NIS2-Richtlinie für Krankenhäuser und MedTech.

Die Anzahl der Cyberangriffe in den letzten Jahren ist stetig gestiegen. Immer häufiger sind auch Krankenhäuser und Gesundheitseinrichtungen von Angriffen betroffen. Während Cyberangriffe in manchen Branchen oder Bereichen eher weniger Schaden anrichten können, sind Angriffe insbesondere in Krankenhäusern mit weitreichenden Folgen verbunden. Damit besonders kritische Einrichtungen besser geschützt sind, hat die Europäische Union die NIS2-Richtlinie verabschiedet. Diese Richtlinie stellt für einige Unternehmen und Krankenhäuser neue Anforderungen auf, die von diesen umgesetzt werden müssen. Einen Überblick über die Hauptpunkte der NIS2-Richtlinie erhalten Sie im Folgenden. 

Die NIS2-Richtlinie in Krankenhäusern und MedTech

Die NIS2-Richtlinie ist eine überarbeitete Version der NIS-Richtlinie und ersetzt die bis dahin gültige NIS-Richtlinie. Die Richtlinie wurde überarbeitet, um einerseits die Cyberresilienz von Einrichtungen zu stärken und andererseits zur Harmonisierung der Cybersicherheitstandards innerhalb der Europäischen Union. Weiterhin wurden umfassende Meldepflichten für Sicherheitsvorfälle eingeführt. 

Nach dem Inkrafttreten am 16. Januar 2023 muss die EU-Richtlinie bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden. Das heißt, dass es spätestens ab dann ein Gesetz in Deutschland geben wird, in dem die Punkte der Richtlinie gesetzlich umgesetzt sind. Nach bisherigem Stand liegt bereits ein Regierungsentwurf vor. Weitere Informationen finden Sie auf der Internetseite des BSI – Bundesministerium für Sicherheit in der Informationstechnik.

Welche Krankenhäuser sind von der NIS2-Richtlinie betroffen? 

Einige Krankenhäuser waren bereits von der NIS-Richtlinie betroffen. Unter die NIS-Richtlinie fielen Krankenhäuser, die als kritische Infrastruktur (KRITIS) eingestuft wurden. Als KRITIS-Häuser zählen Krankenhäuser, die mehr als 30.000 vollstationäre Fälle pro Jahr behandeln. 

Mit Einführung der NIS2-Richtlinie erweitert sich der Kreis der betroffenen Krankenhäuser. Es ist nicht mehr relevant, ob ein Krankenhaus als KRITIS zählt. Unter die NIS2-Richtlinie fallen alle Gesundheitseinrichtungen, die mehr als 50 Mitarbeitende beschäftigen oder einen Jahresumsatz bzw. eine Bilanzsumme von mehr als 10 Millionen Euro aufweisen.  

Hauptpunkte der NIS2-Richtlinie 

Einige der Hauptpunkte der NIS2-Richtlinie sind effektives Risikomanagement, Meldepflichten für Sicherheitsvorfälle und Erhöhung der Cybersicherheit. Ein effektives Risikomanagement beinhaltet das frühzeitige Erkennen potenzieller Bedrohungen und ein angemessenes Reagieren darauf. Durch die Implementierung systematischer Risikoanalysen und -bewertungen können Einrichtungen Schwachstellen identifizieren und gezielte Maßnahmen ergreifen, um Risiken zu minimieren.  

Ein weiterer wesentlicher Punkt der NIS2-Richtlinie ist die Verpflichtung zur Meldung von Sicherheitsvorfällen. Diese Meldepflicht ist entscheidend, um eine schnelle und koordinierte Reaktion auf Cyberangriffe zu gewährleisten. Einrichtungen müssen in der Lage sein, Vorfälle zeitnah zu erkennen und die zuständigen Behörden zu informieren. 

Um die Cyberresilienz zu erhöhen, sind neben technischen Lösungen immer auch Schulungen der Mitarbeitenden notwendig, denn diese stellen häufig das Einfallstor von Cyberrisiken dar. Die NIS2-Richtlinie fördert daher einen ganzheitlichen Ansatz, der nicht nur technische Lösungen umfasst, sondern auch die Sensibilisierung und Schulung der Mitarbeiter in den Mittelpunkt stellt. Durch regelmäßige Schulungen und Awareness-Programme können Einrichtungen sicherstellen, dass ihre Mitarbeitenden die notwendigen Kenntnisse und Fähigkeiten haben, um potenzielle Bedrohungen zu erkennen und darauf zu reagieren.  

NIS2-Anforderungen

Die NIS2 Anforderungen haben ein enges Zusammenspiel mit einem ISMS nach ISO27001. Dies bedeutet, dass Ihr Unternehmen gegebenenfalls schon viele Punkte der NIS2 Richtlinie erfüllt, wenn Sie ein ISMS implementiert haben. Sollte dies nicht der Fall sein, kann es nützlich sein, im Zuge der NIS2 Richtlinie ein ISMS zu implementieren, das direkt an ISO27001 orientiert ist.

Einige Punkte der NIS2 Anforderungen sind bereits Teil eines ISMS nach ISO27001:

• Risikomanagement-Richtlinien
  • Plan zum Schutz digitaler Vermögenswerte und Maßnahmen bei Sicherheitsvorfällen
  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

• Pläne für das Vorfall-Management
  • Bewältigung von Sicherheitsvorfällen
  • Wie Ihr Unternehmen auf Sicherheitsvorfälle oder Cyberangriffe reagiert und diese handhabt

• Betriebskontinuität und Krisenmanagement
  • Strategien, um Ihr Unternehmen während und nach einer Katastrophe am Laufen zu halten
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement

• Lieferketten-Sicherheit
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  • Sicherstellen, dass Zulieferer oder Dienstleister ebenfalls sensible Daten schützen

• Wirksamkeit von Cyber-Sicherheitsmaßnahmen sicherstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • Regelmäßige Überprüfungen der Cyber-Sicherheitsmaßnahmen

• Cyber-Sicherheitsschulungen
  • Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Schulung Ihres Teams zu digitalen Sicherheitspraktiken

• Sicherheit im Personalwesen und Zugangskontrolle
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  • Gewährung und Entziehung des Zugangs zu Informationen

Folgende Punkte sind nicht explizit Teil eines ISMS nach ISO27001:

• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
• Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Fazit 

Die NIS2-Richtlinie stellt einen entscheidenden Schritt in der Cybersicherheit der Europäischen Union dar, indem sie einen klaren Rahmen für den Schutz kritischer Infrastrukturen und digitaler Dienste schafft. Auch wenn die Umsetzung zunächst herausfordernd sein kann, bietet sie die Möglichkeit, die eigene Sicherheitslage zu stärken und sich besser gegen zukünftige Bedrohungen zu wappnen. Letztlich ist die NIS2-Richtlinie nicht nur eine regulatorische Verpflichtung, sondern auch ein wertvoller Beitrag zur Sicherheit in einer zunehmend digitalen Welt. 

Falls Sie Fragen zur Umsetzung der Anforderungen der NIS2-Richtlinie haben, kontaktieren Sie uns gerne.