Ein Unternehmen der opta data Gruppe
Aktuelles
Cybersecurity
Datenschutz

NIS2-Richtlinie: Was bedeutet diese für den Gesundheitssektor?

NIS2-Richtlinie:

Die Network-and-Information-Security- Richtlinie 2.0 (Richtlinie (EU) 2022/2555, „NIS2-RL“) wurde im Dezember 2022 verabschiedet. Diese stellt eine Reaktion auf die erhöhte Bedrohungslage im Hinblick auf Cyberangriffe und die damit verbundene Erhöhung der Anforderungen an die Abwehr solcher Vorfälle dar. Wir fassen die wesentlichen Punkte für Sie zusammen:

Wesentliche Neuerungen:

NIS2-RL ist seit 12/2022 in Kraft. Deutschland und alle anderen EU-Staaten müssen die RL bis 17.10.2024 umsetzen.

Es lohnt sich also für alle Firmen, bereits jetzt darauf zu reagieren, die Anforderungen genau zu studieren (Informationen finden Sie in unserem Kurs Informationssicherheit und Cybersecurity) und erforderliche Maßnahmen zu ergreifen. So können Änderungen an Geschäftsprozessen und Verwaltungsabläufen in Ruhe und geordnet vorgenommen werden.

Cybersicherheit wird eine Managementaufgabe

Führungskräfte und die Geschäftsleitung werden persönlich in Haftung genommen, wenn die Cybersicherheit im Betrieb nicht gewährleistet und die in der NIS2-RL vorgeschriebenen Maßnahmen zur Prävention von IT-Sicherheitsvorfällen nicht umgesetzt wurden. Die Überwachung damit verbundener Aktivitäten im Risikomanagement, z.B. die regelmäßige Schulung aller Mitarbeiter:innen, wird damit zur Aufgabe von Inhaber:innen und Verantwortlichen in Praxen, MVZ und Kliniken.

Definition kritischer Dienste und Sektoren wird deutlich erweitert

Die NIS2-RL weitet den bisherigen Anwendungsbereich deutlich aus. Hier finden Sie einige Beispiele für kritische und hochkritische Sektoren:

Hochkritische Sektoren: Hier zu zählen Verkehr, Banken und Finanzmärkte, Gesundheitswesen, Trink- und Abwasser, Digitale Infrastruktur, Verwaltung, Luft- und Raumfahrt.

Kritische Sektoren: Sie umfassen Post- und Kurierdienste, Abfallwirtschaft, Chemieindustrie, Lebensmittel (Produktion, Verarbeitung, Vertrieb), Gewerbe, digitale Dienste und Forschung.

Davon betroffen sind alle Einrichtungen und Unternehmen mit mehr als 50 Mitarbeitern und Mitarbeiterinnen oder einem Jahresumsatz von mehr als 10 Mio EUR.

Im Gesundheitswesen trifft dies also jedes deutsche Krankenhaus sowie nahezu alle MVZ. Auch Großpraxen werden betroffen sein, da der Umsatz von 10 Mio. EUR rasch erreicht ist.

Auch im Gesundheitssektor werden durch die NIS2-RL fortan viel mehr Einrichtungen durch das EU-Cybersicherheitsrecht reguliert. Im Unterschied zur bisherigen Rechtslage werden sämtliche Hersteller medizinischer Geräte im Sinne der europäischen Medizinprodukte-Verordnung (EU) 2017/745 von den Vorgaben der NIS2-RL erfasst und nicht mehr nur Hersteller bestimmter Medizinprodukte, die bestimmte Schwellenwerte überschreiten.
Das kann ebenfalls viele Sanitätshäuser und auch Orthopädieschuhmacher treffen.

Verpflichtung zum Ergreifen von Risikomanagementmaßnahmen

a) Ermittlung erforderlicher Maßnahmen:
Alles in allem liegt den Anforderungen an das Risikomanagement ein gefahrenübergreifender Ansatz zugrunde: Physische und digitale Gefahren sind abzuwägen. Es sollten demnach nicht nur die Gefahren von Phishing- und Hacking-Szenarien berücksichtigt werden, sondern auch Diebstahl, Feuer und Stromausfälle.

b) Ergreifen erforderlicher Maßnahmen:
NIS2-RL unter anderem folgende Maßnahmen als Teil des aktiven Risikomanagements:

  • Policies: Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  • Business Continuity: Aufrechterhaltung des Betriebs, Wiederherstellung nach einem Notfall, Krisenmanagement
  • Incident Management: Bewältigung von Sicherheitsvorfällen
  • Einkauf: Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, Offenlegung von Schwachstellen
  • Schulungen: grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Verschlüsselung: Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Supply Chain: Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  • Effektivität: Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • Weitere organisatorische Maßnahmen: Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen

Unser Kurs gibt Ihnen wichtige Hinweise für die praktische Umsetzung

Zum Kurs

 

Kapitel IV, Artikel 20, Governance (2) (Mehr Information, siehe Quelle)
Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern und Mitarbeiterinnen regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben. Zu unserem Kurs

Standardisierung und Zertifizierung

Ggf. können EU-Staaten den Einsatz zertifizierter technischer Lösungen vorschreiben oder Zertifikate zur IT-Sicherheit (z.B. ISO 27001) erlangen.

Mit unserem Kurs Informationssicherheit und Cybersecurity werden alle Mitarbeiter:innen Ihr Wissen in diesem komplexen Bereich erweitern können, um präventiv Cyberhygiene für das Unternehmen zu betreiben. Der erfolgreiche Abschluss des Kursen wird mit einem Zertifikat belegt. So kann gleichzeitig nachgewiesen werden, dass die Schulungspflicht erfüllt wurde.

Sanktionen im Überblick

Wesentliche Einrichtungen: 10 Mio EUR oder 2% des weltweiten Vorjahresumsatzes

Wichtige Einrichtungen: 7 Mio EUR oder 1,4% des weltweiten Vorjahresumsatzes

Die Leitungsebenen wesentlicher und wichtiger Einrichtungen sind daher gut beraten, die Pflicht zum Ergreifen von Risikomanagementmaßnahmen inkl. Schulungen der Mitarbeiter:innen frühzeitig und sorgfältig anzugehen, um Geldbußen wegen Verstößen in empfindlicher Höhe zu vermeiden.

Verschaffen Sie sich und Ihren Mitarbeiter:innen ein Problembewusstsein für beliebte Angriffsmethoden im Internet und lernen Sie mit uns die Gefahrenerkennung und Umgang für Cyberkriminalität. In unserem E-Learningkurs Informationssicherheit und Cybersecurity lernen Sie Angriffe zu vermeiden und wie Sie sich im Schadenfall verhalten sollten.

 

Zum Kurs Informationssicherheit und Cybersecurity

Zum Datenschutzpaket

 

Quelle

https://www.sophos.com/de-de/whitepaper/nis2-directive