Blog-Layout

Die NIS-2-Richtlinie im Gesundheitswesen

Okt. 31, 2024

Wer ist betroffen? Welche Konsequenzen ergeben sich hieraus?

Die NIS-2-Richtlinie der Europäischen Union bringt neue Regelungen im Bereich der Cybersicherheit mit sich. Eigentlich hätte die Richtlinie bereits zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Dem ist der deutsche Gesetzgeber allerdings noch nicht nachgekommen. Nichtsdestotrotz kann eine frühzeitige Beschäftigung mit den Inhalten von NIS-2 für Apotheken und Arztpraxen sinnvoll sein. In unserem Artikel erläutern wir den genauen Adressatenkreis und geben einen vorläufigen Überblick über die zukünftig geltenden Verpflichtungen zur Stärkung der Cybersicherheit.
Die Bedrohung durch Cyberangriffe erreichte im vergangenen Jahr ein noch nie dagewesenes Ausmaß, wie bereits in unserem Bericht zum jährlichen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervorgehoben wurde. Als Reaktion auf diese angespannte Situation wurde durch die EU die NIS-2-Richtlinie verabschiedet, welche die ursprüngliche NIS-Richtlinie von 2016 ablöst. „NIS“ steht übrigens für Netz- und Informationssicherheit. Ziel ist es, ein einheitlich hohes Cybersicherheitsniveau in allen Mitgliedsstaaten der EU sicherzustellen. Betroffene Einrichtungen werden dabei zu konkreten Maßnahmen verpflichtet, um dieses Ziel zu erreichen.

Die NIS-2-Richtlinie sollte eigentlich von allen EU-Mitgliedstaaten bis spätestens Oktober 2024 in nationales Recht umgesetzt werden. Der deutsche Gesetzgeber hinkt hier hinterher, sodass die ein oder andere betroffene Einrichtung wohl erst einmal aufatmen dürfte. Die eigentliche Umsetzungsfrist ist nämlich zum 17.10.2024 abgelaufen. Veröffentlicht sind bislang nur der Referenten- und der Regierungsentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) durch das Bundesministerium des Innern und für Heimat. Beide Entwürfe enthalten bisher jedoch keine Umsetzungsfristen für die Regelungen. Sollte dies bis zur endgültigen Verabschiedung des Gesetzes unverändert bleiben, müssten Betroffene die Vorgaben sofort nach Inkrafttreten umsetzen.

Darüber hinaus gilt für Vertragsärzte und Psychotherapeuten die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung, die einen verbesserten Schutz der IT-Systeme vorschreibt. Für medizinische Einrichtungen, die die IT-Sicherheitsrichtlinie bereits umsetzen, könnte die NIS-2-Richtlinie zusätzliche Verschärfungen oder Ergänzungen der Sicherheitsanforderungen mit sich bringen. Auch Apotheken sind im Rahmen ihrer berufsrechtlichen Vorschriften sowie der Datenschutz-Grundverordnung (DSGVO) verpflichtet, ihre IT-Systeme zu schützen. Auch hier könnte die NIS-2-Richtlinie zu einer Erhöhung der Anforderungen führen, soweit eine Betroffenenheit vorliegt.

Anwendungsbereich im Gesundheitswesen

Der Entwurf des NIS2UmsuCG erstreckt sich auf eine Vielzahl an Sektoren. Inhaltlich findet eine deutliche Erweiterung des Anwendungsbereiches im Verhältnis zum derzeitigen Geltungsbereich statt. Auch im Gesundheitswesen ergeben sich hiernach Änderungen, sodass der Adressatenkreis deutlich erweitert wird.
 
Grundlage für die Betroffenheit bildet das BSI-Gesetz (BSIG) sowie die BSI-Kritisverordnung. Sollte demnach eine der nachfolgend aufgeführten Kategorien einschlägig sein, so ist eine Betroffenheit von der NIS-2-Richtlinie zu bejahen:
  • Betreiber kritischer Anlagen nach § 56 Absatz 4 Satz 1 BSIG-neu in Verbindung mit § 6 BSI-KritisV: Krankenhäuser mit einer vollstationären Fallzahl von mindestens 30.000 pro Jahr. Apotheken fallen ebenfalls unter diese Kategorie, sobald sie pro Jahr 4.650.000 Packungen abgegeben haben.
  • Besonders wichtige Einrichtungen nach § 28 Absatz 1 Nr. 4 BSIG-neu: Ab mindestens 250 Mitarbeiter oder einem Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro.
  • Wichtige Einrichtungen nach § 28 Absatz 2 Nr. 3 BSIG-neu: Ab mindestens 50 (bis maximal 249) Mitarbeiter oder einem Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro.

