NIS2-Compliance für den Gesundheitssektor

Gesundheitssysteme stützen sich in hohem Maße auf digitale Technologien, um die Patientenversorgung zu erbringen, medizinische Akten zu verwalten, diagnostische Geräte zu betreiben und öffentliche Gesundheitsdienste zu koordinieren. Da Krankenhäuser und Leistungserbringer im Gesundheitswesen zunehmend miteinander vernetzt sind, hat sich das Risiko von Cybervorfällen, die die Patientensicherheit und die Kontinuität der Dienste beeinträchtigen, erhöht.

Die NIS2-Richtlinie legt EU-weit geltende Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen fest und erweitert den Anwendungsbereich des ursprünglichen NIS-Rahmens erheblich. Die NIS2-Compliance für den Gesundheitssektor spiegelt die kritische gesellschaftliche Bedeutung von Gesundheitsdiensten sowie die Notwendigkeit wider, sensible medizinische und betriebliche Daten zu schützen.

Die Richtlinie gilt für mittlere und große Organisationen, die in festgelegten Sektoren tätig sind, darunter das Gesundheitswesen. Viele KMU können ebenfalls in den Anwendungsbereich fallen, wenn sie Größenschwellenwerte erreichen oder kritische Gesundheitsdienste erbringen.

Wenn Ihre Organisation im Gesundheitssektor tätig ist, kann sie unter NIS2 als wesentliche oder wichtige Einrichtung eingestuft werden.

Der Gesundheitssektor ist eingestuft als:

Relevanter Anhang: Anhang I (Wesentliche Einrichtungen)

• Wesentliche Einrichtung gemäß Anhang I

• Leistungserbringer im Gesundheitswesen, wie in der EU-Gesetzgebung zum Gesundheitswesen definiert
• EU-Referenzlaboratorien
• Einrichtungen, die Forschungs- und Entwicklungsaktivitäten für Arzneimittel durchführen
• Einrichtungen, die Grundstoffe für pharmazeutische Erzeugnisse und pharmazeutische Zubereitungen herstellen
• Einrichtungen, die Medizinprodukte herstellen, die während einer öffentlichen Gesundheitsnotlage als kritisch gelten

Abdeckung der Untersektoren (Anhang I – Gesundheit):

Die NIS2-Compliance im Gesundheitssektor gilt für:

Krankenhäuser, private Kliniken, pharmazeutische Hersteller, Hersteller von Medizinprodukten und bestimmte Forschungseinrichtungen, die die Schwellenwerte erfüllen, fallen in den Anwendungsbereich.

Auch KMU können in den Anwendungsbereich fallen, wenn sie die NIS2-Größenschwellen erreichen oder als kritische Dienstleister benannt sind. Die Anwendbarkeit der NIS2 auf KMU ist besonders relevant für spezialisierte Kliniken, Laborbetreiber und pharmazeutische Forschungseinrichtungen, die in großem Umfang tätig sind.

• Mittelgroße Unternehmen (≥50 Beschäftigte und/oder 10 Mio. € Jahresumsatz oder Bilanzsumme)
• Große Unternehmen, die diese Schwellenwerte überschreiten
• Einrichtungen, die nach nationalem Recht als kritische Gesundheitsdienstleister benannt sind, gegebenenfalls

Nach Artikel 21 der NIS2-Richtlinie müssen Einrichtungen des Gesundheitswesens angemessene und verhältnismäßige technische und organisatorische Maßnahmen zur Bewältigung von Cybersicherheitsrisiken umsetzen.

Verpflichtende Maßnahmen umfassen:

Für den Gesundheitssektor müssen diese NIS2-Sicherheitsmaßnahmen Systeme für elektronische Gesundheitsakten, vernetzte Medizinprodukte, Laborsysteme und pharmazeutische Produktionsumgebungen abdecken. Der Schutz der Betriebstechnologie (OT) in Krankenhausausrüstung und Herstellungsanlagen ist entscheidend.

Die NIS2-Compliance im Gesundheitssektor erfordert die Integration der Cybersicherheit in die Governance der Patientensicherheit und in die Prozesse des klinischen Risikomanagements. Die Resilienzplanung muss die Aufrechterhaltung der Leistungserbringung bei Cybervorfällen berücksichtigen, die die Behandlungserbringung stören könnten.

• Risikomanagementrahmen
• Verfahren für das Vorfallmanagement
• Geschäftskontinuität und Notfallwiederherstellung
• Sicherheit der Lieferkette
• Sichere Entwicklung und Wartung
• Richtlinien zu Verschlüsselung und Kryptografie
• Zugriffskontrolle und Mehrfaktor-Authentifizierung (MFA)
• Schwachstellenmanagement und Patch-Management
• Schulungen zur Cyberhygiene
• Nutzung sicherer Kommunikationsmittel

Einrichtungen des Gesundheitswesens müssen die NIS-2-Meldefristen für Sicherheitsvorfälle einhalten, wenn erhebliche Sicherheitsvorfälle auftreten.

