76 Digitalisierung im Gesundheitswesen | NIS-2 // Flächendeckende Cybersicherheit und die kritische Rolle von kleinen und mittleren Unternehmen Auch die Behandlung von Sicherheitsvorfällen wird von NIS-2 geregelt (Art. 23). Betroffene müssen Berichte stufenweise (24 Stunden, 72 Stunden und einen Monat) nach Kenntnis von einem erheblichen Vorfall an die Behörden erstatten. » Aufsicht und Sanktionen Die Einhaltung der Richtlinie wird unterschiedlich nach Kritikalität vorsorglich oder auf einen Vorfall bezogen geprüft (Art. 32/33). Bei hochkritischen Akteuren können u. a. unangekündigte Inspektionen durchgeführt werden. Es gelten strenge Sanktionen, beispielsweise können Bußgelder ausgesprochen werden, welche auch an Unternehmensumsätzen (bis zu 2 Prozent des Vorjahresumsatzes) orientiert sein dürfen (Art. 34). » Die deutsche Implementierung Ein noch vorläufiger Referentenentwurf für die nationale Umsetzung (NIS2UmsuCG) ist im Juli von einer Sekundärquelle veröffentlicht worden. Demnach wären eine wesentliche Erweiterung und Veränderung des BSI-Gesetzes (BSIG) zur Umsetzung vorgesehen. Der Entwurf unterteilt Hersteller von Medizinprodukten stringent nach Größe in besonders wichtige Einrichtungen und wichtige Einrichtungen. Betreiber von kritischen Anlagen fallen ungeachtet der Größe unter das Gesetz. Anforderungen, Bußgelder, Meldepflichten und Inspektionen sind größtenteils deckungsgleich mit den europäischen Vorgaben und erfolgen in Abstufung nach Kritikalität. Um den Pflichten für Mitgliedsstaaten gerecht zu werden, sollen die Kapazitäten des BSI ausgeweitet werden. » Chancen und Risiken Die NIS-2-Richtlinie bietet eine Chance, den Gesundheitsstandort Europa resilient zu gestalten und die Cybersicherheit von Patienten, Betreibern, Herstellern und Gesundheitsdaten signifikant zu verbessern. Diese Verbesserung darf jedoch nicht auf Kosten konventioneller Patientensicherheit und Innovation erfolgen. Nur wenn die Richtlinie flächendeckend und einheitlich von allen Akteuren umgesetzt wird, kann es zu einer Erhöhung des Cybersicherheitsniveaus kommen. Die Kette ist nur so stark wie ihr schwächstes Glied. Unternehmen mit weniger als 50 Mitarbeitern, die als gesellschaftlich unerlässlich kategorisiert werden, haben oft nicht die Kapazitäten, um die zahlreichen Anforderungen ohne erhebliche Störung des Tagesgeschäftes vorzunehmen. Zu diesen kommen auch die Unternehmen hinzu, die entlang der Lieferkette liegen. Diese Unternehmen bilden den Grundstock für einen diversen und innovativen Gesundheitssektor und werden Unterstützung benötigen, damit sie den Anforderungen aus NIS-2 gerecht werden können. Zudem bestehen noch Unsicherheiten zu der genauen Implementierung der Anforderungen. Gesichtspunkte wie der referenzierte „Stand der Technik“ sowie die Einbindung zur DSGVO sind noch nicht klar beleuchtet worden. Es wird also unerlässlich, klare und konkrete Richtlinien für die Implementierung sowie Hilfestellungen bei Rückfragen bereitzustellen. Auch die einheitliche Umsetzung in allen EU-Mitgliedsstaaten ist für den Erfolg der Richtlinie wesentlich. Cybersicherheit zu stärken, ist im Interesse aller Beteiligten, besonders wenn es um sensible Gesundheitsdaten und die Aufrechterhaltung der Versorgung geht. Die NIS-2-Richtlinie geht hier einen wichtigen Schritt. Es muss jedoch darauf geachtet werden, dass dieser Schritt nicht zu anderen Rückläufen im Bereich der Gesundheitsversorgung führt. Mit staatlichen Hilfen für KMU könnte gewährleistet werden, dass eine flächendeckende Sicherung nicht auf Kosten des Tagesgeschäftes, der Diversität oder der Innovation des Gesundheitsstandorts Deutschland erfolgt. Nur wenn die Anforderungen klar kommuniziert, einheitlich angewendet und ausreichend gefördert werden, kann ein nachhaltiges und insgesamt höheres Niveau an Cybersicherheit in Europa erreicht werden. » SPECTARIS und Cybersicherheit Neben unserer Arbeit zu NIS-2 beschäftigen wir uns bei SPECTARIS mit zahlreichen gesetzlichen Vorgaben wie dem AIAct, dem Cyber Resilience Act und dem Data-Act. Zusätzlich informieren wir zu Veröffentlichungen, Veranstaltungen und Standards sowie aktuellen Bedrohungslagen und Vorfällen. In unseren Veranstaltungen wie der AG Cybersicherheit tauschen wir uns regelmäßig zu diesen Themen aus und bieten Hilfestellungen an. Kontaktieren Sie uns gerne per Mail an regualtoryaffairs@spectaris.de für mehr Informationen. Tabelle 1: Anforderungen an Hersteller aus Artikel 21 » Konzepte Risikoanalyse, Sicherheit » Cyberhygiene, Mitarbeiterschulungen » Vorfallbewältigung » Kryptografie, Verschlüsselung » Geschäftskontinuität, Backups » Zugriffskontrolle, Personal » Sicherheit bei Erwerb, Entwicklung und Wartung von NIS (inkl. Offenlegung) » Authentifizierung, sichere (Notfall-)Kommunikation » Sicherheit der Lieferkette » Bewertung der Maßnahmen
RkJQdWJsaXNoZXIy ODM4MTc=