Z-CERT: Leveranciersrol cruciaal bij cybersecurity-incidenten

Auteur: Thijs Doorenbosch

Als er een groot cybersecurity-incident is bij een leverancier van zorgaanbieders, heeft de betreffende leverancier een essentiële rol in de informatievoorziening.

Hoewel Z-CERT primair de zorgaanbieder ondersteunt, kan deze organisatie als schakel fungeren tussen de getroffen leverancier en de zorgsector, vertelde Daan Brinkhuis MT-lid van Z-CERT op thema-bijeenkomst over cybersecurity van OIZ.

Z-CERT is het sectorale Computer Emergency Response Team (CERT) en expertisecentrum voor cybersecurity in de Nederlandse zorgsector. Wanneer een zorgaanbieder te maken krijgt met een cybersecurity-incident, is deze organisatie volgens de Cyberbeveiligingswet verplicht dit binnen 24 uur te melden bij het Nationaal Cyber Security Centrum (NCSC). Deze organisatie schakelt de melding automatisch door naar Z-CERT, dat hulp biedt bij het beperken van de gevolgen van de aanval en bij het herstel. Afhankelijk van de aard van het incident ondersteunt Z-CERT bij het forensisch onderzoek dat volgt na een cyberaanval.

Goede en snelle informatie-uitwisseling is de sleutel tot een effectieve respons op een cybersecurity-incident. De zorgaanbieder kan alleen aan zijn wettelijke informatieplicht voldoen als er voldoende informatie beschikbaar is. “Hier ligt een belangrijke rol voor ICT-leveranciers in de zorg”, benadrukt Brinkhuis. “We willen bovendien graag zo snel mogelijk technische details hebben, zodat we die kunnen delen met andere zorgaanbieders. Openheid is heel belangrijk, ook vanuit de zorgaanbieders, om te voorkomen dat een incident overslaat naar andere partijen.”

Regelmatig oefenen is belangrijk

Een belangrijk onderdeel van een snelle respons is een goede voorbereiding. Regelmatig crisisoefeningen houden zorgt ervoor dat iedereen bekend is met de crisisorganisatie en weet welke informatie in verschillende fasen nodig is. Brinkhuis vertelt dat Z-CERT Academy zorgorganisaties daarmee kan helpen, bijvoorbeeld met de inrichting van een community met de juiste aanspreekpunten en met het organiseren van oefeningen. “Wij hebben veel ervaring met verschillende crisissituaties en kunnen helpen met het opstellen van scenario’s voor tabletop-oefeningen.”

Brinkhuis roept leveranciers op om Z-CERT op te nemen in de eigen calamiteitenplannen, zodat de informatiestroom bij een incident dat de zorgsector raakt snel op gang komt. Ook kan de organisatie helpen om in de ‘koude fase’ al communicatieboodschappen af te spreken of processen op detailniveau met elkaar af te stemmen. Hij geeft daarbij wel aan wat de grenzen zijn aan de rol van Z-CERT. Zo wil de organisatie niet marktverstorend zijn en voert dus bijvoorbeeld geen audits uit. Ook houdt Z-CERT zich niet bezig met het inrichten van EPD’s. “Het gaat bij ons echt om de zaken die rondom de wettelijke verplichting zweven, waarbij we vooral advies geven en een zorgaanbieder een second opinion kunnen bieden naast de commerciële incident response partij.”

Voorkom extra administratieve lasten

De Cyberbeveiligingswet – de Nederlandse implementatie van de Europese NIS2-richtlijn – stelt nieuwe eisen aan de leveranciersketen van zorgaanbieders die onder de wet vallen. Brinkhuis verwacht dat zij daardoor scherpere vragen gaan stellen aan leveranciers. “Die eisen zijn net wat strenger uitgewerkt dan in NEN 7510 en vereisen dat de zorgsector meer grip krijgt op de toeleveringsketen.” Hij onderstreept dat het niet de bedoeling is dat deze extra eisen leiden tot hogere administratieve lasten voor de leveranciers.

Vincent van den Berg, bestuursvoorzitter van OIZ, constateert dat het onderwerp heel nadrukkelijk op de agenda van ICT-leveranciers in de zorg staat, zeker na een aantal recente incidenten. “Daarbij is de onderlinge samenwerking tussen leveranciers een belangrijke component. Ik denk dat we op dat vlak nog wel een extra stap moeten zetten.”