Drie op vier Belgi­sche zieken­huizen moeten dringend bijko­mende stappen zetten om het vereiste maturi­teits­ni­veau inzake cyber­be­vei­li­ging te bereiken. Dat blijkt uit het rapport Status of cyber­se­cu­rity in Belgian Hospi­tals, opgesteld door SHIELD vzw in samen­wer­king met de FOD Volks­ge­zond­heid. De analyse is gebaseerd op recente maturi­teits­me­tingen in meer dan vijftig zieken­huizen verspreid over het hele land. Tegelijk toont het rapport aan dat de sector zich sterk bewust is van de cyber­drei­ging en via struc­tu­rele samen­wer­king versneld vooruit­gang boekt.

Cyberdreiging en maturiteit van ziekenhuizen

In een geopo­li­tieke context waarin cyber­aan­vallen steeds vaker worden ingezet om maatschap­pe­lijke ontwrich­ting te veroor­zaken, vormt ook de zorgsector een poten­tieel doelwit. Voor zieken­huizen staat daarbij niet alleen de bescher­ming van gevoe­lige gegevens centraal, maar vooral de conti­nu­ï­teit en veilig­heid van zorg.

Het rapport toont aan dat de verschillen in cyber­ma­tu­ri­teit tussen zieken­huizen nog groot zijn. Eén op vier zieken­huizen behaalt reeds het vereiste niveau of zit daar dicht bij, terwijl vooral kleinere en psychi­a­tri­sche zieken­huizen achter­blijven door beperkte middelen en een tekort aan gespe­ci­a­li­seerde profielen. Ook regio­naal zijn er verschillen: Vlaamse zieken­huizen scoren gemid­deld beter dan Waalse en Brusselse.

NIS2 als norm voor cyberbeveiliging

De Europese NIS2-richt­lijn verplicht organi­sa­ties in essen­tiële sectoren, waaronder zieken­huizen, om hun cyber­be­vei­li­ging aantoon­baar te versterken. De richt­lijn combi­neert techni­sche maatre­gelen, zoals detectie en netwerk­be­vei­li­ging, met een formeel georga­ni­seerde interne werking rond processen, verant­woor­de­lijk­heden en incident­be­heer. Beide elementen zijn noodza­ke­lijk om aan de NIS2-vereisten te voldoen.

Samenwerking en gedeelde instrumenten om cyberbeveiliging te verbeteren

De algemene trend in de zieken­huis­sector is positief. Dankzij inten­sieve samen­wer­king en gedeelde instru­menten boeken steeds meer zieken­huizen vooruit­gang, vooral op het vlak van gover­nance en formele veran­ke­ring van cyberveiligheid.

SHIELD vzw speelt hierin een centrale rol als neutraal samen­wer­kings­plat­form dat zieken­huizen, ICT-dienst­ver­le­ners en de overheid samen­brengt. In samen­wer­king met de FOD Volks­ge­zond­heid onder­steunt SHIELD een sector­brede aanpak waarbij maturi­teit syste­ma­tisch wordt gemeten en kennis en oplos­singen worden gedeeld.

Een belang­rijk instru­ment daarbij is de SHIELD Library: een sector­breed ontwik­kelde set van processen, proce­dures en beleids­do­cu­menten, opgesteld door en voor Belgi­sche zieken­huizen. De Library is afgestemd op NIS2 en erkende standaarden zoals ISO/​IEC 27001 en Cyber­Fun­da­men­tals. Ze vermijdt dubbel werk, zorgt voor meer consis­tentie en versnelt de imple­men­tatie van cyberbeveiligingsmaatregelen.

SHIELD en de FOD Volks­ge­zond­heid beperken zich niet tot rappor­te­ring alleen. De maturi­teits­me­tingen vormen de basis voor gerichte actie. Binnen het neutrale platform werken zieken­huizen samen met de overheid en ICT-dienst­ver­le­ners aan vraag­ge­stuurde oplos­singen, afgestemd op hun speci­fieke context en noden.

Roadmaps voor versterkte cyberweerbaarheid

De maturi­teits­voort­gang zal continu worden opgevolgd en geactu­a­li­seerd. Voor elk zieken­huis wordt boven­dien een indivi­duele roadmap uitge­werkt voor de komende 36 maanden, met duide­lijke priori­teiten, geplande oplos­singen en een inschat­ting van de benodigde inzet van mensen en budgetten. Deze indivi­duele roadmaps worden samen­ge­bracht in een secto­rale roadmap, die inzicht biedt in de gezamen­lijke inspan­ningen die nodig zijn om de cyber­weer­baar­heid van de Belgi­sche zorg versneld op peil te brengen en waar bijko­mende onder­steu­ning aange­wezen is.

De Minister van Volks­ge­zond­heid maakt jaarlijks 15 M€ beschik­baar voor Cyber­se­cu­rity dat ter beschik­king wordt gesteld van de algemene en psychi­a­tri­sche zieken­huizen.  Met de one shots van 2022 (20 M€) en 2024 (40 M€) werd sinds 2022 al 105 M€ geïnvesteerd. 

We hebben mee geïnves­teerd in de VZW Shield, een bottom-up initi­a­tief van de zieken­huizen, om cyber­se­cu­ri­ty­dien­sten te ontwik­kelen voor de zieken­huizen om zo krachten te bundelen en kennis te delen.  We zijn er zeker van dat we vanuit volks­ge­zond­heid de goede inspan­ningen onder­steunen om de zieken­huizen NIS2 compliant te maken.  Al meer dan 90% van de algemene zieken­huizen werken hieraan en hebben de laatste jaren signi­fi­cante stappen gezet, maar er blijft nog veel werk. Zo worden er maande­lijks oefeningen georga­ni­seerd met de zieken­huizen hoe om te gaan met cyberin­ci­denten om best practices te ontwik­kelen en te verbeteren. 

Het rapport is beschik­baar op www​.shield​-vzw​.be