Cybersicherheit wird zur Chefsache

Die Geschäftsleitung trägt bei besonders wichtigen und wichtigen Einrichtungen die direkte Verantwortung für die Einhaltung der Cybersicherheitsanforderungen und kann im Falle von Verstößen persönlich haftbar gemacht werden. Dies erfordert eine aktive Auseinandersetzung mit dem Thema, um sicherzustellen, dass die notwendigen Sicherheitsmaßnahmen ordnungsgemäß umgesetzt werden. Zudem müssen IT-Risikomanagementmaßnahmen durch die Geschäftsleitung überwacht werden. Eine bloße Delegation dieser Aufgaben an Mitarbeiter ist dabei nicht vorgesehen. Stattdessen wird Cybersicherheit zur zentralen Führungsaufgabe und somit zur Chefsache erklärt.

Für besonders wichtige als auch wichtige Einrichtungen im pharmazeutischen und medizinischen Bereich ergeben sich unter anderem nachfolgende Pflichten:
  • Registrierungspflicht: Nachdem Einrichtungen erstmals oder erneut in den Anwendungsbereich fallen, ist spätestens nach drei Monaten, eine Registrierung bei einer entsprechenden Meldestelle durchzuführen.
  • Geeignete Risikomanagementmaßnahmen: Technische und organisatorische Maßnahmen, die dem Stand der Technik entsprechen, sollen ergriffen werden, sodass unter anderem die Verfügbarkeit, Integrität und Vertraulichkeit von informationstechnischen Systemen, Komponenten und Prozessen sichergestellt werden kann. Diese Maßnahmen werden ausführlich in § 30 Absatz 2 BSIG-neu benannt. Hierunter fällt beispielsweise ein Backup-Management, Konzepte für Zugriffskontrollen oder Multi-Faktor-Authentifizierung. Die Umsetzung der Maßnahmen sowie dessen Überwachung fällt in den Zuständigkeitsbereich der Geschäftsleitung.
  • Erweiterte Meldepflichten: An eine vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe gemeinsam eingerichtete Meldestelle bestehen verschiedene Meldepflichten. So ist beispielsweise ein erheblicher Sicherheitsvorfall nach Kenntniserlangung unverzüglich zu melden, spätestens jedoch nach 24 Stunden. Hierbei soll angegeben werden, ob der Verdacht besteht, dass der Vorfall auf einer rechtwidrigen oder böswilligen Handlung zurückzuführen ist und ob grenzüberschreitende Auswirkungen entstanden sein könnten. Anschließend ist unverzüglich, spätestens innerhalb von 72 Stunden, eine Bestätigung des Vorfalls sowie eine Bewertung des Vorfalls in Bezug auf den Schweregrad und dessen Auswirkungen zu veranlassen. Weiterhin muss nach einem solchen Vorfall eine Schlussmeldung erfolgen.
  • Unterrichtungspflicht: Bei einem erheblichen Sicherheitsvorfall kann das Bundesamt anordnen die Empfänger ihrer Dienste unverzüglich über den Vorfall zu unterrichten.
  • Schulungspflichten: Die Geschäftsleistung sollte an regelmäßigen Schulungen im Bereich Sicherheit in der Informationstechnik teilnehmen.
Neben der persönlichen Haftung der Geschäftsleitung bei unzureichender Umsetzung des Gesetzes existieren zudem Sanktionen zum Beispiel in Form von Bußgeldern.

Fazit

Soweit die neuen Regelungen in Kraft treten, gelten für viele Einrichtungen erweiterte Verpflichtungen zur Umsetzung von Sicherheitsmaßnahmen in der Cybersicherheit. Bei Verstößen gegen diese Vorgaben drohen Sanktionen, darunter auch Bußgelder. Es ist grundsätzlich begrüßenswert, dass durch diese Maßnahmen eine stärkere Sensibilisierung für das Thema Cybersicherheit geschaffen wird. Dies trägt dazu bei, das Bewusstsein für potenzielle Risiken zu erhöhen und die Sicherheit zu verbessern. Klar ist jedoch auch, dass die Umsetzung nicht ohne Aufwand erfolgen kann.


Letzte Aktualisierung: 31.10.2024 (lip)
Bildnachweise: © JPEG - www.stock.adobe.com 

Zurück
Das könnte für Sie auch interessant sein:

Bewertungsportale im Gesundheitswesen

14 Aug., 2024
Datenschutzrechtlichen Risiken Herr werden

Cyberkriminalität im Gesundheitswesen

31 Juli, 2024
Eine wachsende Bedrohung

Aus TMG wird DDG und aus TTDSG wird TDDDG

01 Juni, 2024
Gesetzesänderungen bei den Pflichtinformationen auf Webseiten
Show More
Share by: