NEN 7510 ist die niederländische Norm für Informationssicherheit im Gesundheitswesen. Seit 2024 fallen die meisten Gesundheitseinrichtungen zusätzlich unter das niederländische Cybersicherheitsgesetz (Cbw, die NL-Umsetzung von NIS2) als wesentlicher Sektor. Awareness-Training ist in beiden Rahmen gefordert, die Schwerpunkte unterscheiden sich. NEN 7510 fokussiert auf Patienteninformationen und ärztliche Schweigepflicht, das Cbw auf organisatorische Maßnahmen und Vorstandsverantwortung. Wie baut man ein Awareness-Programm auf, das beiden gerecht wird ohne doppelte Administration?
Warum das Gesundheitswesen einen doppelten Rahmen hat
Gesundheitsorganisationen müssen sowohl die NEN 7510:2024 (aktuelle Version der Norm Informationssicherheit im Gesundheitswesen) als auch das Cyberbeveiligingswet (Cbw) einhalten. NEN 7510 ist kein Gesetz, sondern eine Sektor-Norm, Aufsicht durch die IGJ als praktische Auslegung der Wkkgz-Sorgfaltspflichten.
Das Cbw ist obendrein ein nationales Gesetz mit spezifischen organisatorischen, technischen und Governance-Anforderungen. Für als wesentlich ausgewiesene Gesundheitseinrichtungen (die meisten Krankenhäuser, psychiatrischen Einrichtungen, Langzeitpflege) gelten Cbw Art. 21 (Sorgfaltspflicht) und Art. 24 (Vorstandsschulung) verbindlich.
In der Praxis überlappen die beiden Rahmen zu 60–70 %, beide verlangen Risikomanagement, Vorfallbehandlung, Awareness, Lieferantenmanagement. Die verbleibenden 30–40 % unterscheiden sich in Schwerpunkten: NEN 7510 tiefer bei Patienteninformationen und Schweigepflicht, Cbw breiter bei Cyberresilienz und Vorstandshaftung.
NEN-7510-Anforderungen an Awareness
NEN 7510 verweist für die allgemeine Struktur auf ISO 27001/27002, fügt aber sektor-spezifische Anforderungen hinzu. Bei Awareness und Personal sind die wichtigsten Abschnitte:
- §7.2.2 (Bewusstsein, Aus- und Weiterbildung): alle Mitarbeitenden und relevanten Dritten erhalten geeignete Schulung zu ihren Sicherheitsverantwortungen, periodisch wiederholt.
- §9.2 (Zugriffsrichtlinie): Mitarbeitende müssen wissen, welche Patientendaten sie einsehen dürfen, Schweigepflicht ist hier der primäre Rahmen.
- §16.1 (Incident Management): Mitarbeitende müssen Datenschutzverletzungen und Sicherheitsvorfälle erkennen und melden, direkt an die Meldepflicht zur AP und an Patienten gekoppelt.
- NEN 7510-2 (Erweiterung): sektor-spezifische Risikomanagement-Leitlinien für die elektronische Verarbeitung von Patientendaten.
Sektor-spezifische Awareness-Themen
Generischer Awareness-Inhalt funktioniert im Gesundheitswesen weniger gut. Was anderswo als "Phishing" erkannt wird, hat hier einen spezifischen Kontext: eine KIS/EPA-Benachrichtigung, die zur erneuten Authentifizierung auffordert, ein Lieferant, der dringende Autorisierung für einen Patientendaten-Export verlangt, ein Anrufer, der sich als Arzt ausgibt.
Effektive Awareness im Gesundheitswesen behandelt mindestens: Patientendaten und Schweigepflicht (rechtlich und ethisch), Erkennung und Meldung von Datenschutzverletzungen, Identitätsbetrug bei registrierten Berufen, USB-Infektion auf Stationen, MDM/BYOD für mobile Arbeitsplätze und Social Engineering speziell für Empfangs- und Triage-Mitarbeitende.
Zielgruppensegmentierung ist entscheidend. Eine Pflegefachkraft auf einer Station, ein Verwaltungsmitarbeiter und die Ärztliche Direktion haben jeweils andere Risiken und andere Reflexe nötig. Nicht segmentierte Awareness wirkt für Pflegende oft abstrakt, was Beteiligung und Wirksamkeit nachweisbar senkt.
Vorstandsschulung: NEN 7510 vs. Cbw Art. 24
NEN 7510 verlangt Vorstandsbeteiligung am Information Security Management System (ISMS), schreibt aber keine verpflichtende Vorstandsschulung vor. Das Cbw dagegen schon: Artikel 24 verlangt ausdrücklich nachweisbare Vorstandsschulung, mit persönlicher Haftung bei schuldhafter Fahrlässigkeit.
Für Klinik- und Pflegevorstände bedeutet das: ein Cbw-konformes Programm deckt automatisch auch die NEN-7510-Vorstandsbeteiligung besser ab als umgekehrt. Beginnen Sie daher mit dem strengeren der beiden, Cbw Art. 24, und lassen Sie die NEN-7510-Vorstandsbeteiligung daraus folgen.
