Verschärfte IT-Sicherheitsanforderungen im Gesundheitswesen

Ende 2022 hat die EU mit der „NIS2“-Richtlinie wichtige Regelungen zum Schutz der Netz- und Informationssicherheit in „kritischen Sektoren“ getroffen, zu denen auch das Gesundheitswesen gehört. Durch die Richtlinie soll der Schutz von bestimmten Einrichtungen und Diensten des Gesundheitswesens vor Cybergefahren verstärkt werden.

In Deutschland wird die Richtlinie durch das NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt. Dabei geht der Gesetzesentwurf über die EU-Vorgaben hinaus und bewirkt somit vielzählige Neuerungen im nationalen Cybersicherheitsrecht.

Das NIS2UmsuCG soll bis Mitte 2024 verabschiedet werden. Die mit ihm einhergehenden Pflichten sollen ab dem 1. Oktober 2024 gelten.

Geltungsbereich

Deutlich mehr Unternehmen als bisher werden durch das Kernstück des NIS2UmsuCG - die Anpassung des BSI-Gesetzes (BSIG-E) - in das IT-Sicherheitsregime einbezogen (vgl. § 57 Abs. 1 BSIG-E). Unterschieden wird dabei zwischen „wichtigen“ und „besonders wichtigen Einrichtungen“ sowie „kritischen Anlagen“ (vgl. § 28 Abs. 3, 6, 7 BSIG-E). Alle Normadressaten müssen eine Reihe von Pflichten erfüllen. Dies betrifft nicht nur Unternehmen, die bisher schon als KRITIS anerkannt waren.

Der Anhang I der NIS 2-Richtlinie gibt jedoch bereits eine Liste „kritischer Einrichtungen“ vor, die sich entsprechend auch in der Rechtsverordnung wiederfinden muss. Ziffer 5 des Anhangs weist das Gesundheitswesen als kritischen Sektor aus. Der Anwendungsbereich erstreckt sich dabei auf Gesundheitsdienstleister, bestimmte Medizinprodukte- und Arzneimittelhersteller sowie EU-Referenzlaboratorien.

Risikomanagement, Melde-, Registrierungs-, Nachweis und Unterrichtungspflichten

Die erfassten Unternehmen sowie deren Leitungsorgane treffen nach dem BSIG-E eine Reihe von Pflichten. Diese hängen im Einzelnen davon ab, ob es sich um eine „kritische Anlage“ oder um eine „wichtige“ oder „besonders wichtige Einrichtung“ handelt.

Risikomanagement: Sicherheitsmaßnahmen und Risikobewertung (§ 30 BSIG-E)

Sämtliche Einrichtungen sind verpflichtet, technische und organisatorische Maßnahmen zum Schutz ihrer IT-Systeme und -Prozesse zu treffen. Diese Maßnahmen sollen dem aktuellen Stand der Technik entsprechen und das Risiko eines Schadenseintritts angemessen berücksichtigen, wobei Faktoren wie die Größe der Einrichtung und potenzielle Sicherheitsvorfälle zu berücksichtigen sind. Die Hauptverantwortung für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen liegt bei den Geschäftsführern. Sie haften auch für Verstöße und sollen regelmäßig an Schulungen teilnehmen (§ 38 BSIG-E).

Meldepflichten (§ 31 BSIG-E)

Bei einem Sicherheitsvorfall haben die Einrichtungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene Meldungen zu erstatten, darunter eine Erstmeldung innerhalb von 24 Stunden und eine Detailmeldung innerhalb von 72 Stunden, sowie eine Abschlussmeldung. Als Sicherheitsvorfälle gelten dabei Ereignisse, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten oder von Diensten, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigen (§ 2 Abs. 1 Nr. 37 BSIG-E).

Weitere Pflichten

Die Einhaltung der Sicherheitsanforderungen muss gegenüber dem BSI regelmäßig nachgewiesen werden. Bei Sicherheitsmängeln kann das BSI Abhilfemaßnahmen verlangen (§ 34 BSIG-E). Darüber hinaus sind alle Einrichtungen verpflichtet, sich beim BSI zu registrieren und relevante Informationen zur Verfügung zu stellen (§§ 32, 33 BSIG-E). Bei erheblichen Sicherheitsvorfällen können sie verpflichtet werden, ihre Kunden über diese zu informieren (§§ 35, 36 BSIG-E).

Durchsetzung und Sanktionen

Die Überprüfung der Einhaltung und Durchsetzung der genannten Pflichten obliegt dem BSI (§§ 62-65 BSIG-E). Es kann dabei direkt auf die Unternehmen einwirken und Maßnahmen ergreifen. Diese bleiben so lange in Kraft, bis die Einrichtung den Anordnungen der Behörde nachgekommen ist. Bei Zuwiderhandlung drohen empfindliche Geldbußen (§ 64 BSIG-E). Diese können laut Gesetzestext bis zu zwanzig Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Umsatzes des betroffenen Unternehmens im vorangegangenen Geschäftsjahr betragen.

Was nun zu tun ist – Vorbereitung auf das NIS 2 Umsetzungsgesetz

Die umfassten Betreiber im Gesundheitswesen müssen u.a. geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie zur Erbringung ihrer Dienste nutzen, zu verhindern und Auswirkungen von Sicherheitsvorfällen auf ihre Dienste oder auf andere Dienste zu verhindern oder so gering wie möglich zu halten. Der Gesetzentwurf ist noch nicht endgültig. Die Anforderungen werden sich aber voraussichtlich nicht grundlegend ändern. Unternehmen sollten sich daher auf jeden Fall mit folgenden Themenbereichen befassen:

1. Erstellen von Konzepten in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
2. Bewältigung von Sicherheitsvorfällen,
3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
4. Sicherheit der Lieferkette,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
6. Erstellen von Konzepten und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
7. Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
8. Erstellen von Konzepten und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.