Die drei Stufen der NIS-2-Richtlinie
Was genau kommt da mit NIS 2 auf Deutschland zu? Und was, insbesondere, auf das Gesundheitswesen? Prinzipiell würden die geltenden Regulierungen für kritische Infrastrukturen durch NIS 2 deutlich erweitert und neu geordnet, erklärt Jutta Dillschneider, Fachanwältin für Arbeitsrecht und Medizinrecht bei PwC. Dazu gehören umfangreiche Maßnahmen des Risikomanagements, Pflichten für die Meldung von Vorfällen und neue Haftungsregeln. Außerdem soll die Einhaltung der Vorgaben künftig durch eine erweiterte staatliche Aufsicht effektiver überprüft werden.
Mindestens 30 000 Unternehmen, so wird geschätzt, werden in Deutschland unmittelbar von NIS 2 betroffen sein. Prinzipiell sieht NIS 2 drei Stufen vor. Auf Stufe drei, das heißt die Stufe der versorgungsrelevantesten Einrichtungen mit den höchsten Sicherheitsanforderungen, stehen die Betreiber kritischer Anlagen, also jene Einrichtungen, die schon heute kritische Infrastrukturen laut BSI-Gesetz betreiben. Daran ändert sich nichts. Stufe zwei sind „besonders wichtige Einrichtungen“, definiert künftig als Einrichtungen mit entweder mindestens 250 Mitarbeiter:innen oder mehr als 50 Millionen Euro Jahresumsatz. Stufe eins schließlich bilden „wichtige Einrichtungen“, definiert als Unternehmen mit 50 bis 249 Mitarbeiter:innen oder mindestens 10 bis maximal 50 Millionen Euro Jahresumsatz.
Medizinische Einrichtungen sind mittendrin
Die Zahlen machen deutlich, dass NIS 2 für das Gesundheitswesen unmittelbar relevant werden wird. Denn viele medizinische Einrichtungen liegen in diesen Größenordnungen. Vollumfängliche KRITIS-Einrichtungen, derzeit definiert als Krankenhäuser mit mehr als 30 000 vollstationären Fällen pro Jahr bzw. Apotheken mit mehr als 4,65 Millionen abgegebenen Packungen pro Jahr, bilden die Stufe drei, an der sich nicht viel ändert.
Spannend wird es auf Stufe zwei, bei den „besonders wichtigen Einrichtungen“. Mittelgroße Krankenhäuser deutlich unterhalb der bisherigen KRITIS-Grenze werden hier in großer Zahl auftauchen, aber auch zum Beispiel Therapiezentren, die je nach Methodik auch mit weniger als 250 Mitarbeiter:innen die 50-Millionen-Umsatz-Grenze erreichen. Auf Stufe eins, bei den „wichtigen Einrichtungen“, können dann durchaus größere MVZs auftauchen, die schon mal mehr als 50 Mitarbeiter:innen haben können, aber auch zum Beispiel radiologische Einrichtungen oder Fachkliniken, die mitunter mit 15 bis 20 Mitarbeitenden schon die 10-Millionen-Umsatz-Schwelle erreichen.
Unterschiede zwischen KRITIS und Nicht KRITIS werden kleiner
Was die konkreten Anforderungen angeht, lautet die entscheidende Botschaft von NIS 2: Die Unterschiede im Anforderungsprofil zwischen KRITIS-Einrichtungen und Nicht-KRITIS-Einrichtungen im Gesundheitswesen werden wesentlich kleiner: „Ein Großteil der vorgesehenen Pflichten ist für alle Betreibergruppen deckungsgleich. Auch kleinere Gesundheitseinrichtungen werden umfangreiche Maßnahmen umsetzen müssen“, sagt Tonnius.
So nennen NIS-2-Richtlinie und NIS2UmsuCG-Referentenentwurf beispielsweise zehn konkrete organisatorische und technische Maßnahmen im Bereich Risikomanagement, um Sicherheitsvorfällen vorzubeugen. Dabei gehe es nicht nur darum, Software anzuschaffen und Tools zu aktualisieren, betont Tonnius. „Es geht auch darum, technische Lösungen in die Organisationsstrukturen einzubinden, sich über Delegation, Kontrolle und Dokumentation Gedanken zu machen. Das fällt oft hinten runter, ist aber im Hinblick auf mögliche Haftungsrisiken mitentscheidend.“
Interessant dabei ist, dass es gerade im Bereich Risikomanagement eine relativ große Überlappung gibt zwischen dem, was NIS 2 auf allen drei Stufen künftig fordert, und dem, was in dem im Zuge der KRITIS-Gesetzgebung entwickelten, branchenspezifischen Sicherheitsstandard (B3S) „Medizinische Versorgung“ ohnehin schon angelegt ist. Abbildung 1 stellt beides nebeneinander. Einrichtungen, die künftig auf Stufe zwei oder drei der NIS-2-Einstufung landen, können und sollten sich also am B3S orientieren – schon heute. Tonnius: „Die Frage ist eher, warum sich bisher nichts getan hat. Der § 75c SGB V sagt schon seit 2022, dass auch Nicht-KRITIS-Häuser die Anforderungen an die Informationssicherheit in abgespeckter Form umzusetzen haben. Bisher stellen wir aber fest, dass das im Wesentlichen noch nicht der Fall ist.“ Mit anderen Worten: Viele Einrichtungen des Gesundheitswesens drohen, relativ unvorbereitet in die NIS-2-Welt aufzubrechen, obwohl sie qua Gesetz eigentlich schon gewisse Vorarbeiten leisten müssten.
Geschäftsleitung sitzt mit im Boot
Die Frage ist natürlich, warum die offensichtlichen Umsetzungsdefizite in einer künftigen NIS-2-Welt geringer sein sollten als in der bisherigen „KRITIS plus § 75c SGB V“-Welt. Jutta Dillschneider hat darauf eine Antwort: „Es wird künftig viel mehr wehtun, wenn die Vorgaben ignoriert werden. Konkret werden durch die Umsetzung der NIS-2-Richtlinie vor allem die Sanktionen bei Verstößen gegen unterschiedliche Sicherheitsanforderungen deutlich ausgeweitet. Sanktionen drohen künftig nicht nur bei erfolgtem Cyberangriff, sondern auch schon dann, wenn im Rahmen von Routinekontrollen Mängel gefunden werden.“
Ein Beispiel: Werden Risikomanagement-Maßnahmen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig umgesetzt, kann das mit einem Bußgeld von zehn Millionen Euro oder zwei Prozent des Umsatzes geahndet werden. Dies gilt auch schon bei besonders wichtigen Einrichtungen, nicht erst bei KRITIS-Einrichtungen. Und selbst die „nur“ wichtigen Einrichtungen können bei entsprechenden Verstößen mit bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes belastet werden.
Neben den Bußgeldern für wichtige Einrichtungen bzw. für die Betreiber kritischer Anlagen kennt die NIS-2-Richtlinie auch noch etwas, das es bisher gar nicht gab, nämlich eine persönliche Haftung der Geschäftsführung. Das ist explizit in der europäischen Richtlinie verankert, und es wird auch in die nationale Umsetzung einfließen müssen. „Die zentrale Botschaft von NIS 2 an die Geschäftsführung eines Unternehmens lautet: Wenn Ihr Eure IT nicht sicher macht, dann gehen wir an Euch persönlich ran“, so fasst Dillschneider diesen Aspekt von NIS 2 griffig zusammen.
TEXT:
Philipp Grätzel von Grätz, Chefredakteur E-HEALTH-COM