Die NIS-2-Richtlinie der EU stärkt seit Januar 2023 den Schutz kritischer Infrastrukturen (sog. „KRITIS“) vor Cyberangriffen und IT-Störungen. Nach alter Rechtslage fielen vor allem Krankenhäuser unter die KRITIS-Verordnung, nun wurde der Kreis der Betroffenen durch die neue Richtlinie wesentlich erweitert. Viele kleinere Leistungserbringer im Gesundheitswesen wie z. B. MVZ oder Arztpraxen fragen sich daher, ob auch sie unter die NIS-2-Richtlinie fallen und welche neuen Pflichten auf sie zukommen. Hierzu wollen wir einen Überblick geben:
Was sind KRITIS?
KRITIS sind vereinfacht gesagt Einrichtungen, deren Ausfall gravierende Folgen für die Gesellschaft oder die öffentliche Sicherheit hätte.
Einrichtungen des Gesundheitswesens (wie Krankenhäuser, Labore, Apotheken oder medizinische Dienstleister) zählen aufgrund ihrer zentralen Rolle in der Daseinsvorsorge zu den kritischen Infrastrukturen. Hinzu kommt, dass dort überwiegend mit sensiblen Patientendaten umgegangen wird, was die Bedeutung der IT-Sicherheit zusätzlich erhöht.
Welche Rolle spielt die NIS-2-Richtlinie im deutschen Recht?
Die Abkürzung NIS-2 steht für „Network and Information Security Directive 2“. Es handelt sich dabei um eine überarbeitete EU-Richtlinie, die die Vorgänger-NIS-Richtlinie von 2016 ablöst und die Anforderungen hinsichtlich der IT-Sicherheit in kritischen Sektoren deutlich verschärft.
Ziel dieser verschärften Version der Richtlinie ist die harmonisierte Umsetzung in allen EU-Mitgliedstaaten und die europaweite Schaffung sowie Umsetzung einheitlicher Mindeststandards, um die Cyberresilienz und Reaktionsfähigkeit insbesondere auf IT-Bedrohungen im Gesundheitssektor zu verbessern. Die NIS-2-Richtlinie hätte von allen Mitgliedstaaten bis Oktober 2024 in nationales Recht umgesetzt werden müssen.
Mit dem deutschen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) sollen die EU-Vorgaben nun bis Ende 2025 oder Anfang 2026 in deutsches Recht umgesetzt werden.
Wer ist betroffen?
Betroffen sind alle Einrichtungen, die eine bestimmte Größenschwellen bei Mitarbeiterzahl, Umsatz oder Bilanzsumme überschreiten und in einem der relevanten Sektoren der NIS2-Richtlinie tätig sind. Wie bereits eingangs erwähnt, ist das Gesundheitswesen als kritischer Sektor gelistet. Gemäß Anhang I der Richtlinie fallen Krankenhäuser, Klinikverbünde, Reha-Einrichtungen, Labore, Apothekennetzwerke und medizinische IT-Dienstleister typischerweise unter NIS-2. Auch Softwareanbieter im Gesundheitssektor (z. B. Anbieter von Krankenhausinformationssystemen) können betroffen sein, wenn ihre Systeme für den Betrieb medizinischer Einrichtungen wesentlich sind.
Welche neuen Pflichten regelt die NIS-2-Richtlinie?
Das deutsche NIS-2-UmzuG legt umfangreiche Pflichten fest. Diese betreffen sowohl technische als auch organisatorische Sicherheitsmaßnahmen. Zu den wichtigsten Anforderungen gehören ein Risikomanagement und IT-Sicherheitskonzepte (Verschlüsselung, Multi-Faktor-Authentifizierung und Zugriffskontrollen), ein Business Continuity Management (BCM) für Notfall- und Krisenreaktion, Meldepflichten bei Sicherheitsvorfällen (z. B. Cyberangriffe, Datenlecks) sowie eine Registrierungspflicht beim BSI.
Hinzukommen neue Schulungs- und Überwachungspflichten für Geschäftsleitungen. Damit wird das Thema Cybersicherheit zur Führungsaufgabe. Zu den obligatorischen Schulungspflichten hat das BSI Ende September eine Informationsbroschüre herausgegeben, die man auf dessen Homepage downloaden kann: BSI – NIS-2-Geschäftsleitungsschulung. Kerninhalte der Schulungen sind die Erkennung und Bewertung von Cybersicherheitsrisiken auf Management-Ebene, das Verständnis und die Überwachung technisch-organisatorischer Sicherheitsmaßnahmen sowie die Einschätzung der Auswirkungen von Risiken auf Geschäftsprozesse. Unentbehrlich ist zudem eine fundierte Kenntnis der gesetzlichen Pflichten und Haftungsrisiken. Alle Maßnahmen müssen nachvollziehbar dokumentiert und regelmäßig überprüft werden.
Welche Sanktionen gelten bei Verstößen?
Die NIS2-Richtlinie verschärft auch den Katalog der Sanktion. Für besonders wichtige Einrichtungen können Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes drohen, für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % des Umsatzes. Hinzu kommt eine persönliche Haftung von Geschäftsleitern (z. B. Klinikvorständen oder IT-Verantwortlichen), wenn diese ihre Pflichten zur Cybersicherheit verletzen. Neben den Bußgeldern droht bei Verstößen natürlich ein Reputations- und Vertrauensverlust.
Fazit und Empfehlung zur NIS-2-Richtlinie
Die Umsetzung der NIS-2-Richtlinie in deutsches Recht steht nun unmittelbar bevor und betroffene Unternehmen sollten sich dringend mit den neuen Anforderungen auseinandersetzen. Da Gesundheitseinrichtungen nicht automatisch informiert werden, empfehlen wir in einem ersten Schritt die eigene NIS-2-Betroffenheit selbst zu prüfen. Unternehmen sollten deshalb – z. B. über die vom BSI zur Verfügung gestellte NIS2-Betroffenheitsprüfung (BSI – NIS-2-Betroffenheitsprüfung) – nach Eingabe der abgefragten Unternehmensdaten (z. B. Mitarbeiterzahl, Umsatz, Bilanzsumme) zunächst ermitteln, ob sie unter NIS-2 fallen.
In der Folge sollte ein umfassendes IT-Sicherheits- und Risikomanagementkonzept entwickelt werden, es sollten geeignete Schulungskonzepte etabliert und deren Umsetzung dokumentiert werden, um Haftungsrisiken zu vermeiden. Die Prüfung der eigenen NIS-2-Betroffenheit sollte zudem regelmäßig wiederholt werden – in jedem Fall anlassbezogen, etwa bei Veränderung der Unternehmensgröße oder bei Einführung neuer IT-Dienstleistungen.
Kurz: Cybersicherheit sollte künftig fester Bestandteil der Unternehmensstrategie sein. Sie haben Fragen zur NIS-2-Richtlinie oder Ihrer Einordnung in Ihrem Unternehmen? Kontaktieren Sie unser spezialisiertes Team – wir beraten Sie verlässlich, effizient und persönlich!
