Kriminelle Hackerangriffe auf Einrichtungen aus Gesundheitswesen und Sozialwirtschaft nehmen zu. Erst letztes Jahr machte ein Unternehmen aus dem Diakonie-Umfeld mit mehr als 2.000 Angestellten Schlagzeilen, weil es mit Ransomware infiziert wurde. Im Januar dieses Jahres gelang ein Cyberangriff auf eine Klinik der Caritas in Berlin; wieder war Ransomware im Spiel. Um insbesondere die kritische Infrastruktur wesentlich stärker vor solchen Bedrohungen zu schützen, hat die EU die „Network and Information Security Directive“, kurz NIS-2, auf den Weg gebracht. In diesem Beitrag wollen wir auf die Details von NIS-2 in Bezug auf Krankenhäuser beleuchten.
Die Richtlinie muss bis Oktober dieses Jahres in nationales Recht überführt werden. Ziel ist es, die Informationssicherheit signifikant zu steigern. Ähnlich dem Lieferkettensorgfaltspflichtengesetz erfasst NIS-2 auch Subunternehmen. Das bringt schlagartig eine ganze Reihe an Unternehmen in die Verantwortung, die sich vorher nur wenig mit ihrer Informations- und Cybersicherheit auseinandergesetzt haben. Deutschlandweit sollen bis zu 40.000 Unternehmen direkt oder indirekt betroffen sein. Krankenhäuser, die die Schwellwerte der NIS-2 erreichen, (ab 50 Mitarbeitende und 10 Millionen Euro Umsatz) werden betroffen sein.
Ein Überblick von Christian Pinnecke, IT-Sicherheits- und Cyber-Security-Experte bei Althammer & Kill.
NIS-2 im Krankenhaus-Kontext: Entwurf zur Umsetzung auf nationaler Ebene
Der Referentenentwurf des NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) sieht vor, die Anforderungen an die IT-Sicherheit zu erweitern und deckt dabei eine breitere Palette von Sektoren ab, die als essenziell für das Funktionieren der Gesellschaft und Wirtschaft angesehen werden. Neben traditionellen Sektoren wie Energie, Transport und Gesundheitswesen gehören nun auch z. B. kommunale Versorgung und digitale Infrastruktur zur kritischen Infrastruktur (kurz KRITIS).
Wann gilt NIS-2 für Krankenhäuser?
Krankenhäuser und große Gesundheitseinrichtungen, die bisher der KRITIS-Verordnung unterlagen (bislang gilt dies bei mindestens 30.000 vollstationären Behandlungsfälle im Jahr, mussten ein Informations-Sicherheits-Management-System, kurz ISMS, in der Organisation implementieren. Das ISMS basiert auf dem branchenspezifischen Sicherheitsstandard („B3S“) „Medizinische Versorgung“. Jene Krankenhäuser und große Gesundheitseinrichtungen, die bisher nicht der KRITIS-Verordnung unterlagen, sind nach Erreichung der Schwellwerte, von der NIS-2 betroffen. Das bedeutet, je nach Erreichung der Schwellwerte sind Krankenhäuser und große Gesundheitseinrichtungen
- Betreiber kritischer Anlagen (BkA),
- Besonders wichtige Einrichtungen (bwe) oder
- Wichtige Einrichtungen (we)
und müssen je Einrichtungsart unterschiedliche Anforderungen erfüllen.
Ein ISMS nach dem B3S „Medizinische Versorgung“ enthält die wesentlichen Anforderungen der NIS-2 und hat eine elementare Auswirkung auf die Patientensicherheit und den Schutz ihrer Daten im Krankenhaus und in großen Gesundheitseinrichtungen. Denn aus dem ISMS resultieren viele technische und organisatorische Maßnahmen, um die digitale Versorgung und Dokumentation der Patientinnen und Patienten zu schützen.
Digitaler Wandel im Gesundheitswesen und die Bedeutung von Cybersicherheit
Ganz generell ist der digitale Wandel im Gesundheitswesen politisch gewollt und gefordert. Um die Sicherheit der in diesem Zuge erhobenen Daten garantieren zu können, muss dem Schutz der IT-Infrastruktur auch abseits von KRITIS wesentlich mehr Aufmerksamkeit geschenkt werden als dies bisher der Fall ist. Die BSI-Präsidentin Claudia Plattner sieht dabei auch die Unternehmen in der Pflicht: „Genauso, wie wir Fenster und Türen verschließen, wenn wir das Zuhause oder das Büro verlassen, können wir uns auch im Cyberraum schützen. Dazu müssen Unternehmen Cybersicherheit konsequent umsetzen und Bürgerinnen und Bürger ein Bewusstsein für diese Gefahren entwickeln“, wird sie in einer Pressemitteilung des Bundeskriminalamts zitiert. Cyberangriffe auf Einrichtungen der Sozialwirtschaft können nicht nur finanzielle Schäden verursachen, sondern direkt das Wohl und die Sicherheit der Patientinnen und Patienten sowie Pflegebedürftigen gefährden. Die Umsetzung von NIS-2 in Bezug auf Krankenhäuser hat also eine beachtliche Bedeutung.
Kernpunkte der NIS-2-Richtlinie
- Erweiterung des Geltungsbereichs: Anbieter digitaler Dienste, Labore und Forschungseinrichtungen, Dienstleister in den Bereichen Gesundheitswesen und Wasserversorgung und viele weitere sollen strenger reguliert werden.
- Verpflichtung zum Risikomanagement: Organisationen müssen systematisch Risiken identifizieren und bewerten sowie geeignete Maßnahmen zur Risikominderung implementieren. Sicherheitsvorkehrungen müssen regelmäßig überprüft und aktualisiert werden, z. B. über Informationssicherheitsmanagementsysteme.
- Meldepflicht bei Sicherheitsvorfällen: Sicherheitsvorfälle, die wesentliche Auswirkungen auf die Bereitstellung von Diensten haben, müssen unverzüglich an die zuständigen nationalen Behörden gemeldet werden, um Schäden zu minimieren.
- Erhöhung der Resilienz: Einrichtungen, die unter die NIS-2-Richtlinie fallen, müssen Maßnahmen ergreifen, um ihre Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen. Dazu gehören sowohl technische Schutzmaßnahmen als auch organisatorische Vorkehrungen wie regelmäßige Schulungen der Mitarbeitenden.
Der B3S „Medizinische Versorgung“ spiegelt dabei, wie bereits erwähnt, die wesentlichen Anforderungen der NIS-2 wider.
Online-Event: NIS-2 - Neue Herausforderungen und Lösungsansätze
Um einen kompakten Überblick über die Anforderungen zu geben, veranstaltet Althammer & Kill am 19. Juni 2024 das interaktive Online-Event „NIS-2: Neue Herausforderungen und innovative Lösungsansätze“. Einen Quick-Check, wer von NIS-2 betroffen ist, sowie umfassende Informationen zur EU-Richtlinie finden Sie in unserem Whitepaper zum kostenlosen Download. Bei weiteren Fragen zu diesem Gesetz oder anderen Themen im Bereich Cybersicherheit nutzen Sie auch gern unsere Cyber-Security-Beratung!