Cyberangriffe auf Krankenhäuser, Praxen, Pflegeeinrichtungen und Labore haben in den letzten Jahren massiv zugenommen. Ransomware kann Operationen verzögern, lebenswichtige Geräte ausfallen lassen oder ganze Einrichtungen lahmlegen.
Mit der neuen NIS-2-Richtlinie und der nationalen Umsetzung im überarbeiteten BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) bringt die EU deutlich strengere Anforderungen an die IT-Sicherheit – und das betrifft das gesamte Gesundheitswesen.
Dieser Artikel erklärt verständlich, wer betroffen ist, was konkret zu tun ist und wie Einrichtungen NIS-2 erfolgreich umsetzen können.
Wer fällt unter die Richtlinie?
Die NIS-2-Richtlinie ist seit 2023 in der EU in Kraft und ersetzt die frühere NIS-Richtlinie. Ihr Ziel ist es, die Cybersicherheit kritischer Sektoren europaweit zu erhöhen. Das Gesundheitswesen steht dabei besonders im Fokus, da Ausfälle direkten Einfluss auf die Patientenversorgung haben.
Deutschland setzt NIS-2 über eine umfassende Novelle des BSIG um. Damit werden Sicherheitsstandards angehoben, Meldepflichten verschärft und die Verantwortung der Geschäftsleitung ausgeweitet.
In Anlage 1 des BSIG wird der Kreis der betroffenen Einrichtungen definiert:
Erbringer von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU
Die Richtlinie 2011/24/EU definiert als Erbringer von Gesundheitsdienstleistungen
Diese Richtlinie gilt für jegliche Gesundheitsversorgung von Patienten, unabhängig davon, wie diese organisiert, erbracht oder finanziert wird.
(Sie gilt nicht für) Dienstleistungen im Bereich der Langzeitpflege, deren Ziel darin besteht, Personen zu unterstützen, die auf Hilfe bei routinemäßigen, alltäglichen Verrichtungen angewiesen sind
Kliniken und große Einrichtungen in der Patientenversorgung fallen ab einer Größe von 50 Mitarbeitenden unter die wichtigen Einrichtungen nach BSIG/NIS2, ab 250 Mitarbeitenden unter die besonders wichtigen Einrichtungen. Daraus resultierende Rechtspflichten sind:
Risikomanagement: Angemessene und wirksame Maßnahmen zum Schutz von Vertraulichkeit, Verfügbarkeit und Integrität
Die grundlegenden Gewährleistungsziele der Datensicherheit, Vertraulichkeit, Verfügbarkeit und Integrität, müssen durch angemessene und wirksame Maßnahmen umgesetzt und realisiert werden. Basis für die Umsetzung ist eine Risikoanalyse, die sich auf alle eingesetzten Prozesse, Anwendungen, IT-Systeme und Räume/Gebäude bezieht.
Dokumentation der Maßnahmen zur Informationssicherheit – Einrichtung eines Informationssicherheitsmanagementsystems (ISMS)
Die Umsetzung ist zu dokumentieren und muss ggf. der zuständigen Aufsichtsbehörde vorgelegt werden. Ein Informations-Sicherheits-Management-System (ISMS) erleichtert Security-Teams und Geschäftsleitungen die Kontrolle über die Umsetzung. Wir haben ein ISMS-Tool entwickelt, das den ISMS-Prozess sinnvoll strukturiert und Teams unterschiedlicher Größe wirkungsvoll unterstützt. Das Tool unterstützt insbesondere auch den Aufbau eines ISMS nach BSI IT-Grundschutz.
Details hierzu finden Sie unter https://information-security.prisecon.de.
Benennung eines/einer Informationssicherheitsbeauftragte(n) und Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
Einrichtungen, die unter das BSIG fallen, sind beim Bundesamt für Sicherheit in der Informationstechnik zu registrieren. In größeren Kliniken wird in der Regel ein Securityteam unter der Leitung eines CISO (chief information security officer) notwendig sein. Der Informationssicherheitsbeauftragte berichtet direkt der Geschäftsleitung und koordiniert den Sicherheitsprozess.