedkeuringen van het ISMS en het risicobehandelplan, deelname aan crisisoefeningen, en aantoonbare training op cybersecurity-onderwerpen.

In de audits die wij begeleiden zien we dat dit het lastigste onderdeel is om met spoed in te halen. Een bestuurder die in maart de risicoanalyse heeft ondertekend kan in november niet glaubhaft maken dat hij of zij actief stuurt. Het is geen handtekening die toezicht zoekt, het is een patroon van betrokkenheid.

Meldplicht in drie stappen

Onder de Wbni (de voorloper van de Cbw) was er een meldplicht, maar de tijdslijn was vaag. NIS2 maakt het scherp: een early warning binnen 24 uur, een incident notification binnen 72 uur, een final report binnen een maand.

Wat hier vaak verkeerd gaat: de 24-uurs early warning is een laagdrempelig signaal aan het CSIRT met “er is iets aan de hand, dit is wat we tot nu toe weten”. De 72-uurs notification vraagt om een eerste analyse. Het final report binnen een maand vraagt om root cause, impact en maatregelen.

Operationeel betekent dit dat je incident-proces drie verschillende rapportagepaden moet ondersteunen, vanuit dezelfde ticket-record. Wie alleen een 72-uurs meldproces heeft (zoals onder de AVG voor datalekken), mist de 24-uurs trigger. En wie geen vast format heeft voor de final report, doet onder tijdsdruk concessies aan kwaliteit.

Supply chain risk management

NEN 7510 raakt leveranciersrelaties aan in sectie 15, maar in de praktijk leunt dat zwaar op contractuele afspraken en eenmalige due diligence. NIS2 artikel 21 lid 2(d) vraagt om actief, doorlopend supply chain risk management. Dat betekent: weet je welke leveranciers kritisch zijn voor je dienstverlening, weet je hoe zij hun security regelen, monitor je veranderingen, en heb je een plan voor uitval.

Voor zorginstellingen die zwaar leunen op specialistische leveranciers (EPD, beeldvorming, klinische systemen) is dit een wezenlijke verzwaring. Een EPD-leverancier is geen vendor maar een proceseigenaar. Onder NIS2 wordt verwacht dat je dat ook zo behandelt.

Toezicht en proportionaliteit

NEN 7510 wordt afgevinkt door een externe certificerende instelling, in een ritme van surveillance audits. NIS2 wordt gehandhaafd door een toezichthouder (in Nederland: de Rijksinspectie Digitale Infrastructuur voor algemene sectoren, en sectorspecifieke toezichthouders voor zorg) die in beginsel zonder aanleiding kan inspecteren.

Het verschil in cultuur is groot. Een NEN 7510-auditor toetst tegen een gedefinieerd kader en heeft per definitie ruimte voor interpretatie. Een NIS2-toezichthouder toetst tegen de wet en heeft bevoegdheid tot last onder dwangsom. Beide vragen om aantoonbaarheid, maar de toon is anders.

Hoe je beide kaders in één werkmodel zet

De fout die we het vaakst zien is dat NIS2 als nieuw kader bovenop NEN 7510 wordt gestapeld, in een aparte spreadsheet, met eigen projectteam. Binnen een jaar bestaat er dan een dubbele administratie waarin niemand meer weet welk bewijs naar welk kader hoort. Bij de eerste audit valt het uit elkaar.

De alternatieve aanpak begint bij een gemeenschappelijk fundament: een risico-first organisatiemodel waarin domeinen, processen en assets centraal staan, en kaders als “lenzen” daarop worden gelegd. Concreet:

