Beratung zur Umsetzung der NIS2 Richtlinie
Die NIS2-Richtlinie (Network and Information Security Directive) wird ab Mitte Oktober 2024 für Krankenhäuser und andere kritische Einrichtungen in der EU verbindlich und verschärft die Anforderungen an die IT-Sicherheit erheblich. Hier sind die wesentlichen Punkte, die für Gesundheitseinrichtungen, also alle Krankenhäuser wichtig sind:
Erweitertes Anwendungsszenario
Krankenhäuser gelten als Betreiber "essentieller Dienste" und fallen direkt unter die NIS2-Richtlinie. Sie müssen umfassende Maßnahmen zur Identifizierung und Bewertung von IT-Sicherheitsrisiken, zur Implementierung technischer und organisatorischer Sicherheitsmaßnahmen sowie zur Reaktion auf Cyberangriffe ergreifen. Man kann somit NIS2 als Erweiterung zu KRITIS sehen.
Während KRITIS allerdings nur einige Krankenhäuser der Akutversorgung betraf, sind mit NIS2 nun quasi alle Gesundheitsdienstleister betroffen. Die NIS2-Richtlinie betrifft auch Rehabilitationskliniken ( Rehakliniken ), sofern sie als wesentliche oder wichtige Einrichtungen eingestuft werden. Die NIS2-Richtlinie erweitert die Anforderungen an die Cybersicherheit und betrifft insbesondere Unternehmen im Gesundheitswesen, zu denen auch Rehabilitationskliniken ( Rehakliniken ) gehören können, wenn sie bestimmte Kriterien erfüllen.
Die NIS2 Richtlinie unterscheidet zwischen "wesentliche Einrichtungen" und "wichtige Einrichtungen". Zu "wesentliche Einrichtungen" zählen alle Gesundheitseinrichtungen. Sie unterliegen einer proaktiven Aufsicht, während "wichtige Einrichtungen" anlassbezogen beaufsichtigt werden. Die Richtlinie gilt für Unternehmen, die mehr als 50 Mitarbeiter haben oder deren Jahresumsatz 10 Millionen Euro übersteigt. Somit sind alle Reha-Einrichtungen mit einer Mitarbeiterzahl von mehr als 50 Mitarbeitern davon betroffen.
Krankenhäuser und Rehakliniken, die diese Schwellenwerte überschreiten, müssen sich auf verschärfte Sicherheitsanforderungen einstellen und gegebenenfalls umfangreiche Risikomanagementsysteme implementieren, um die IT-Sicherheit zu gewährleisten und Cyberangriffe abwehren zu können. Bei Verstößen gegen die NIS2-Richtlinie drohen erhebliche Bußgelder.
Zusammengefasst: Ja, Krankenhäuser und Rehakliniken sind von der NIS2-Richtlinie betroffen, da sie als wesentliche oder wichtige Einrichtungen eingestuft werden und in der Regel die entsprechenden Größen- oder Umsatzkriterien erfüllen.
Wie unterscheidet sich KRITIS von NIS2?
Die NIS2-Richtlinie (Netz- und Informationssicherheit) und das KRITIS (Kritische Infrastrukturen) sind beide EU-Initiativen zur Verbesserung der Cybersicherheit, aber sie unterscheiden sich in ihrem Anwendungsbereich und ihrer Ausrichtung.
Anwendungsbereich
KRITIS:
Bezieht sich auf spezifische Sektoren und Unternehmen, die als kritische Infrastrukturen klassifiziert sind, weil deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die öffentliche Sicherheit und das Gemeinwesen haben könnte. Dazu gehören z.B. Energie, Wasser, Gesundheit, Transport und Finanzen.
Unternehmen werden als KRITIS-Betreiber definiert, wenn sie bestimmte Schwellenwerte in Bezug auf Größe und Bedeutung überschreiten.
NIS2:
Deckt eine breitere Palette von Sektoren ab, einschließlich derjenigen, die nicht unter die klassische KRITIS-Definition fallen, wie z.B. Postdienste, Abfallwirtschaft, Lebensmittelwirtschaft und Forschungseinrichtungen.
Einführung der "size-cap"-Regel, die mittlere und große Unternehmen in verschiedenen Sektoren reguliert, unabhängig davon, ob sie als kritische Infrastruktur gelten oder nicht. Dies bedeutet, dass NIS2 mehr Unternehmen betrifft als die bisherige KRITIS-Regelung.
Anforderungen
KRITIS:
Betreiber müssen umfassende Sicherheitsmaßnahmen umsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft und zertifiziert werden.
Es gibt spezifische Meldepflichten für IT-Sicherheitsvorfälle und regelmäßige Sicherheitsüberprüfungen.
