West Pharmaceutical Services meldt dat de meeste activiteiten weer draaien na een cyberaanval. Het Amerikaanse bedrijf levert onderdelen voor injecteerbare medicijnen aan klanten wereldwijd, ook in Europa en Nederland. De operatie wordt stap voor stap opgeschaald om leveringen te normaliseren. Het incident zet tegelijk de aandacht op regels als de AVG en NIS2 en hun gevolgen voor zorgleveranciers in Europa.
Productie grotendeels hersteld
West Pharmaceutical Services zegt dat systemen en locaties weer in gebruik zijn. Diensten worden gefaseerd opgestart om risico’s te beperken. Op het moment van schrijven deelt het bedrijf geen technische details over de aanval. Het doel is de productie stabiel te houden en achterstanden weg te werken.
Het bedrijf levert onder meer rubberen stoppen, spuiten en verpakkingsoplossingen voor medicijnen. Deze onderdelen zijn cruciaal voor kwaliteit en veiligheid van injecteerbare middelen. Stilstand kan daarom snel doorwerken in de farmaceutische keten. Een gecontroleerde herstart moet tekorten voorkomen.
Klanten in Europa, waaronder Nederlandse farmaproducenten en groothandels, zijn afhankelijk van tijdige aanvoer. West Pharma prioriteert volgens eigen aangeven kritieke orders. Logistieke teams herplannen zendingen waar nodig. Zo moet de leveringszekerheid stap voor stap herstellen.
Leveringsrisico’s onder controle
Cyberaanvallen raken vaak eerst kantoor- en planningssystemen. Daardoor stokt communicatie of orderverwerking, ook als fabrieken blijven draaien. Bedrijven vangen dat op met noodprocessen en handmatige stappen. Dat kost tijd, maar kan de continuïteit wel waarborgen.
Voor ziekenhuizen en apotheken in de EU is continuïteit van medische toelevering een basisvoorwaarde. Nationale voorraden en Europees inkopen helpen schokken te dempen. Toch blijft de keten gevoelig voor storingen bij enkele grote leveranciers. Het incident bij West Pharma onderstreept die kwetsbaarheid.
Inkooporganisaties kijken daarom naar spreiding en contractuele eisen aan cybersecurity. Leveranciers worden vaker gevraagd om audits en testresultaten te delen. Ook herstelplannen en maximale hersteltijden komen in beeld. Dat sluit aan bij de NIS2-verplichtingen voor zorgleveranciers en hun ketenpartners.
Onderzoek en meldplichten
West Pharma voert forensisch onderzoek uit naar de oorzaak en impact. Het is op het moment van schrijven niet publiek bekend of er persoonsgegevens of bedrijfsgeheimen zijn gelekt. Als er persoonsgegevens van EU-burgers betrokken zijn, geldt de AVG-meldplicht. Dat betekent binnen 72 uur melden bij de toezichthouder, en bij hoog risico ook aan betrokkenen.
Bedrijfsgegevens en intellectueel eigendom vallen niet onder de AVG, maar verlies daarvan kan wel grote schade geven. Denk aan recepturen, kwaliteitsdata of productieplannen. Versleuteling en strikte toegangscontrole beperken dit risico. Bedrijven moeten aantonen dat zij passende beveiliging toepassen.
Bij toeleveranciers in de zorg weegt continuïteit extra zwaar. Incidentresponsplannen beschrijven wie beslist, welke systemen eerst opstarten en hoe communicatie verloopt. Oefenen is essentieel om tijdverlies te voorkomen. Transparante updates houden klanten en toezichthouders aangehaakt.
NIS2 raakt zorgleveranciers
De Europese NIS2-richtlijn vergroot in 2024 en 2025 de cybersecurity-eisen voor “essentiële” en “belangrijke” entiteiten. Producenten en leveranciers in de gezondheidsketen vallen daar vaak onder. Nederland werkt op het moment van schrijven aan omzetting in nationale wetgeving. Dit brengt strengere zorgplichten en zwaardere sancties mee.
Concreet vraagt NIS2 om risicobeheer, incidentmelding en toezicht op de toeleveringsketen. Contracten met IT- en productieleveranciers moeten daarom duidelijker zijn over beveiliging en auditrechten. Ook bestuurders krijgen expliciete verantwoordelijkheden. Dat dwingt investeringen in preventie en herstelvermogen af.
NIS2 verplicht organisaties in vitale ketens tot aantoonbare beveiligingsmaatregelen en snelle meldingen van ernstige incidenten, inclusief risico’s in de toeleveringsketen.
Voor Nederlandse ziekenhuizen en farmabedrijven betekent dit extra due diligence bij inkoop. Leveranciers als West Pharma zullen vaker bewijzen moeten leveren van hun weerbaarheid. Denk aan certificeringen, penetratietesten en hersteltests. Zo worden ketenrisico’s beter beheerst.
IT-maatregelen na incident
Na een aanval volgt meestal een pakket aan verbeteringen. Voorbeelden zijn netwerksegmentatie, striktere multifactor-authenticatie en het verminderen van beheerrechten. Ook offline back-ups en getest herstel zijn cruciaal. Dit verkort de tijd tot herstart van productie.
Veel bedrijven zetten daarnaast monitoring in die met algoritmen afwijkend gedrag herkent. Zulke systemen analyseren logbestanden en netwerkverkeer in bijna real time. Dat helpt om aanvallen sneller te stoppen of in te dammen. Privacy by design blijft daarbij een eis onder de AVG.
Organisaties betrekken ook hun leveranciers en klanten bij oefenscenario’s. Een gezamenlijke draaiboektest legt gaten in processen bloot. Na elke oefening worden afspraken aangescherpt. Zo groeit het vertrouwen in de hele keten.
Wat dit betekent voor EU
Het herstel bij West Pharma laat zien dat basismaatregelen werken, maar tijd kosten. Voor Europa is het een signaal om NIS2 tijdig en strikt in te voeren. Zorginstellingen en overheden moeten hun ketenrisico’s nu concreet maken. Dat voorkomt verstoringen en noodgrepen later.
Voor Nederlandse partijen is afstemming met de Autoriteit Persoonsgegevens en het NCSC belangrijk. Heldere protocollen zorgen voor snelle melding en gecoördineerde respons. Publiek-private samenwerking versnelt kennisdeling over dreigingen. Zo kunnen sectoren leren zonder gevoelige details prijs te geven.
De les is dat digitale weerbaarheid bedrijfskritisch is, net als kwaliteit en veiligheid. Contracten, audits en technologie horen bij elkaar. Met NIS2 en de AVG is het kader helder. Nu volgt de uitvoering, stap voor stap.
