Jetzt unverbindliche Beratung vereinbaren

NIS2 vs. B3S: Das Verhältnis im Gesundheitswesen – Was kommt auf die bestehende IT-Security zu?

Der B3S (Branchenspezifischer Sicherheitsstandard) ist die bewährte Grundlage für die IT-Sicherheit in vielen deutschen Krankenhäusern. NIS2 ist jedoch kein Ersatz, sondern eine gesetzliche Erweiterung. Einrichtungen müssen künftig beide Anforderungen erfüllen, wobei NIS2 neue Bereiche wie die Lieferkette und die Governance abdeckt.

Der B3S – Die Basis der Branchensicherheit

Der B3S ist ein Standard, der von der Branche für die Branche entwickelt wurde.

  • Fokus: Dient der Umsetzung der BSI-KritisV und der Cybersicherheitsverordnung. Er definiert konkrete technische und organisatorische Anforderungen für kritische Infrastrukturen (KRITIS) im Gesundheitswesen.
  • Stärke: Sehr detailliert in Bezug auf klinische Prozesse und die Sicherung von Patientendaten.

NIS2 – Die gesetzliche Erweiterung

NIS2 ist eine EU-weite Richtlinie, die einen Mindeststandard für die Cybersicherheit von Wesentlichen und Wichtigen Einrichtungen setzt und insbesondere die Governance und Haftung adressiert.

  • Fokus: Konzentriert sich auf Risikomanagement-Grundsätze und verschärfte Meldepflichten (24/72-Stunden-Fristen).
  • Neue Bereiche: NIS2 fordert Maßnahmen in Bereichen, die im B3S weniger detailliert behandelt werden:
    • Lieferketten-Sicherheit (Supply Chain Security): Schutz von Cloud-Dienstleistern, Medizintechnik-Anbietern etc.
    • Kryptografie: Konkrete Anforderungen an Verschlüsselung.
    • Personal Governance: Schulungs- und Überwachungspflicht der Leitungsorgane.

Synergien und Lücken: Wo NIS2 den B3S ergänzt

Ein nach B3S gesichertes Krankenhaus hat eine hervorragende Basis, muss aber die folgenden Lücken schließen, um NIS2-konform zu sein:

Anforderung

B3S-Status

NIS2-Ergänzung

Fokus: Governance

Geregelt, aber geringere Haftung

Hohe Haftung der GF/des Vorstands, Schulungspflicht der Leitungsebene.

Fokus: Lieferkette

Fokus auf eigene Systeme

Muss vertragliche Sicherheitsanforderungen an alle externen Lieferanten stellen.

Fokus: Meldewesen

Fokus auf BSI-KritisV-Meldungen

Verschärfte Fristen (24 Std. Erst-Meldung), detaillierte Berichterstattung.

Anforderung:
Fokus: Governance

B3S-Status:
Geregelt, aber geringere Haftung.

Verantwortlicher:
Hohe Haftung der GF/des Vorstands, Schulungspflicht der Leitungsebene.

Anforderung:
Fokus: Lieferkette

B3S-Status:
Fokus auf eigene Systeme

Verantwortlicher:
Muss vertragliche Sicherheitsanforderungen an alle externen Lieferanten stellen.

Anforderung:
Fokus: Meldewesen

B3S-Status:
Fokus auf BSI-KritisV-Meldungen.

Verantwortlicher:
Verschärfte Fristen (24 Std. Erst-Meldung), detaillierte Berichterstattung.

Zusammenfassend: Wer B3S erfüllt, ist zu ca. 70-80 % NIS2-konform. Die fehlenden Prozente liegen in der Governance, Lieferkette und der Meldepflicht-Dokumentation.

Expertise zur Hand: So schließen Sie die B3S-Lücken

Nutzen Sie unsere Analyse, um Ihre B3S-Implementierung schnellstmöglich um die NIS2-Anforderungen zu erweitern. Kontaktieren Sie uns für eine Gap-Analyse.
Jetzt Gap-Analyse anfragen