74 Digitalisierung im Gesundheitswesen | NIS-2 // Flächendeckende Cybersicherheit und die kritische Rolle von kleinen und mittleren Unternehmen NIS-2: Flächendeckende Cybersicherheit und die kritische Rolle von kleinen und mittleren Unternehmen Angriffe bedrohen direkt und indirekt die Patientensicherheit und bereiten der Branche große Sorge. Mit der NIS-2-Richtlinie ergibt sich die Chance, gemeinsam Vorfällen entgegenzuwirken und Transparenz zu schaffen. » Anwendungsbereich Die Richtlinie NIS-2 findet auch auf das Gesundheitswesen Anwendung und kategorisiert dieses als kritisch oder hochkritisch. Sie umfasst auch verhältnismäßig kleine Hersteller mit mehr als 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro. Zusätzlich soll bis spätestens April 2025 eine nationale Liste mit Betreibern von kritischen Anlagen veröffentlicht werden. Kritische Anlagen zeichnen sich durch ihre hohe Bedeutung für das Funktionieren des Allgemeinwesens, z. B. der Versorgungssicherheit, aus. Zu solchen Betreibern zählen eventuell auch Klein- und Kleinstunternehmen ungeachtet der Unternehmensgröße. Hersteller, die hier genannt werden, müssten infolgedessen den vollen Anforderungskatalog erfüllen. » Anforderungen aus NIS-2 Für Hersteller ergeben sich diese Anforderungen, dargestellt in Tabelle 1, aus dem Artikel 21 der europäischen Richtlinie. Neben bereits erhöhten Voraussetzungen für die IT-Sicherheit ihrer Produkte werden diese nun zusätzlich in die Pflicht genommen, die Sicherheit der eigenen Organisation über das übliche Maß hinaus zu garantieren. Das Erfüllen bisheriger Standards wie die ISO 27001 reicht hier alleine nicht aus. Selbst bereits sicherheitsorientierte Hersteller müssen sich der Herausforderung stellen, ihre Maßnahmen erneut zu prüfen. Die Cybersicherheit nimmt sowohl für Gesetzgeber als auch für Unternehmen einen immer höheren Stellenwert ein. Dies spiegelt sich auch in diversen neuen Regulationen wie der NIS-2 Richtlinie wider. Bei der Implementierung wird die Unterstützung von Kleinstunternehmen, kleinen Unternehmen und mittleren Unternehmen (KMU) unerlässlich sein. Nur wenn auf die Bedürfnisse dieser Unternehmen eingegangen wird, kann eine effektive Erhöhung der Cybersicherheit erfolgen und der Erhalt eines diversen und innovativen Gesundheitssektors in Deutschland garantiert werden. » Hintergrund Die europäische Richtlinie NIS-2 (EU 2022/2555) zu „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ ist im Januar 2023 in Kraft getreten und muss bis spätestens Oktober 2024 in nationales Recht umgesetzt werden. Ihr Vorgänger, die Netzwerk- und Informationssysteme(NIS)-Richtlinie wurde wesentlich überarbeitet. Dabei wurden nationale Kompetenzen gestärkt, Sicherheitsvorfälle klarer kategorisiert und der Anwendungsbereich erweitert. Zudem haben sich die Anforderungen an Hersteller verschärft. Ein erster deutscher Entwurf ist bereits an die Öffentlichkeit gedrungen und eine Umsetzung wird bis Frühjahr 2024 erwartet. Auch von Industrieseite besteht der Wunsch zur Stärkung der Resilienz. Eine branchenübergreifende Umfrage des TÜV zeigt: Im vergangenen Jahr mussten fast 11 Prozent der deutschen Unternehmen einen Sicherheitsvorfall verzeichnen. Eine Mehrzahl von Unternehmen (64 Prozent) spricht sich für strengere gesetzliche Vorgaben aus und überwiegende 83 Prozent befürworten mehr Transparenz bei Vorfällen.1 Ein Bericht der Europäischen Agentur für Cybersicherheit (ENISA) zeigt, dass Ransomware-Attacken circa 54 Prozent der Vorfälle im Gesundheitssektor ausmachen.2 Diese Oliver Böhle Referent Regulatory Affairs SPECTARIS e.V. boehle@spectaris.de 1 Quelle: Abad; Corbiaux; Theocharidou (Ed.); Lella (Ed.); European Agency for Cybersecurity ENISA (2023): ENISA Threat Landscape: Health Sector; https://www.enisa.europa.eu/ publications/health-threat-landscape/@@download/fullReport 2 Quelle: TÜV-Verband e. V. (2023): TÜV Cybersecurity Studie 2023; https://www.tuev-verband.de/?tx_epxelo_file[id]=925194&cHash=11772152e3b993dd496a49e3e533076f
RkJQdWJsaXNoZXIy ODM4MTc=