  1. Begin met een actuele risicoanalyse, niet met een kader. Welke risico’s lopen je organisatie en je patienten? Wat is impact, wat is waarschijnlijkheid, wat doe je eraan?
  2. Definieer domeinen (bijvoorbeeld: klinische systemen, medisch beeldvorming, laboratorium, identiteitsbeheer, leverancierketen) met een eigenaar per domein. Een domein-eigenaar is verantwoordelijk voor de risico’s en controls binnen dat gebied.
  3. Map controls naar domeinen, niet naar kaders. Een sterk wachtwoordbeleid hoort bij het domein identiteitsbeheer. Het levert tegelijkertijd bewijs voor NEN 7510-2 5.17, ISO 27002 5.17, en NIS2 artikel 21 lid 2(i).
  4. Voeg de kaders toe als mapping-laag. Per control: aan welke kader-eisen voldoet deze? Pulse doet dit standaard voor 170+ kaders, maar het kan ook handmatig in een goed gestructureerde compliance-tool.
  5. Behoud een single source van bewijs. Een access-log, een ondertekend beleidsdocument, een testresultaat: dat is bewijs. Het mag tegelijkertijd worden gehangen aan meerdere control-mappings en daarmee aan meerdere kader-eisen.
  6. Behandel meldplicht en bestuurlijke eisen als procesvereisten, niet als documenten. Een goedgekeurd risicobehandelplan is mooi, maar wat telt is dat de bestuurder maandelijks betrokken is bij de update. Operationaliseer dat in je governance ritme.
  7. Bouw een continu audit-ready model. In plaats van twee keer per jaar paniek voor een audit: dagelijks zicht op status, automatische herinneringen wanneer bewijs verouderd raakt, kwartaalreviews op risico-niveau.

In dit model verdwijnt het verschil tussen “NEN 7510 dossier” en “NIS2 dossier”. Er is alleen nog een securityorganisatie die per kader op aanvraag een gefilterd overzicht oplevert. Dat is sneller, accurater en goedkoper dan parallel administreren.

Wat audit en toezicht feitelijk willen zien

Na tientallen audits zien we steeds dezelfde drie verwachtingen, ongeacht of het om NEN 7510 of NIS2 gaat:

  • Traceerbaarheid. Van risico naar control naar bewijs in twee klikken. Een toezichthouder die vraagt “hoe weet je dat dit risico is afgedekt”, wil geen verhaal, wil een keten.
  • Actualiteit. Bewijs ouder dan 12 maanden zonder herziening is verdacht. Een beleidsdocument uit 2021 dat sindsdien niet is heroverwogen, betekent dat het beleid waarschijnlijk niet leeft.
  • Eigenaarschap met handtekening. Per risico, per control, per actieplan: een naam, een rol, een datum. Anonieme verantwoordelijkheid is geen verantwoordelijkheid.

Wie deze drie elementen op orde heeft, doet het in vrijwel elke audit goed. Niet omdat de specifieke controls perfect zijn, maar omdat de organisatie laat zien dat ze haar eigen risico’s begrijpt en stuurt.

Drie veelgemaakte fouten

Fout 1: NIS2 als juridisch project behandelen. Het is een operationeel onderwerp dat juridische gevolgen heeft. Wie het bij de jurist legt en niet bij de CISO, krijgt mooie memo’s en geen veiligere organisatie.

Fout 2: Bestuurlijke aansprakelijkheid afkopen met een training. Een eenmalige cursus is niet genoeg. Het toezicht wil zien dat de bestuurder feitelijk betrokken is bij beslissingen, niet alleen achteraf tekent.

Fout 3: De supply chain reduceren tot een vragenlijst. Veel organisaties sturen een SIG of CAIQ rond en archiveren de antwoorden. Het echte werk is daarna: wegen, prioriteren, contractueel borgen, en bij kritische leveranciers periodiek hertoetsen.

Hoe wij ernaar kijken

Onze stelling: NIS2 is voor de Nederlandse zorg geen schok maar een logische verzwaring van wat al verwacht werd. De organisaties die het lastig krijgen zijn niet die waar de techniek tekortschiet, maar die waar security en compliance verkokerd zijn van elkaar en van de operatie. NIS2 dwingt die verbinding af, juist op het niveau van het bestuur.

Wie nu serieus risk-first werkt, een gemeenschappelijk model voor beide kaders bouwt, en de bewijslast continu actueel houdt, heeft de komende vijf jaar geen NIS2-probleem. Wie blijft hangen in kader-per-kader administratie, gaat het zwaar krijgen, niet omdat de wet veranderlijk is, maar omdat de toezichthouder concrete sturing wil zien op risico’s, niet op compliance-vinkjes.

NEN 7510 en NIS2 zijn geen concurrerende kaders. Ze zijn twee perspectieven op dezelfde vraag: heb je grip op de risico’s voor patientzorg en bedrijfscontinuiteit, en kun je dat aantonen? Wie die vraag goed beantwoordt, doet beide kaders in een keer.

Heb je vragen over dit onderwerp?

Plan een gesprek met een Pulse-consultant. Concreet, met je eigen situatie als uitgangspunt.

Plan een gesprek Naar Kennisbank