NIS2:
Führt erweiterte Cybersicherheitsanforderungen ein, die sowohl für "wesentliche Einrichtungen" (essential entities) als auch für "wichtige Einrichtungen" (important entities) gelten.
"Wesentliche Einrichtungen" unterliegen einer strengeren, proaktiven Aufsicht, während "wichtige Einrichtungen" einer reaktiven (anlassbezogenen) Aufsicht unterliegen.
Unternehmen müssen eine Vielzahl von Maßnahmen zur Cybersicherheit implementieren, wie Risiko-Management, Incident-Management, Business Continuity und Lieferkettensicherheit. Sie müssen auch sicherstellen, dass ihre Cybersicherheitspraktiken internationalen und europäischen Standards entsprechen.
Meldepflichten und Haftung
KRITIS:
Meldepflichten bestehen für erhebliche IT-Sicherheitsvorfälle. Betreiber müssen dies dem BSI melden und regelmäßig Nachweise über ihre IT-Sicherheitsmaßnahmen erbringen.
Es besteht eine klare rechtliche Verantwortung für die Einhaltung der IT-Sicherheitsstandards.
NIS2:
Ähnliche Meldepflichten wie bei KRITIS, jedoch erweitert auf mehr Unternehmen und Sektoren.
Unternehmensleitungen werden haftbar gemacht für die Nichteinhaltung der Cybersicherheitsanforderungen. Die Richtlinie legt großen Wert auf die Verantwortlichkeit und Haftung des Managements für Cybersicherheitsmaßnahmen (OpenKRITIS) (BSI).
Insgesamt erweitert NIS2 die Reichweite der Cybersicherheitsverpflichtungen auf mehr Unternehmen und setzt strengere Standards für den Schutz vor Cyberbedrohungen. Die KRITIS-Regelungen bleiben jedoch spezifisch für besonders kritische Sektoren und Infrastrukturen.
Was gilt für NIS2?
Risikomanagement:
Krankenhäuser müssen ein angemessenes Risikomanagement implementieren, das physische und digitale Gefahren berücksichtigt. Dazu gehören regelmäßige Risikoanalysen, die Umsetzung von Sicherheitsmaßnahmen zur Risikominderung und die kontinuierliche Überwachung der Risiken. Maßnahmen wie Verschlüsselung, Firewall-Management, Virenschutz, Zugriffskontrollen und regelmäßige Penetrationstests sind erforderlich.
Verantwortung der Geschäftsleitung:
Die Geschäftsführung trägt die volle Verantwortung für die Umsetzung der NIS2-Vorgaben und muss sicherstellen, dass alle notwendigen Ressourcen und Prozesse bereitgestellt werden. Nach aktueller Auslegung der Richtlinie haften die Geschäftsführer mit ihrem Privatvermögen. Führungskräfte müssen an Cyber-Security-Schulungen teilnehmen. Verstöße können zu hohen Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes führen.
Meldepflichten:
Krankenhäuser müssen Sicherheitsvorfälle nach einem dreistufigen Meldeverfahren an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden: unmittelbar nach Bekanntwerden des Vorfalls, innerhalb von 24 bis 72 Stunden mit Zwischenmeldungen, und abschließend, sobald der Vorfall bearbeitet wurde.
Notfallplanung und Wiederherstellung:
Krankenhäuser müssen Notfallpläne erstellen, die klar definierte Rollen und Verantwortlichkeiten beinhalten, und regelmäßige Notfallübungen durchführen. Es ist wichtig, dass sie auch Wiederherstellungspläne haben, um den Betrieb nach einem Sicherheitsvorfall schnell wieder aufnehmen zu können.
Sanktionen:
Bei Nichteinhaltung der Richtlinie drohen hohe Geldstrafen und potenziell auch persönliche Haftung für Mitglieder der Geschäftsführung. Daher ist es von entscheidender Bedeutung, alle vorgeschriebenen Maßnahmen termingerecht umzusetzen.
Krankenhäuser sollten die Zeit bis zur Umsetzung der Richtlinie nutzen, um ihre IT-Sicherheitsmaßnahmen zu überprüfen und anzupassen, notwendige Schulungen durchzuführen und einen umfassenden Incident-Response-Plan zu entwickeln. Dies wird nicht nur helfen, gesetzliche Anforderungen zu erfüllen, sondern auch die Sicherheit und Vertraulichkeit der Patientendaten zu gewährleisten.
Unser Beratungsteam von Becker Project Consulting berät Sie bei allen Fragen zur Richtlinie und unterstützt Sie auf dem Weg zur Umsetzung der NIS2 Anforderungen.
Da die Anforderungen bereits zum Oktober 2024 in Kraft treten, sollten Sie jetzt handeln. Nehmen Sie mit uns Kontakt auf: