(CyberProgramma 2025 – CP_Circ25)

Inleidende toelichting aan de FOD Volksgezondheid

In overeenstemming met de circulaire van de FOD Volksgezondheid inzake de toewijzing van het budget voor cyberbeveiliging vanaf 2025, legt de organisatie met dit dossier haar aanpak, voortgang en geplande acties voor cyberbeveiliging voor. Het dossier geeft inzicht in de huidige maturiteit, de genomen stappen en het verdere traject dat werd opgezet om de cyberweerbaarheid structureel te versterken.

De organisatie bouwt haar aanpak op volgens erkende kaders en methodieken, met bijzondere aandacht voor governance, patiëntveiligheid, continuïteit van zorg en samenwerking met externe gespecialiseerde partners. De voorgelegde beleidsdocumenten, maturiteitsmetingen en actieplanning illustreren hoe documentatie en implementatie stapsgewijs en samenhangend worden uitgebouwd, conform de verwachtingen zoals geformuleerd door de FOD Volksgezondheid.

Individuele financiering

Individuele initiatieven

Zoals gevraagd binnen het kader van de individuele financiering van het CyberProgramma 2025 (CP_Circ25) legt de organisatie met dit dossier haar aanpak voor om te voldoen aan de verplichtingen van NIS2 én om structureel te bouwen aan cyberweerbaarheid. De aangeleverde documentatie geeft inzicht in de huidige maturiteit, de beleidsmatige verankering van cyberbeveiliging en het traject dat werd opgezet om cyberrisico’s duurzaam te beheersen in functie van patiëntveiligheid en continuïteit van zorg.

De organisatie beschouwt NIS2-conformiteit als een bindende einddoelstelling, maar positioneert deze binnen een breder en toekomstgericht cybersecurityprogramma. De focus ligt op het versterken van governance, het risicogestuurd prioriteren van initiatieven en het gefaseerd uitbouwen van organisatorische en technische maatregelen die de weerbaarheid van de organisatie verhogen, inclusief risico’s die voortkomen uit samenwerkingen en afhankelijkheden in de toeleveringsketen.

Als inhoudelijk referentiekader hanteert de organisatie het CyFun-framework van het Centrum voor Cybersecurity België (CBB), dat een pragmatische en zorggerichte vertaling biedt van wettelijke verplichtingen naar concrete verbeteracties. De rapportering in dit dossier sluit aan bij CyFun versie 2025 en wordt ondersteund door beleidsdocumentatie en beheersmaatregelen die zijn afgestemd op internationaal erkende normen, waaronder ISO/IEC 27001 en ISO/IEC 27002 voor informatiebeveiliging, ISO 22301 voor continuïteit van kritieke zorgprocessen en ISO 28000 voor het beheersen van risico’s binnen de supply chain. Waar relevant wordt aanvullend aansluiting gezocht bij andere toepasselijke normen en best practices.

De aangevraagde financiering binnen het individuele luik van het CyberProgramma wordt ingezet om deze prioritaire initiatieven te realiseren en draagt rechtstreeks bij aan het behalen van NIS2-conformiteit én aan het duurzaam versterken van de cyberweerbaarheid van de organisatie.

Onze voortgang wordt opgevolgd via een gestructureerde maturiteitsmeting, waarbij documentatie- en implementatiematuriteit afzonderlijk maar samenhangend worden opgebouwd volgens een gefaseerd plan. Wij werken stapsgewijs van formele vastlegging naar effectieve werking, met periodieke evaluatie en bijsturing op basis van prioriteiten, risico’s en gerealiseerde implementatie.

Uitwerking beleid Cyberbeveiliging en hiërarchie van onderliggende beleidsdocumenten

De organisatie hanteert een overkoepelend beleid informatiebeveiliging, dat in het kader van NIS2 kritisch werd herbekeken en geactualiseerd. Dit beleid vormt het fundament voor de governance van informatiebeveiliging binnen ons ziekenhuis en bepaalt de algemene principes, verantwoordelijkheden en doelstellingen.

Onder dit overkoepelend beleid werd een specifiek beleid cyberbeveiliging uitgewerkt. Dit beleid focust expliciet op cyberdreigingen, digitale weerbaarheid en de bescherming van systemen en netwerken die essentieel zijn voor de continuïteit van zorg. Het beleid cyberbeveiliging concretiseert de uitgangspunten van het informatiebeveiligingsbeleid voor het cyberdomein en vormt het inhoudelijk referentiekader voor verdere uitwerking.

Om samenhang en hanteerbaarheid te waarborgen, werd een duidelijke hiërarchie van beleidsdocumenten opgesteld. Binnen deze hiërarchie worden thematische beleidsdocumenten systematisch ontwikkeld en geordend volgens de cybersecurity functies Govern, Identify, Protect, Detect, Respond en Recover. Deze thematische beleidsdocumenten vertalen het beleid cyberbeveiliging naar concrete beleidsafspraken per domein en ondersteunen een gestructureerde, gefaseerde en risicogestuurde implementatie.

