E-HEALTH-COM ist das unabhängige Fachmagazin für Gesundheitstelematik, vernetzte Medizintechnik , Telemedizin und Health-IT für Deutschland, Österreich und die Schweiz.
Mehr

Für das ePaper anmelden

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden

Anmelden

Passwort vergessen?

Health-IT |

NIS 2: Neue Regeln im Kampf gegen Hacking

Die EU-Richtlinie NIS 2 ist da, und Deutschland ringt derzeit mit der Umsetzung. NIS 2 ist nicht zuletzt für das Gesundheitswesen relevant, wo Sicherheitsstandards, die bisher nur für KRITIS-Häuser galten, bald nahezu universell erfüllt werden müssen. Dabei geht es nicht nur um Security-Software, sondern auch darum, Sicherheit zu organisieren.

Bild: © 74774154 – stock.adobe.com, 638837333, Stand.-Liz.

Die NIS-2-Richtlinie – NIS steht für Network and Information Security – soll das Niveau der Cybersicherheit in Europa deutlich anheben. Sie ist auf EU-Ebene seit Anfang 2023 in Kraft, und die EU-Mitgliedsstaaten müssen sie jetzt umsetzen. Dafür haben sie nur eine begrenzte Zeit, und mehr als die Hälfte davon ist bereits abgelaufen. Der Hammer fällt am 17. Oktober 2024. Bis dahin muss auch Deutschland NIS 2 in nationales Recht überführen.


Geschehen soll das mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, das auf das Akronym-Ungetüm NIS2UmsuCG hört. Ergänzend kommt auch noch das neue KRITIS-Dachgesetz, das die (ebenfalls neue) europäische Resilienz-Richtlinie umsetzt. Untätig ist die Politik keineswegs: Ein erster Referentenentwurf für das NIS2UmsuCG liegt seit Frühjahr 2023 vor. Daran schloss sich ein langwieriger Konsultationsprozess an, bei dem derzeit allerdings etwas unklar ist, wie weit er schon gediehen ist: „Es wird am Ende auf einen zweiten Referentenentwurf hinauslaufen“, sagt Patrick Tonnius, als Senior Associate bei PwC Deutschland derzeit intensiv mit dem Thema NIS 2 beschäftigt. „Fakt ist: Die Resonanz aus den Sektoren ist riesig. NIS 2 schlägt große Wellen.“

 

Die drei Stufen der NIS-2-Richtlinie

Was genau kommt da mit NIS 2 auf Deutschland zu? Und was, insbesondere, auf das Gesundheitswesen? Prinzipiell würden die geltenden Regulierungen für kritische Infrastrukturen durch NIS 2 deutlich erweitert und neu geordnet, erklärt Jutta Dillschneider, Fachanwältin für Arbeitsrecht und Medizinrecht bei PwC. Dazu gehören umfangreiche Maßnahmen des Risikomanagements, Pflichten für die Meldung von Vorfällen und neue Haftungsregeln. Außerdem soll die Einhaltung der Vorgaben künftig durch eine erweiterte staatliche Aufsicht effektiver überprüft werden.


Mindestens 30 000 Unternehmen, so wird geschätzt, werden in Deutschland unmittelbar von NIS 2 betroffen sein. Prinzipiell sieht NIS 2 drei Stufen vor. Auf Stufe drei, das heißt die Stufe der versorgungsrelevantesten Einrichtungen mit den höchsten Sicherheitsanforderungen, stehen die Betreiber kritischer Anlagen, also jene Einrichtungen, die schon heute kritische Infrastrukturen laut BSI-Gesetz betreiben. Daran ändert sich nichts. Stufe zwei sind „besonders wichtige Einrichtungen“, definiert künftig als Einrichtungen mit entweder mindestens 250 Mitarbeiter:innen oder mehr als 50 Millionen Euro Jahresumsatz. Stufe eins schließlich bilden „wichtige Einrichtungen“, definiert als Unternehmen mit 50 bis 249 Mitarbeiter:innen oder mindestens 10 bis maximal 50 Millionen Euro Jahresumsatz.


Medizinische Einrichtungen sind mittendrin
Die Zahlen machen deutlich, dass NIS 2 für das Gesundheitswesen unmittelbar relevant werden wird. Denn viele medizinische Einrichtungen liegen in diesen Größenordnungen. Vollumfängliche KRITIS-Einrichtungen, derzeit definiert als Krankenhäuser mit mehr als 30 000 vollstationären Fällen pro Jahr bzw. Apotheken mit mehr als 4,65 Millionen abgegebenen Packungen pro Jahr, bilden die Stufe drei, an der sich nicht viel ändert.