Praktisch: eine jährliche Vorstandssitzung von 2–3 Stunden zu sektor-spezifischen Cyberrisiken (Ransomware-Auswirkungen auf die Patientenversorgung, Haftung bei Datenschutzverletzungen, Lieferantenrisiko in der Lieferkette), ergänzt durch kurze Updates bei relevanten Vorfällen. Dokumentation (Datum, Teilnahme, Inhalt) gilt für beide Rahmen als Beweis.
Ein Programm, zwei Reports
Der größte Stolperstein bei der Kombination von NEN 7510 und Cbw ist doppelte Administration. Viele Gesundheitsorganisationen führen zwei parallele Compliance-Strecken mit überlappenden Awareness-Aktionen, die separat berichtet werden.
Saubere Lösung: ein Awareness-Programm mit einer Reporting-Schicht, bei der jede Teilnahme sowohl an NEN-7510-Controls als auch an Cbw-Artikel gekoppelt wird. Für IGJ-Aufsicht exportieren Sie nach NEN-7510-Control; für Cbw-Aufsicht nach Cbw-Artikel. Die zugrundeliegenden Daten sind dieselben.
Moderne Security-Awareness-Plattformen (wie 2LRN4) unterstützen diese Doppel-Zuordnung standardmäßig. Pro Trainingsereignis wird festgehalten, welcher NEN-7510-Abschnitt und welches Cbw-Artikel erfüllt werden, sowie Zielgruppe, Datum, Anbieter und Evaluierungsergebnis. Bei einer Prüfung wählen Sie in einem Export die passende Sicht.
Entdecken Sie, wie 2LRN4 dieses Thema in ein funktionierendes Programm mit Training, Phishing-Simulation und Management-Reporting überführt.
Zur PlattformseiteVerwandte Artikel
- Was ist das niederländische Cybersicherheitsgesetz (Cbw)?
- Phishing-Risiken im Gesundheitswesen
- Cbw Artikel 24: Vorstandstraining
Quellen
FAQ
Ist NEN 7510 für Gesundheitseinrichtungen verpflichtend?
NEN 7510 ist kein Gesetz, wird aber de facto verpflichtend, weil die IGJ sie als praktische Auslegung der Wkkgz-Sorgfaltspflicht überwacht. Für Anbieter, die mit Patientendaten arbeiten, ist Einhaltung in der Praxis notwendig.
Welcher Rahmen ist strenger, NEN 7510 oder Cbw?
Das Cbw hat formell mehr Gewicht (nationales Gesetz, persönliche Vorstandshaftung, höhere Bußgelder). NEN 7510 ist detailreicher bei sektor-spezifischen Themen. Beide einzuhalten ist keine Option, sondern Pflicht; in der Praxis deckt ein gutes Cbw-Programm bereits den größten Teil von NEN 7510 ab.
Fallen alle Gesundheitseinrichtungen unter das Cbw?
Die meisten ja, Krankenhäuser, psychiatrische Einrichtungen, Altenpflege, Behindertenhilfe und größere Primärversorgungs-Verbände sind als wesentliche Einrichtungen ausgewiesen. Kleine Hausarztpraxen (<50 Mitarbeitende) fallen meist heraus, müssen aber weiterhin DSGVO und NEN 7510 einhalten.
Wie oft muss Awareness-Training wiederholt werden?
NEN 7510 spricht von "periodisch". In den Praxis-Leitlinien gilt mindestens jährlich, mit Onboarding-Schulung für Neueintritte und zusätzlicher Schulung nach Vorfällen oder Richtlinienänderungen. Effektiver sind kürzere Module über das Jahr verteilt (Microlearning) als eine lange Jahressitzung.
Was ist der Unterschied zwischen NEN 7510 und ISO 27001?
NEN 7510 basiert auf ISO 27001/27002, fügt aber sektor-spezifische Anforderungen hinzu (Abschnitte zu Patienteninformationen, Schweigepflicht, elektronischer Verarbeitung). ISO-27001-Zertifizierung wird mitunter als Vorstufe zur NEN-7510-Konformität genutzt, sie sind jedoch nicht austauschbar.
Wie verhält sich das zur DSGVO?
Die DSGVO ist die rechtliche Grundlage für die Verarbeitung personenbezogener Daten, einschließlich Gesundheitsdaten als besondere Kategorie. NEN 7510 gibt die praktische Auslegung der DSGVO-Sorgfaltsanforderungen für den Gesundheitssektor. Eine Datenschutzverletzung mit Patientendaten führt sowohl zur DSGVO-Meldepflicht (AP) als auch zu NEN-7510-Vorfallbehandlung und Cbw-Meldepflicht, drei Meldewege für einen Vorfall, koordiniert.
Externe Quelle: European Commission - NIS2 Directive