NIS2 und Gesundheitseinrichtungen

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie stellt EU-weite Rechtsvorschriften f├╝r die Cybersicherheit bereit und aktualisiert die vorherige NIS-Richtlinie (Network and Information Security). Ihr Ziel ist es, einen gemeinsamen Cybersicherheitsstandard (oder weniger dramatisch formuliert „Informationssicherheitsstandard“) in allen EU-Mitgliedstaaten zu schaffen. ├ähnlich wie bei der DSGVO zielt NIS2 darauf ab, Ma├čnahmen und Ans├Ątze zum Schutz der digitalen Infrastruktur in den EU-Mitgliedstaaten zu harmonisieren. Konkret geht es um bew├Ąhrte Praktiken zur Bek├Ąmpfung des zunehmenden Ausma├čes von Cyberangriffen.

Die NIS-2-Richtlinie (EU) 2022/2555, die seit dem 16.01.2023 in Kraft ist und von den Mitgliedstaaten bis zum 17.10.2024 in nationales Recht umgesetzt werden muss, ersetzt die NIS-1-Richtlinie und setzt auch die Richtlinie f├╝r Informationssicherheit f├╝r Krankenh├Ąuser fest.

NIS2 und Gesundheitseinrichtungen

Die NIS2-Gesetzgebung richtet sich auch an Einrichtungen im Gesundheitswesen, insbesondere an Gesundheitsdienstleister wie Krankenh├Ąuser, medizinische Versorgungszentren, Arztpraxen, Apotheken sowie Reha- und Pflegeeinrichtungen. Mit der Ausweitung des Anwendungsbereichs der Richtlinie k├Ânnen nun auch „kleinere“ Krankenh├Ąuser Ma├čnahmen zur Cyber-Risikominimierung ergreifen und bei Nichtumsetzung sanktioniert werden. Zudem wird die Gesch├Ąftsleitung explizit in die Verantwortung genommen. Sie allein ist nun daf├╝r verantwortlich, die Cybersicherheit der Einrichtung zu gew├Ąhrleisten und damit den reibungslosen Betrieb sicherzustellen.

Der Gesetzesentwurf sieht eine Einteilung in drei Klassen vor: „Betreiber kritischer Anlagen“, „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Die Klassifizierung von Gesundheitseinrichtungen erfolgt je nach Mitarbeiterzahl und Umsatz bzw. Bilanzsumme.

Bisher gab es entsprechende Sicherheitsstandards schon f├╝r Teile des Gesundheitswesen, unter anderem f├╝r sog. KRITIS-Krankenh├Ąuser und Diagnostiklabore. Die Umsetzung erfolgt auf Basis der B3S-Sicherheitsstandards f├╝r diese beiden Bereiche.

Was schreibt NIS2 vor?

Artikel 21 der NIS2-Richtlinie betont, dass Unternehmen Risiken im digitalen Raum durch „geeignete und verh├Ąltnism├Ą├čige technische und organisatorische Ma├čnahmen“ minimieren m├╝ssen. Diese Ma├čnahmen umfassen:

  • Richtlinien zur Risikoanalyse und Informationssicherheit
  • Gr├╝ndliche Vorfallsbearbeitung
  • Gesch├Ąftskontinuit├Ąt und Krisenmanagement
  • Zuverl├Ąssige Sicherheit der Lieferkette
  • Umfassende Netzwerksicherheit
  • Behebung und Offenlegung von Schwachstellen
  • Richtlinien und Verfahren zur Bewertung der Effektivit├Ąt des Cybersicherheitsrisikomanagements
  • Verwendung von Kryptografie und Verschl├╝sselung
  • Verwendung einer Multi-Faktor-Authentifizierung

Haftung der Gesch├Ąftsf├╝hrung

In personeller Hinsicht liegt der Fokus besonders auf der Gesch├Ąftsleitung. Der Gesetzgeber erkennt an, dass Cybersicherheit eine F├╝hrungsaufgabe ist. Daher wird im Rahmen der NIS2-Umsetzung der Gesch├Ąftsleitung, also dem Vorstand oder der Gesch├Ąftsf├╝hrung, die direkte Verantwortung f├╝r die Einhaltung der genannten Risikomanagement-Ma├čnahmen auferlegt. Gleichzeitig wird festgelegt, dass diese Verantwortung nicht auf Dritte ├╝bertragen werden kann.

Bei Verletzung dieser Pflichten haftet die Gesch├Ąftsleitung gegen├╝ber der Einrichtung. Die Einrichtung darf auf die Geltendmachung entsprechender Schadensersatzanspr├╝che nicht verzichten, und selbst ein Vergleich dar├╝ber ist unwirksam.

Zudem muss die Gesch├Ąftsleitung regelm├Ą├čig an Schulungen teilnehmen, die sich mit dem Thema Cybersicherheit befassen. Solche Schulungsangebote m├╝ssen auch den Mitarbeitenden zur Verf├╝gung gestellt werden.

Es sind auch Bu├čgeldtatbest├Ąnde vorgesehen, die im schlimmsten Fall bis zu 20 Millionen Euro betragen k├Ânnen.

Was sollten Sie nun tun?

Der wichtigste Schritt ist, sich zu informieren.

  • F├Ąllt ihre Einrichtung, Ihr Unternehmen in den Anwendungsbereich der NIS2-Regeln?
  • Wer soll f├╝r die Umsetzung der Vorgaben verantwortlich sein?
  • Welche Ma├čnahmen sind zwingend erforderlich? Welche Form des Informationssicherheitsmanagements passt zu unserer Organisation?

Was k├Ânnen wir f├╝r Sie tun?

Wir sind Experten auf dem Gebiet der Informationssicherheit und helfen in allen Bereichen der Umsetzung der NIS2-Anforderung. Gern k├Ânnen wir in einem ersten Gespr├Ąch ausloten, welche Ma├čnahmen f├╝r Ihre Einrichtung oder Ihr Unternehmen wichtig sind. Kommen Sie einfach auf uns zu.

Senden Sie uns Ihre Fragen oder vereinbaren Sie einen Beratungstermin!

Kommentar verfassen

Deine E-Mail-Adresse wird nicht ver├Âffentlicht. Erforderliche Felder sind mit * markiert