Bildnachweis: Chebix – stock.adobe.com.
In einem zunehmend digitalisierten Gesundheitswesen gewinnen die Sicherheit digitaler Infrastrukturen und der Schutz von Informationen immer mehr an Bedeutung. Zu diesem Zweck hat der europäische Gesetzgeber vor Kurzem die Network-and-Information-Security-(NIS-)2-Richtlinie verabschiedet. Diese ist bis 17. Oktober 2024 in nationales Recht umzusetzen. So soll die Widerstandsfähigkeit von IT-Systemen maßgeblich gestärkt werden. Auf Unternehmen und Organisationen im Gesundheitssektor kommt somit eine Vielzahl neuer Herausforderungen zu.
Der aktuelle Lagebericht des BSI verdeutlicht, dass die Sicherheitslage in Deutschland äußerst angespannt ist. Die Gesundheitsbranche bildet hier keine Ausnahme. Im Gegenteil: Krankenhäuser, Rehabilitationseinrichtungen, medizinische Versorgungszentren und andere Gesundheitseinrichtungen sind regelmäßig von schwerwiegenden Cyberattacken betroffen. Am bekanntesten sind sogenannte Ransomware-Attacken, bei denen IT-Systeme und die dort gespeicherten Daten verschlüsselt und nur gegen Zahlung eines Lösegelds wieder freigegeben werden. Möglich werden solche Angriffe oftmals durch unzureichende Schutzmaßnahmen und Schwachstellen innerhalb der eingesetzten IT-Infrastruktur.
Paradigmenwechsel durch neue NIS-2-Richtlinie?
Die NIS-2-Richtlinie stellt einen wesentlichen Baustein in der Cybersicherheitsstrategie der EU-Kommission dar und soll die Netz- und Informationssicherheit in Sektoren mit hoher Kritikalität wie Energie, Transport und Verkehr, Gesundheit, Wasser und Abwasser, Informationstechnik und Telekommunikation verbessern. Zur Umsetzung der NIS-2-Richtlinie in nationales Recht liegt bereits ein detaillierter Entwurf in Form des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes („NIS-2-Umsetzungsgesetz“) vor. Der letzte Referentenentwurf datiert vom 22. Dezember 2023 und bringt vor allem grundlegende Änderungen im aktuell geltenden BSI-Gesetz.
Aktuell sind gesetzliche Vorgaben zur IT-Sicherheit im Gesundheitssektor in Deutschland eher rudimentär geregelt. Insoweit finden sich etwa allgemeine Vorgaben für die vertragsärztliche und -zahnärztliche Versorgung, für Krankenhäuser und für die gesetzlichen Kranken- und Pflegekassen im Sozialgesetzbuch (SGB) V. Im Falle von Einrichtungen, die als kritische Infrastrukturen einzustufen sind, sieht das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik („BSI-Gesetz“) zudem noch weitergehende Anforderungen vor (z.B. Umsetzung von Systemen zur Angriffserkennung). Dies betrifft beispielsweise Plankrankenhäuser ab 30.000 vollstationären Fällen.
Demgegenüber enthält die NIS-2-Richtlinie nun eine Vielzahl an detaillierten Pflichten zur Sicherstellung der IT-Sicherheit und erfasst eine weitaus größere Anzahl von Einrichtungen, die Gesundheitsdienstleistungen erbringen. Hierzu gehören Krankenhäuser, einschließlich Privatpatientenkliniken, Rehabilitationskliniken, medizinischer Versorgungszentren, Apotheken und Praxen. Ebenfalls erfasst sind Einrichtungen zur Erforschung und Entwicklung von Arzneimitteln, Hersteller von pharmazeutischen Erzeugnissen und Hersteller von kritischen Medizinprodukten.
Deutschland will Richtlinie noch verschärfen
Unternehmen und Organisationen fallen nur dann unter die NIS-2-Richtlinie, falls sie die maßgeblichen Schwellenwerte für sogenannte wichtige bzw. wesentliche Einrichtungen erfüllen. So wird verlangt, dass eine wichtige Einrichtung mindestens 50 Mitarbeiter beschäftigen und einen Jahresumsatz bzw. eine Jahresbilanzsumme von mindestens 10 Mio. EUR aufweisen muss. Der aktuelle Entwurf des deutschen NIS-2-Umsetzungsgesetzes sieht demgegenüber einen nochmals wesentlich reduzierteren Schwellenwert vor: Wichtige Einrichtungen müssen entweder mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz bzw. eine Jahresbilanz von mindestens 10 Mio. EUR aufweisen.