Zu den Meldepflichten gehören:

Meldungen sind an das nationale CSIRT oder die zuständige Behörde zu übermitteln.

Die 24-Stunden-Meldepflicht der NIS-2-Richtlinie ist insbesondere relevant, wenn Cybervorfälle Systeme der Patientenversorgung, die pharmazeutische Herstellung oder kritische Medizinprodukte betreffen. Vorfälle, die die Gesundheitsversorgung stören oder die Systemverfügbarkeit beeinträchtigen, gelten in der Regel als erheblich.

Die Nichteinhaltung der vorgeschriebenen Meldefristen kann zu Durchsetzungsmaßnahmen und verwaltungsrechtlichen Geldbußen führen.

Die Einhaltung der NIS2 im Gesundheitssektor auferlegt dem Leitungsorgan eine unmittelbare Rechenschaftspflicht.

Wesentliche Governance-Anforderungen umfassen:

Artikel 21 der NIS2-Richtlinie macht Cybersicherheit zu einer Pflicht des Leitungsorgans. Krankenhausleitungen, Führungskräfte von Pharmaunternehmen und Verwaltungsverantwortliche im Gesundheitswesen müssen sicherstellen, dass angemessene Kontrollen und Resilienzmaßnahmen umgesetzt und aufrechterhalten werden.

Versäumnisse bei der Cybersicherheit im Gesundheitswesen können unmittelbare Folgen für die Patientensicherheit und das öffentliche Vertrauen haben und unterstreichen die Bedeutung der Aufsicht durch das Leitungsorgan.

• Genehmigung der Maßnahmen des Cybersicherheits-Risikomanagements durch das Leitungsorgan
• Laufende Überwachung der Umsetzung
• Verpflichtende Cybersicherheitsschulungen für das Management
• Mögliches persönliches Haftungsrisiko nach nationalem Recht

Als Einrichtungen gemäß Anhang I unterliegen als wesentliche Einrichtungen eingestufte Gesundheitseinrichtungen einer proaktiven Aufsicht. Zuständige Behörden können Audits, Inspektionen und Bewertungen der Cybersicherheit durchführen – unabhängig davon, ob ein Sicherheitsvorfall eingetreten ist.

Verwaltungsrechtliche Geldbußen bei Nichteinhaltung sind:

Nationale Umsetzungsgesetze können Aufsichtsverfahren näher ausgestalten, doch die Richtlinie legt harmonisierte Mindestschwellen für Geldbußen in allen Mitgliedstaaten fest.

Angesichts der gesellschaftlichen Bedeutung der Aufrechterhaltung der Gesundheitsversorgung wird die Durchsetzung voraussichtlich strukturiert und risikobasiert erfolgen.

• Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresgesamtumsatzes (je nachdem, welcher Betrag höher ist)

KMU im Gesundheitswesen sollten einen strukturierten Ansatz zur NIS2-Compliance verfolgen:

Frühe Vorbereitung verringert das Risiko behördlicher Maßnahmen und schützt die Kontinuität der Patientenversorgung.

1. Führen Sie eine NIS2-Lückenanalyse durch
2. Erfassen und abbilden Sie kritische Gesundheitsdienste und digitale Abhängigkeiten
3. Formalisieren Sie ein dokumentiertes Rahmenwerk für das Cybersicherheits-Risikomanagement
4. Aktualisieren und testen Sie Incident-Response- und Kontinuitätspläne
5. Überprüfen Sie Verträge mit Lieferanten und Medizintechnik-Anbietern
6. Schulen Sie die Geschäftsleitung und leitende klinische Führungskräfte
7. Etablieren Sie einen Meldeprozess für 24 h/72 h/1 Monat

Gesundheitseinrichtungen sind unter NIS2 branchenspezifischen Risiken ausgesetzt:

Die NIS2-Compliance im Gesundheitssektor ist daher sowohl eine regulatorische Anforderung als auch ein Gebot der Patientensicherheit.

• Betriebsunterbrechungen: Cybervorfälle können die Patientenversorgung und den Krankenhausbetrieb unterbrechen.
• Gefährdung der Patientensicherheit: Kompromittierte Systeme können die klinische Entscheidungsfindung oder die Funktionsfähigkeit von Geräten beeinträchtigen.
• Kompromittierung der Lieferkette: Pharma- und Medizintechniklieferanten bringen Drittrisiken mit sich.
• Regulatorische Geldbußen: Nichteinhaltung setzt Organisationen erheblichen Geldbußen aus.
• Reputationsschäden: Das öffentliche Vertrauen in Gesundheitseinrichtungen ist äußerst empfindlich gegenüber Mängeln der Cybersicherheit.