Die NIS-2-Richtlinie stellt auch den Healthcare-Sektor mit ihren Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU vor neue Herausforderungen. Ab Oktober 2024 werden zusätzlich zu den kritischen Infrastrukturen viele weitere Akteure aus dem Gesundheitswesen von NIS-2 betroffen sein.
INHALTE

Der Beitrag wurde verfasst von unseren Experten Thomas Takkin und Jonas Neurath.

Die NIS-2-Richtlinie ist eine Weiterentwicklung der EU-weiten NIS-Richtlinie (Network and Information Systems) zur Cyber Sicherheit. Ziel von NIS-2 ist die Etablierung eines einheitlichen Mindeststandards für die Informationssicherheit innerhalb der Unternehmen in der EU. Gleichermaßen erweitert die Regulatorik den Anwendungsbereich auf verschiedene Sektoren und verlangt strengere Sicherheitsmaßnahmen sowie eine bessere Zusammenarbeit auf europäischer Ebene. Dadurch sollen Cyberangriffe frühzeitig erkannt und effektiv abgewehrt werden, um letztlich die Sicherheit der Bevölkerung zu gewährleisten.

Die Herausforderung besteht darin, dass viele der von den neuen Vorgaben betroffenen Akteure bislang keine ausreichenden Sicherheitsvorkehrungen getroffen haben. Die Implementierung der erforderlichen Maßnahmen wie Risikoanalysen, Vorfallmanagement und die Etablierung von Sicherheitsstandards erfordert erhebliche Investitionen und Know-how. Der Gesundheitssektor ist zwar schon lange ein zentraler Bestandteil der kritischen Infrastrukturen (KRITIS) in Deutschland, unter den neuen NIS-2-Vorgaben wird der Schutz jedoch deutlich ausgeweitet und betrifft nun viele weitere Akteure im Healthcare-Sektor.

Cyber Sicherheit im Healthcare-Sektor: Warum sie jetzt noch wichtiger ist!

Während sich größere Krankenhäuser und medizinische Einrichtungen bisher bereits an die strengen Vorgaben der KRITIS-Verordnung zur Gewährleistung der Cyber Sicherheit halten mussten, verlangt die NIS-2-Richtlinie nunmehr, dass ebenso viele kleinere Gesundheitsdienstleister wie medizinische Versorgungszentren, ärztliche Praxen, Apotheken oder auch Reha- und Pflegeeinrichtungen robuste Sicherheitsvorkehrungen treffen müssen, um Bußgelder und Sanktionen zu vermeiden.

Gleichermaßen fallen fortan Medizintechnikunternehmen, Labore, Forschungseinrichtungen, Softwareanbieter im Gesundheitswesen und weitere Dienstleister, die eine wesentliche Rolle in der Gesundheitsversorgung spielen, in den Anwendungsbereich. Die Erweiterung der Anforderungen soll sicherstellen, dass die gesamte Versorgungskette im Gesundheitswesen vor Cyberangriffen geschützt wird.

Die Implementierung dieser Anforderungen bringt jedoch erhebliche Herausforderungen mit sich. Viele der Einrichtungen im Gesundheitswesen haben mit nicht zeitgemäßen IT-Infrastrukturen zu kämpfen, die den neuen Sicherheitsstandards oft nicht gerecht werden. Hinzu kommt der hohe Aufwand, der mit der Umsetzung von Schulungen oder technischen und kontinuierlichen Überwachungsmechanismen verbunden ist. Dennoch sind diese Maßnahmen unerlässlich, um die Kontinuität der Patientenversorgung sicherzustellen und Patienten- und Forschungsdaten vor zunehmenden Cyber-Bedrohungen wie Ransomware Angriffen zu schützen.

Von der Theorie zur Praxis: So gelingt die NIS-2-Umsetzung im Gesundheitswesen

Die Umsetzung der NIS-2-Richtlinie im Gesundheitswesen erfordert eine strategische Herangehensweise. Ein bewährtes Mittel ist die Nutzung des branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser gemäß § 8a BSI-Gesetz, der als Leitfaden für die Erfüllung vieler Cybersicherheitsanforderungen genutzt werden kann. Allgemein definiert der Standard spezifische Maßnahmen, die Krankenhäuser ergreifen müssen, um ihre IT-Infrastrukturen gegen Bedrohungen zu schützen.

Vorteil für alle weiteren Gesundheitseinrichtungen und Gesundheitsdienstleister, die neu in den NIS-2-Anwendungsbereich fallen ist, dass der B3S fast alle verpflichtenden organisatorischen und technischen Maßnahmen der NIS-2-Richtlinie erfasst.

Die Zusammenarbeit mit IT-Sicherheitsexperten und die Implementierung des B3S oder ähnlichen Sicherheitsstandards kann dementsprechend in den meisten Fällen dabei helfen, die neuen Anforderungen gemäß NIS-2-Richtlinie zu erfüllen. Zusätzlich werden regelmäßige Audits und kontinuierliche Sicherheitsüberprüfungen entscheidend sein, um den hohen Standard der Cyber Sicherheit langfristig zu gewährleisten.

Die Umsetzung der NIS-2-Richtlinie ist also eine Herausforderung, aber auch eine Chance für das Gesundheitswesen, sich besser gegen die wachsenden Bedrohungen aus dem Cyberumfeld zu wappnen und so einen Beitrag zur Sicherheit und Stabilität der medizinischen Versorgung zu gewährleisten.

Wenden Sie sich gerne an unsere kompetenzübergreifenden Experten, wenn Sie Unterstützung wünschen!