Die EU-Richtlinie NIS-2 (Network and Information Security Directive) weitet die Anforderungen an die Cybersicherheit in Deutschland massiv aus. Für Entscheidungsträger im Gesundheitswesen entsteht dadurch Handlungsdruck, die eigenen IT- und Organisationsstrukturen rasch zu überprüfen und anzupassen.

Was ist passiert?

Die Europäische Union hat mit der NIS-2-Richtlinie die Vorgaben zur Netz- und Informationssicherheit grundlegend reformiert. Sie ersetzt die bisherige NIS-Richtlinie und soll das digitale Risiko in Europa angesichts steigender Bedrohungslagen minimieren. Die Umsetzung in nationales Recht ist bis Oktober 2024 verpflichtend, wodurch sich für betroffene Einrichtungen klare Fristen ergeben, um die Sicherheitsmaßnahmen auf ein neues Niveau zu heben.

Warum betrifft das Einrichtungen im Gesundheitswesen?

Der Gesundheitssektor ist als kritische Infrastruktur (KRITIS) oder als „wichtige Einrichtung“ in besonderem Maße betroffen. Im Gegensatz zur alten Regelung erweitert NIS-2 den Kreis der verpflichteten Unternehmen drastisch. Künftig fallen alle mittelgroßen und großen Einrichtungen des Gesundheitswesens – in der Regel Krankenhäuser, aber auch große Praxisketten oder Labore – in den Anwendungsbereich. Die IT-Systeme des Gesundheitswesens verarbeiten hochsensible Patientendaten und sind essenziell für die Aufrechterhaltung der Versorgung. Eine Störung oder ein Ausfall hat unmittelbar Folgen für Menschenleben und die öffentliche Sicherheit.

Welche Einrichtungen sind typischerweise betroffen?

Der Fokus liegt auf sogenannten „wichtigen“ und „essenziellen“ Einrichtungen. Dazu zählen:

• – Krankenhäuser und Kliniken.
• – Größere medizinische Versorgungszentren (MVZ).
• – Diagnostische Labore und Forschungseinrichtungen.
• – Teilweise auch Trägergesellschaften, die IT-Dienste für mehrere Kliniken bündeln.

Die konkrete Einstufung und die daraus resultierenden Pflichten hängen von der jeweiligen nationalen Umsetzung ab, basieren aber primär auf Kriterien wie Unternehmensgröße, Umsatz und der Bedeutung für die öffentliche Versorgung.

Welche organisatorischen und technischen Anforderungen entstehen?

NIS-2 fordert von den betroffenen Einrichtungen die Einführung umfassender Risikomanagement-Maßnahmen. Dies beinhaltet nicht nur rein technische Schutzmechanismen, sondern auch organisatorische und prozessuale Anpassungen:

• 
  
• Risikoanalyse: Regelmäßige, fundierte Bewertung der IT-Sicherheitsrisiken.
• Incident-Response-Prozesse: Klare Abläufe zur Erkennung, Bewältigung und Meldung von Sicherheitsvorfällen.
• Sicherstellung der Lieferkette: Adäquate Sicherheitsanforderungen müssen an Dienstleister und Zulieferer (etwa für Software, Hardware oder Wartung) gestellt werden.
• Schulungen und Bewusstsein: Die Geschäftsleitung muss die Risikomanagement-Maßnahmen billigen und Mitarbeiter regelmäßig schulen.

Welche Unsicherheiten bestehen aktuell?

Viele Entscheider sind aktuell unsicher bezüglich der exakten Abgrenzung, welche Teile ihrer Organisation oder welche Dienstleistungen genau unter die Richtlinie fallen. Hinzu kommt die Frage der Ressourcenallokation: Die Umsetzung erfordert Budget und qualifiziertes Personal. Bestehende IT-Teams sind oft bereits ausgelastet, was die Notwendigkeit externer Unterstützung in Bereichen wie Rollout-Management oder der Implementierung von Managed-Workplace-Lösungen erhöht.

Um die individuelle Situation der Einrichtung besser zu bewerten, sollten sich Entscheider folgende Fragen stellen:

• Erfüllt unsere Einrichtung die Kriterien (Mitarbeiterzahl, Umsatz, kritische Funktion) der nationalen NIS-2-Umsetzung?
• Existiert ein formal dokumentiertes und von der Leitungsebene gebilligtes Risikomanagementsystem für unsere IT-Systeme?
• Können wir die Sicherheit unserer externen Dienstleister und unserer IT-Lieferkette transparent belegen?
• Sind unsere Prozesse zur Erkennung und Meldung von IT-Sicherheitsvorfällen (Incident Handling) aktuell und unter realen Bedingungen getestet?

Die Zeit bis zur nationalen Umsetzung ist knapp. Ein strukturierter Ansatz ist ratsam:

1. Geltungsbereich klären: Prüfen Sie anhand der veröffentlichten Kriterien, ob und in welchem Umfang Ihre Einrichtung von NIS-2 betroffen ist.
2. Verantwortlichkeiten definieren: Benennen Sie einen zentralen Verantwortlichen oder ein Team für die Umsetzung der Richtlinie.
3. Gap-Analyse durchführen: Vergleichen Sie den aktuellen Stand Ihrer Sicherheitsmaßnahmen mit den neuen Anforderungen aus NIS-2 (technisch und organisatorisch).
4. Priorisierte Maßnahmen ableiten: Auf Basis der Gap-Analyse einen realistischen Umsetzungsplan erstellen, der zunächst die größten Risiken adressiert.

Möchten Sie wissen, ob Ihre Einrichtung betroffen ist und welche konkreten Schritte notwendig sind? Unsere Experten unterstützen Sie bei einer strukturierten Analyse Ihrer IT- und Organisationsstrukturen. Wir helfen Ihnen, die Anforderungen der NIS-2-Richtlinie auf Ihr Umfeld zu übertragen, ohne unnötigen Verkaufsdruck zu erzeugen.

#Cybersicherheit #communisystems