Für wesentliche Einrichtungen unterschreiten die im NIS-2-Umsetzungsgesetz vorgesehen Schwellenwerte ebenfalls die der NIS-2-Richtlinie, indem grundsätzlich entweder mindestens 250 Mitarbeiter oder ein Jahresumsatz von über 50 Mio. EUR und eine Jahresbilanz von über 43 Mio. EUR verlangt werden. Die NIS-2-Richtlinie setzt hingegen voraus, dass diese Werte (Mitarbeiterzahl, Jahresumsatz und Jahresbilanz) kumulativ erfüllt werden müssen. Dieser weitreichende Adressatenkreis ist bereits auf erhebliche Kritik gestoßen, da die Einhaltung der Vorgaben mittel- und langfristig erhebliche Zusatzkosten verursacht sowie Ressourcen bindet. Es bleibt daher abzuwarten, ob der deutsche Gesetzgeber den Entwurf des
NIS-2-Umsetzungsgesetzes in diesem Punkt noch einmal überarbeiten wird.
Mit der neuen NIS-2-Richtlinie und dem erwarteten NIS-2-Umsetzungsgesetz kommt auf die Gesundheitsbranche eine Vielzahl von neuen Herausforderungen zu.
Überblick über die vorgeschriebenen Maßnahmen
Inhaltlich verpflichtet die NIS-2-Richtlinie die in den Anwendungsbereich fallenden Unternehmen und Organisationen zur Einhaltung verschiedener Vorgaben im Bereich der IT-Sicherheit. Hierzu gehört insbesondere die Umsetzung robuster Risikomanagementmaßnahmen in Form von technischen, organisatorischen und operativen Maßnahmen. Anders als andere Rechtsakte (wie etwa die Datenschutz-Grundverordnung (DSGVO)) enthält die NIS-2-Richtlinie einen expliziten Mindestkatalog an Maßnahmen, die unbedingt umgesetzt werden müssen. Hierzu gehören etwa Verfahren zur Bewältigung von Sicherheitsvorfällen, Prozesse zur Sicherstellung der Sicherheit in der Lieferkette sowie Maßnahmen zum Umgang mit Schwachstellen. Ein weiterer wichtiger Punkt betrifft die fristgerechte Meldung von Sicherheitsvorfällen bei den zuständigen Behörden.
Was müssen Unternehmen und Organisationen nun tun?
Fest steht: Mit der neuen NIS-2-Richtlinie und dem erwarteten NIS-2-Umsetzungsgesetz kommt auf die Gesundheitsbranche eine Vielzahl von neuen Herausforderungen zu. Aufgrund der im NIS-2-Umsetzungsgesetz ausdrücklich festgelegten persönlichen Verantwortlichkeit und damit einhergehenden expliziten Haftung der Geschäftsleitung sowie der saftigen Bußgelder im Falle von Verstößen kann sich die Geschäftsleitung dem Thema IT-Sicherheit nicht mehr entziehen. Im Gegenteil: IT-Sicherheit ist nun ausdrücklich Chefsache! Aufgrund des weiten Anwendungsbereichs sollten Unternehmen und Organisationen unbedingt in einem ersten Schritt prüfen, ob und in welchem Umfang sie von den neuen Vorgaben der NIS-2-Richtlinie und des NIS-2-Umsetzungsgesetzes betroffen sind. In einem zweiten Schritt gilt es dann, den entsprechenden Umsetzungsbedarf zu ermitteln, der notwendig ist, um die neuen Anforderungen zu erfüllen.
Grundsätzlich ist zu erwarten, dass eine Vielzahl der betroffenen Unternehmen und Organisationen in neue Technologien, Schulungsmaßnahmen und Sicherheitsinfrastruktur investieren werden müssen. Damit einhergehend ist auch die Implementierung eines Informationssicherheitsmanagementsystems regelmäßig sinnvoll. Vor diesem Hintergrund empfiehlt es sich daher, zeitnah mit der Ermittlung des erforderlichen Umsetzungsbedarfs und der Beschaffung der hierfür benötigen Ressourcen und Mittel zu beginnen. Angesichts der schwierigen finanziellen Situation der Gesundheitsbranche, insbesondere im stationären Bereich, wäre eine Förderung in diesem Bereich, z.B. durch Anpassung des § 14a Krankenhausfinanzierungsgesetz (KHG), wünschenswert.
Dieser Artikel ist in der Plattform Life-Sciences-Ausgabe 1-2024 erschienen.
Autor/Autorin
Michael Kuska, LL.M., LL.M.
Michael Kuska ist Salaried Partner bei Heuking. Er ist zertifizierter ISO 27001 Security Officer und Mitglied der Arbeitsgruppe IT-Sicherheitsrecht beim Bundesverband IT-Sicherheit e.V. (TeleTrusT). Er berät nationale wie auch internationale Unternehmen und Organisationen in den Bereichen Tech, Data und Security mit einem Schwerpunkt im Gesundheitsbereich.
Dr. Klaus-Georg Baier
Dr. Klaus-Georg Baier ist Senior Counsel bei Heuking. Sein Schwerpunkt liegt in der Beratung von Investoren und Gesundheitseinrichtungen bei Transaktionen, der Etablierung von Compliance-Systemen und medizinrechtlichen Fragestellungen.
