Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie stellt EU-weite Rechtsvorschriften für die Cybersicherheit bereit und aktualisiert die vorherige NIS-Richtlinie (Network and Information Security). Ihr Ziel ist es, einen gemeinsamen Cybersicherheitsstandard (oder weniger dramatisch formuliert „Informationssicherheitsstandard“) in allen EU-Mitgliedstaaten zu schaffen. Ähnlich wie bei der DSGVO zielt NIS2 darauf ab, Maßnahmen und Ansätze zum Schutz der digitalen Infrastruktur in den EU-Mitgliedstaaten zu harmonisieren. Konkret geht es um bewährte Praktiken zur Bekämpfung des zunehmenden Ausmaßes von Cyberangriffen.
Die NIS-2-Richtlinie (EU) 2022/2555, die seit dem 16.01.2023 in Kraft ist und von den Mitgliedstaaten bis zum 17.10.2024 in nationales Recht umgesetzt werden muss, ersetzt die NIS-1-Richtlinie und setzt auch die Richtlinie für Informationssicherheit für Krankenhäuser fest.
NIS2 und Gesundheitseinrichtungen
Die NIS2-Gesetzgebung richtet sich auch an Einrichtungen im Gesundheitswesen, insbesondere an Gesundheitsdienstleister wie Krankenhäuser, medizinische Versorgungszentren, Arztpraxen, Apotheken sowie Reha- und Pflegeeinrichtungen. Mit der Ausweitung des Anwendungsbereichs der Richtlinie können nun auch „kleinere“ Krankenhäuser Maßnahmen zur Cyber-Risikominimierung ergreifen und bei Nichtumsetzung sanktioniert werden. Zudem wird die Geschäftsleitung explizit in die Verantwortung genommen. Sie allein ist nun dafür verantwortlich, die Cybersicherheit der Einrichtung zu gewährleisten und damit den reibungslosen Betrieb sicherzustellen.
Der Gesetzesentwurf sieht eine Einteilung in drei Klassen vor: „Betreiber kritischer Anlagen“, „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Die Klassifizierung von Gesundheitseinrichtungen erfolgt je nach Mitarbeiterzahl und Umsatz bzw. Bilanzsumme.
Bisher gab es entsprechende Sicherheitsstandards schon für Teile des Gesundheitswesen, unter anderem für sog. KRITIS-Krankenhäuser und Diagnostiklabore. Die Umsetzung erfolgt auf Basis der B3S-Sicherheitsstandards für diese beiden Bereiche.
Was schreibt NIS2 vor?
Artikel 21 der NIS2-Richtlinie betont, dass Unternehmen Risiken im digitalen Raum durch „geeignete und verhältnismäßige technische und organisatorische Maßnahmen“ minimieren müssen. Diese Maßnahmen umfassen:
- Richtlinien zur Risikoanalyse und Informationssicherheit
- Gründliche Vorfallsbearbeitung
- Geschäftskontinuität und Krisenmanagement
- Zuverlässige Sicherheit der Lieferkette
- Umfassende Netzwerksicherheit
- Behebung und Offenlegung von Schwachstellen
- Richtlinien und Verfahren zur Bewertung der Effektivität des Cybersicherheitsrisikomanagements
- Verwendung von Kryptografie und Verschlüsselung
- Verwendung einer Multi-Faktor-Authentifizierung
Haftung der Geschäftsführung
In personeller Hinsicht liegt der Fokus besonders auf der Geschäftsleitung. Der Gesetzgeber erkennt an, dass Cybersicherheit eine Führungsaufgabe ist. Daher wird im Rahmen der NIS2-Umsetzung der Geschäftsleitung, also dem Vorstand oder der Geschäftsführung, die direkte Verantwortung für die Einhaltung der genannten Risikomanagement-Maßnahmen auferlegt. Gleichzeitig wird festgelegt, dass diese Verantwortung nicht auf Dritte übertragen werden kann.
Bei Verletzung dieser Pflichten haftet die Geschäftsleitung gegenüber der Einrichtung. Die Einrichtung darf auf die Geltendmachung entsprechender Schadensersatzansprüche nicht verzichten, und selbst ein Vergleich darüber ist unwirksam.
Zudem muss die Geschäftsleitung regelmäßig an Schulungen teilnehmen, die sich mit dem Thema Cybersicherheit befassen. Solche Schulungsangebote müssen auch den Mitarbeitenden zur Verfügung gestellt werden.
Es sind auch Bußgeldtatbestände vorgesehen, die im schlimmsten Fall bis zu 20 Millionen Euro betragen können.
Was sollten Sie nun tun?
Der wichtigste Schritt ist, sich zu informieren.
- Fällt ihre Einrichtung, Ihr Unternehmen in den Anwendungsbereich der NIS2-Regeln?
- Wer soll für die Umsetzung der Vorgaben verantwortlich sein?
- Welche Maßnahmen sind zwingend erforderlich? Welche Form des Informationssicherheitsmanagements passt zu unserer Organisation?
Was können wir für Sie tun?
Wir sind Experten auf dem Gebiet der Informationssicherheit und helfen in allen Bereichen der Umsetzung der NIS2-Anforderung. Gern können wir in einem ersten Gespräch ausloten, welche Maßnahmen für Ihre Einrichtung oder Ihr Unternehmen wichtig sind. Kommen Sie einfach auf uns zu.
Senden Sie uns Ihre Fragen oder vereinbaren Sie einen Beratungstermin!