De bijgevoegde snapshot visualiseert deze beleidsstructuur en toont hoe het overkoepelend beleid informatiebeveiliging, het beleid cyberbeveiliging en de onderliggende thematische beleidsdocumenten samen één coherent en samenhangend beleidskader vormen.

In aansluiting op het overzicht van de beleidsstructuur volgt hieronder het beleid cyberbeveiliging, dat onder het overkoepelend beleid informatiebeveiliging werd uitgewerkt. Dit beleid concretiseert de organisatiebrede uitgangspunten voor het cyberdomein en vormt het inhoudelijk kader waarbinnen de thematische beleidsdocumenten verder zijn opgebouwd.

Risicomanagementsysteem – aanpak en stand van zaken

De organisatie hanteert een geïntegreerd risicomanagementsysteem waarin cyberdreigingen expliciet worden meegenomen als onderdeel van het bredere organisatiebrede risicobeheer. Cyberrisico’s worden niet los beoordeeld, maar steeds in samenhang met zorgprocessen, digitale afhankelijkheden, patiëntveiligheid en continuïteit van de werking.

Het risicomanagementsysteem is opgebouwd rond een uniforme en consistente risicobenadering die toelaat risico’s op een gestructureerde en vergelijkbare manier te identificeren, te beoordelen en op te volgen. Hierbij wordt gewerkt met een duidelijke scope die processen, systemen, data en externe partijen omvat. Deze brede scope weerspiegelt de realiteit van een ziekenhuisorganisatie, waarin cyberrisico’s zich vaak manifesteren via onderlinge afhankelijkheden.

Geïdentificeerde cyberrisico’s worden systematisch gekoppeld aan bestaande of geplande beheersmaatregelen. Deze koppeling maakt het mogelijk om prioriteiten te bepalen, de effectiviteit van maatregelen te beoordelen en gerichte verbeteracties te definiëren. Risicobehandeling wordt daarbij opgevolgd als een continu proces, met aandacht voor evoluerende dreigingen, wijzigingen in de digitale omgeving en incidentervaringen.

De onderstaande snapshots illustreren deze aanpak. Ze tonen enerzijds de principes van de organisatiebrede risicobenadering en anderzijds de uniforme schaal en methodiek die wordt gebruikt voor risicobeoordeling. Samen maken zij zichtbaar hoe cyberrisico’s op een consistente en transparante manier worden beheerd binnen het bredere risicomanagementkader van de organisatie.

Op basis van deze principes werd een organisatiebreed beleid risicomanagement opgesteld dat richting geeft aan de identificatie, beoordeling en opvolging van risico’s binnen het ziekenhuis. Onder dit overkoepelend beleid zijn verdere beleidsdocumenten uitgewerkt die risicomanagement concretiseren voor specifieke domeinen, waaronder informatiebeveiliging en cyberbeveiliging. Deze beleidsmatige uitwerking zorgt voor samenhang en consistentie, zonder het dossier nodeloos te verzwaren met bijkomende detaildocumentatie.

Ter ondersteuning van een consistente en vergelijkbare beoordeling van risico’s hebben we een beleid opgesteld voor uniforme risicobeoordeling en risicorating. Dit beleid bepaalt hoe risico’s eenduidig worden ingeschat en geclassificeerd over de verschillende domeinen heen.

Concrete uitwerkingen per impactschaal:

Waarschijnlijkheid vanuit het perspectief van dreigingsactoren:

De onderstaande snapshots illustreren hoe cyberrisico’s concreet worden geanalyseerd en gestructureerd, aan de hand van visuele risicomodellen en een uitgebreid geheel van vooraf uitgewerkte risicoassessments. Deze aanpak ondersteunt een consistente en schaalbare risicobeoordeling en sluit aan bij de kennisomgeving die verder wordt toegelicht binnen de collectieve initiatieven (smartNIS2).

Overzicht:

Financiering van prioritaire projecten

NIS2-conformiteit

NIS2-conformiteit is een prioritair project voor de organisatie. Voor de toelichting van dit project verwijzen we naar ons Compliance plan, de herziening en bijwerking van ons overkoepeld beleid voor informatiebeveiliging en onderliggende beleid cyberbeveiliging en onze beschrijving tenslotte van de rigoureuze uitwerking van risicomanagement binnen de organisatie.

Sensibilisatie

Beleid Awareness & Training

Het beleid Awareness & Training werd herbekeken en aangescherpt om bewustmaking en opleiding structureel te verankeren binnen het ziekenhuis. Vanuit dit beleidskader werden de inspanningen op het vlak van cyberbewustzijn aanzienlijk opgevoerd en vertaald naar concrete en meetbare acties. De onderstaande snapshot toont het beleidsmatig kader.

Awareness & Training op basis van incidentanalyse

De onderstaande snapshot illustreert hoe incidentanalyse ook wordt ingezet als instrument voor sensibilisatie en opleiding. Door incidenten systematisch te reconstrueren en te analyseren, wordt inzicht verkregen in hoe zowel technische als menselijke kwetsbaarheden konden worden gecompromitteerd. Deze aanpak ondersteunt het lerend vermogen van onze organisatie en maakt cyberdreigingen concreet en herkenbaar voor medewerkers, wat bijdraagt aan duurzaam bewustzijn en versterkte cyberweerbaarheid.

Identiteits- en toegangsbeheer

Beleid Identiteits- en toegangsbeheer

De organisatie investeert in de herziening en update van haar beleid om toegang tot kritieke systemen te beheren, zowel voor interne toegang als aan onze perimeter.

Onze investering in de opmaak van beleidsdocumenten verloopt via het smartNIS2 programma van Bright Phoenix, zie luik ‘financiering van collectieve initiatieven.

Detectie van en reactie op incidenten

Beleid Logging & Monitoring

In het kader van het prioritaire project rond detectie van en reactie op cyberincidenten hebben we expliciet geïnvesteerd in de herziening en versterking van ons beleid Logging & Monitoring. Dit beleid vormt de noodzakelijke basis om afwijkingen, verdachte activiteiten en beveiligingsincidenten tijdig te detecteren en gericht te analyseren.

Door logging en monitoring structureel te verankeren, beschikt ons ziekenhuis over betrouwbare informatie om incidenten sneller te herkennen, correct in te schatten en gepast te reageren. Deze beleidsmatige versterking ondersteunt niet alleen technische detectiemaatregelen, maar zorgt er ook voor dat respons en opvolging tijdens incidenten gecontroleerd en onderbouwd verlopen, met aandacht voor continuïteit van zorg en patiëntveiligheid.

Hieronder vindt u een snapshot van de inhoud van dit beleidsdocument. Het beleid verduidelijkt op een gestructureerde wijze de rollen en verantwoordelijkheden van het bestuursorgaan, het dagelijks bestuur, de eerste lijn en de tweede lijn van beveiliging.

Zoals dit overzicht aantoont, is cyberbeveiliging geen louter technische verantwoordelijkheid, maar een ziekenhuisbrede opdracht die gedragen wordt door ons bestuur, management en ondersteunende functies. Deze duidelijke rolverdeling versterkt de besluitvorming, de coördinatie tijdens incidenten en de effectiviteit van detectie- en responsmaatregelen.

Onze investering in de opmaak van beleidsdocumenten verloopt via het smartNIS2 programma van Bright Phoenix, zie luik ‘financiering van collectieve initiatieven.

Beleid incident responsmanagement

De onderstaande snapshots tonen de kernstructuur van het beleid Information Security Incident Management. De inhoudstafel weerspiegelt een samenhangend en governance-gedreven beleidskader, waarin verantwoordelijkheden, besluitvorming en operationele afhandeling duidelijk zijn afgebakend. Het beleid is expliciet opgebouwd om informatiebeveiligingsincidenten op een gecontroleerde, proportionele en zorggerichte manier te beheren, met aandacht voor patiëntveiligheid, continuïteit van zorg en wettelijke verplichtingen.

Het beleid is opgezet in overeenstemming met ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27035, ISO 22301 en het CyFun-framework versie 2025, en vormt een integraal onderdeel van het bredere governance- en risicobeheerkader van de organisatie.

Operationele veiligheid

Het prioritair project rond operationele veiligheid wordt meegenomen als een integraal onderdeel van het bredere NIS2-complianceplan, waarbij operationele risico’s in samenhang worden bekeken met cyber- en informatiebeveiliging binnen de bestaande governance- en risicobeheerkaders.

Netwerk beveiliging

Resilience

Binnen het luik resilience benaderen we cyberweerbaarheid niet als een louter technische of compliance-gedreven inspanning, maar als een structurele randvoorwaarde voor veilige en continue zorgverlening. Het vermogen om cyberincidenten te weerstaan, op te vangen en te herstellen draagt rechtstreeks bij aan patiëntveiligheid, continuïteit van zorgprocessen en vertrouwen in het zorgsysteem.

Ziekenhuizen maken deel uit van de kritieke infrastructuur. Het beschermen van medische data, zorgprocessen en digitale zorgsystemen tegen cyberdreigingen is essentieel om verstoringen te beperken en kwaliteitsvolle zorg te blijven garanderen, ook in uitzonderlijke of crisissituaties. Investeringen in cyberbeveiliging en resilience ondersteunen daarmee rechtstreeks onze maatschappelijke opdracht en dragen bij aan het realiseren van goede gezondheid en welzijn.