Spannend wird es auf Stufe zwei, bei den „besonders wichtigen Einrichtungen“. Mittelgroße Krankenhäuser deutlich unterhalb der bisherigen KRITIS-Grenze werden hier in großer Zahl auftauchen, aber auch zum Beispiel Therapiezentren, die je nach Methodik auch mit weniger als 250 Mitarbeiter:innen die 50-Millionen-Umsatz-Grenze erreichen. Auf Stufe eins, bei den „wichtigen Einrichtungen“, können dann durchaus größere MVZs auftauchen, die schon mal mehr als 50 Mitarbeiter:innen haben können, aber auch zum Beispiel radiologische Einrichtungen oder Fachkliniken, die mitunter mit 15 bis 20 Mitarbeitenden schon die 10-Millionen-Umsatz-Schwelle erreichen.


Unterschiede zwischen KRITIS und Nicht KRITIS werden kleiner
Was die konkreten Anforderungen angeht, lautet die entscheidende Botschaft von NIS 2: Die Unterschiede im Anforderungsprofil zwischen KRITIS-Einrichtungen und Nicht-KRITIS-Einrichtungen im Gesundheitswesen werden wesentlich kleiner: „Ein Großteil der vorgesehenen Pflichten ist für alle Betreibergruppen deckungsgleich. Auch kleinere Gesundheitseinrichtungen werden umfangreiche Maßnahmen umsetzen müssen“, sagt Tonnius.


So nennen NIS-2-Richtlinie und NIS2UmsuCG-Referentenentwurf beispielsweise zehn konkrete organisatorische und technische Maßnahmen im Bereich Risikomanagement, um Sicherheitsvorfällen vorzubeugen. Dabei gehe es nicht nur darum, Software anzuschaffen und Tools zu aktualisieren, betont Tonnius. „Es geht auch darum, technische Lösungen in die Organisationsstrukturen einzubinden, sich über Delegation, Kontrolle und Dokumentation Gedanken zu machen. Das fällt oft hinten runter, ist aber im Hinblick auf mögliche Haftungsrisiken mitentscheidend.“


Interessant dabei ist, dass es gerade im Bereich Risikomanagement eine relativ große Überlappung gibt zwischen dem, was NIS 2 auf allen drei Stufen künftig fordert, und dem, was in dem im Zuge der KRITIS-Gesetzgebung entwickelten, branchenspezifischen Sicherheitsstandard (B3S) „Medizinische Versorgung“ ohnehin schon angelegt ist. Abbildung 1 stellt beides nebeneinander. Einrichtungen, die künftig auf Stufe zwei oder drei der NIS-2-Einstufung landen, können und sollten sich also am B3S orientieren – schon heute. Tonnius: „Die Frage ist eher, warum sich bisher nichts getan hat. Der § 75c SGB V sagt schon seit 2022, dass auch Nicht-KRITIS-Häuser die Anforderungen an die Informationssicherheit in abgespeckter Form umzusetzen haben. Bisher stellen wir aber fest, dass das im Wesentlichen noch nicht der Fall ist.“ Mit anderen Worten: Viele Einrichtungen des Gesundheitswesens drohen, relativ unvorbereitet in die NIS-2-Welt aufzubrechen, obwohl sie qua Gesetz eigentlich schon gewisse Vorarbeiten leisten müssten.


Geschäftsleitung sitzt mit im Boot

Die Frage ist natürlich, warum die offensichtlichen Umsetzungsdefizite in einer künftigen NIS-2-Welt geringer sein sollten als in der bisherigen „KRITIS plus § 75c SGB V“-Welt. Jutta Dillschneider hat darauf eine Antwort: „Es wird künftig viel mehr wehtun, wenn die Vorgaben ignoriert werden. Konkret werden durch die Umsetzung der NIS-2-Richtlinie vor allem die Sanktionen bei Verstößen gegen unterschiedliche Sicherheitsanforderungen deutlich ausgeweitet. Sanktionen drohen künftig nicht nur bei erfolgtem Cyberangriff, sondern auch schon dann, wenn im Rahmen von Routinekontrollen Mängel gefunden werden.“


Ein Beispiel: Werden Risikomanagement-Maßnahmen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig umgesetzt, kann das mit einem Bußgeld von zehn Millionen Euro oder zwei Prozent des Umsatzes geahndet werden. Dies gilt auch schon bei besonders wichtigen Einrichtungen, nicht erst bei KRITIS-Einrichtungen. Und selbst die „nur“ wichtigen Einrichtungen können bei entsprechenden Verstößen mit bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes belastet werden.


Neben den Bußgeldern für wichtige Einrichtungen bzw. für die Betreiber kritischer Anlagen kennt die NIS-2-Richtlinie auch noch etwas, das es bisher gar nicht gab, nämlich eine persönliche Haftung der Geschäftsführung. Das ist explizit in der europäischen Richtlinie verankert, und es wird auch in die nationale Umsetzung einfließen müssen. „Die zentrale Botschaft von NIS 2 an die Geschäftsführung eines Unternehmens lautet: Wenn Ihr Eure IT nicht sicher macht, dann gehen wir an Euch persönlich ran“, so fasst Dillschneider diesen Aspekt von NIS 2 griffig zusammen.

 

TEXT:

Philipp Grätzel von Grätz, Chefredakteur E-HEALTH-COM