NIS2 für medizinische Einrichtungen: Wen sie trifft und wen nicht

Wen NIS2 trifft und wen nicht

Die NIS2-Richtlinie der Europäischen Union stuft Einrichtungen nach Größe und Kritikalität ein. Im Gesundheitsbereich unterscheidet das deutsche Umsetzungsgesetz zwischen zwei Kategorien.

Besonders wichtige Einrichtungen sind Krankenhäuser, die in der nationalen Krankenhausplanung gelistet sind, und Anbieter kritischer Gesundheitsinfrastruktur. Für diese gelten die strengsten Anforderungen, unabhängig von der Mitarbeiterzahl.

Wichtige Einrichtungen im Gesundheitsbereich sind Organisationen, die mindestens 50 Mitarbeitende beschäftigen oder mindestens 10 Millionen Euro Jahresumsatz erzielen. Ein MVZ mit drei Standorten, eigenem Labor und 60 angestellten Fachkräften fällt in diese Kategorie.

Eine Einzelpraxis mit vier MFAs und einem Arzt fällt in der Regel nicht direkt unter NIS2. Das schützt aber nicht davor, dass Großkunden und Kooperationspartner, etwa Krankenhäuser, NIS2-Anforderungen über ihre Lieferkette weitergeben. Wer als kleines Labor Befunde an ein NIS2-pflichtiges Krankenhaus liefert, kann zur Einhaltung bestimmter Standards verpflichtet werden.

Quelle: NIS2-Umsetzungsgesetz (BSI)NIS2-Umsetzungsgesetz, BSI: Einordnung von Einrichtungen nach Sektor und Größe.

Die zehn Pflicht-Maßnahmen im Detail

NIS2 definiert zehn technische und organisatorische Maßnahmen, die betroffene Einrichtungen nachweislich umsetzen müssen. Sie werden nicht geprüft, ob Sie es vorhaben, sondern ob Sie es getan haben und belegen können.

1. 1
   Risikoanalyse und Sicherheitskonzept
   Systematische Erfassung aller IT-Risiken: Welche Systeme sind kritisch? Was passiert bei deren Ausfall? Die Risikoanalyse ist kein Einmaldokument, sondern muss regelmäßig aktualisiert werden.
2. 2
   Incident Response und Meldeverfahren
   Schriftlicher Plan, wer bei einem Sicherheitsvorfall was tut, in welcher Reihenfolge und mit welchen Kommunikationswegen. Der Plan muss bekannt und geübt sein, nicht nur in der Schublade liegen.
3. 3
   Business Continuity Management
   Wie läuft der Betrieb weiter, wenn die IT ausfällt? Backup-Systeme, Ausweichverfahren, Wiederherstellungszeiten. Konkret dokumentiert, nicht theoretisch.
4. 4
   Lieferkettensicherheit
   Alle Dienstleister und Lieferanten, die Zugang zu Ihren Systemen haben, müssen angemessene Sicherheitsstandards erfüllen. Das bedeutet: AVV, Sicherheitsanforderungen im Vertrag, gelegentliche Überprüfung.
5. 5
   Sicherheit bei Erwerb und Entwicklung
   Neue Hard- und Software wird nach Sicherheitskriterien beschafft. Kein System ohne vorherige Prüfung ins Netzwerk.
6. 6
   Wirksamkeitsmessung der Maßnahmen
   Regelmäßige Tests, ob die Schutzmaßnahmen tatsächlich funktionieren. Backup-Wiederherstellungstests, Penetrationstests für größere Einrichtungen.
7. 7
   Schulungen und Sicherheitskultur
   Alle Mitarbeitenden werden regelmäßig zu IT-Sicherheitsrisiken geschult. Dokumentiert mit Teilnehmerlisten und Inhalten.
8. 8
   Kryptografie und Verschlüsselung
   Patientendaten werden verschlüsselt gespeichert und übertragen. Klare Richtlinien, welche Verschlüsselungsstandards einzuhalten sind.
9. 9
   Zugriffsmanagement und Authentifizierung
   Jeder Mitarbeitende hat nur Zugang zu den Daten, die er für seine Aufgabe braucht. Administratorzugänge sind besonders gesichert, idealerweise mit Mehrfaktorauthentifizierung.
10. 10
    Physische Sicherheit
    Serverräume, Netzwerkhardware und Backup-Medien sind gegen unbefugten Zugang gesichert. Das gilt auch für mobile Geräte.

Vorfallmeldungen in 24 Stunden

Für Einrichtungen, die unter NIS2 fallen, gilt eine gestufte Meldepflicht. Die Frist beginnt mit dem Bekanntwerden des Vorfalls.

Innerhalb von 24 Stunden muss eine erste Meldung ans BSI gehen. Nicht eine vollständige Analyse, aber eine erste Einschätzung: Was ist passiert, welche Systeme sind betroffen, was sind die möglichen Auswirkungen.

Innerhalb von 72 Stunden folgt ein detaillierter Bericht mit einer genaueren Beschreibung des Vorfalls, der betroffenen Daten und der eingeleiteten Maßnahmen. Nach spätestens einem Monat ist ein Abschlussbericht fällig, der die Ursache, die vollständigen Auswirkungen und die dauerhaften Gegenmaßnahmen beschreibt.

Die 24-Stunden-Frist klingt eng. Sie ist eng. Wer keinen schriftlichen Incident-Response-Plan hat und intern erst einmal diskutiert, ob und was gemeldet werden muss, verpasst sie regelmäßig.

Persönliche Haftung der Geschäftsleitung

NIS2 ist das erste europäische Cybersicherheitsgesetz, das die persönliche Haftung der Leitungsorgane ausdrücklich verankert. Bislang haftete bei Compliance-Verstößen in der Regel die Organisation. NIS2 ändert das.

Geschäftsleitungen können persönlich für Verstöße haftbar gemacht werden, wenn nachgewiesen werden kann, dass sie die nötigen Maßnahmen nicht veranlasst oder überwacht haben. Die maximalen Bußgelder für Einrichtungen liegen bei 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem was höher ist.

Für ein MVZ mit einem Jahresumsatz von 8 Millionen Euro wären das rechnerisch bis zu 160.000 Euro aus der 2-Prozent-Regelung, oder bis zu 10 Millionen Euro aus der Festbetragsregel. Die Behörden wählen den höheren Wert.

Die persönliche Haftung bedeutet auch: Wer als Geschäftsführer eines MVZ nicht nachweisen kann, dass er die NIS2-Anforderungen aktiv beauftragt, überwacht und dokumentiert hat, trägt im Schadensfall das volle persönliche Risiko.

NIS2 und §75b zusammen abarbeiten

NIS2 und §75b SGB V überschneiden sich in großen Teilen. Wer §75b vollständig umgesetzt hat, hat schon eine solide Grundlage für NIS2. Die Lücken sind überschaubar und lassen sich gezielt schließen.

ITCC empfiehlt für betroffene Einrichtungen einen gemeinsamen Dokumentationsrahmen, der beide Anforderungen in einem Aufwand abdeckt. §75b-Dokumente werden NIS2-konform erweitert, statt parallel zwei getrennte Dokumentationssysteme zu pflegen.

Quelle: KBV IT-Sicherheitsrichtlinie (§75b SGB V)KBV IT-Sicherheitsrichtlinie nach §75b SGB V: Vergleich mit NIS2-Anforderungen.