Als Reaktion auf die erhöhte Bedrohungslage durch Cyberangriffe und die damit verbundenen Risiken für die kritische Infrastruktur hat der europäische Gesetzgeber im Dezember 2022 die Network-and-Information-Security-Richtlinie 2.0 (NIS2-RL) verabschiedet. Diese maßgeblichen Änderungen zielen nicht nur auf die blanke Verbesserung der IT-Sicherheit im Gesundheitswesen ab, sondern verlangen eine tiefgreifende Überarbeitung der bestehenden Sicherheitsanforderungen. Nach 2-jähriger Umsetzungszeit sind diese Auflagen nun ab Oktober 2024 vollumfänglich zu erfüllen.
Hintergrund
Die NIS2-Richtlinie erweitert den Rahmen der früheren europäischen Datenschutzregelungen und erfasst nun 18 Branchen, sowohl im öffentlichen als auch im privaten Sektor. Diese gesetzgeberische Initiative betont die Verantwortung des obersten Managements für die Gewährleistung der Cybersicherheit, was im Extremfall zu persönlicher Haftung in Fällen von Sicherheitsverletzungen führen kann. Unternehmen und Institutionen sind verpflichtet, adäquate und verhältnismäßige technische, operative sowie organisatorische Maßnahmen zu ergreifen, um die Gefahren für die Integrität ihrer Netz- und Informationssysteme zu minimieren.
Zusätzlich fördert die NIS2-Richtlinie die Verwendung von EU-Cybersecurity-Zertifizierungen und fordert die Mitgliedstaaten auf, die Einhaltung europäischer und internationaler Standards zu unterstützen. Bei Verstößen drohen empfindliche Geldstrafen, die den Druck auf alle betroffenen Einrichtungen weiter erhöhen.
Auswirkungen auf das Gesundheitswesen
Die NIS-2 Richtlinie hat einen großen Einfluss auf das Gesundheitswesen. Sie erweitert den Anwendungsbereich der bisherigen Rechtslage deutlich und erfasst nun auch alle Hersteller medizinischer Geräte im Sinne der europäischen Medizinprodukte-Verordnung. Zuvor waren nur Hersteller bestimmter Medizinprodukte, die bestimmte Schwellenwerte überschritten, von den Vorgaben der NIS-1 Richtlinie betroffen. Somit müssen zukünftig beispielsweise auch Hersteller von Wearables wie z.B. Fitness-Trackern die Vorgaben des EU-Cybersicherheitsrechts beachten.
Darüber hinaus sind alle Einrichtungen im Gesundheitssektor, die mindestens 50 Beschäftigte haben oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von mehr als 10 Mio. EUR erzielen, von der NIS-2 Richtlinie betroffen. Die Richtlinie verpflichtet diese Einrichtungen zum Ergreifen von geeigneten und verhältnismäßigen technischen, operativen und organisatorischen Maßnahmen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen.
Welche Maßnahmen müssen ergriffen werden?
In Anlehnung an die NIS2-Richtlinie obliegt es den Gesundheitsdienstleistern, eine Vielzahl von Maßnahmen zum Schutz ihrer Netz- und Informationssysteme zu implementieren. Zu den geforderten Cybersicherheitsmaßnahmen zählen:
- Risikobewertungen und -management: Die Identifizierung und Analyse potenzieller Risiken ist unabdingbar.
- Incident-Response-Pläne: Notfallstrategien müssen entwickelt werden, um schnell und effizient auf Sicherheitsvorfälle zu reagieren.
- Sicherheitsüberwachung und -protokollierung: Ein ständiges Monitoring der Systeme ist notwendig, um Auffälligkeiten frühzeitig zu erkennen.
- Schulungen für Mitarbeiter zur Cybersicherheit: Sensibilisierung und kontinuierliche Fortbildung der Angestellten sind unverzichtbar.
- Zusammenarbeit mit zuständigen Behörden: Offene Kommunikationskanäle zu Regulierungsbehörden sind essenziell. Gesundheitseinrichtungen müssen außerdem Sicherheitsvorfälle innerhalb von 72 Stunden an die zuständigen Behörden melden.
Gesundheitseinrichtungen müssen Konzepte für die Risikoanalyse und Sicherheit von Informationssystemen entwickeln. Darüber hinaus sollen sie Maßnahmen zur Bewältigung von Sicherheitsvorfällen entwickelt und implementiert werden.
Vor allem die Aufrechterhaltung des operativen Betriebs, etwa durch Backup-Management und Notfallwiederherstellung, muss sichergestellt werden, während die Sicherheit der Lieferkette durch die Berücksichtigung von Cybersecurity-Aspekten in den Beziehungen zu Anbietern und Dienstleistern gewahrt bleibt.
Vor allem die Aufrechterhaltung des operativen Betriebs, etwa durch Backup-Management und Notfallwiederherstellung, muss sichergestellt werden, während die Sicherheit der Lieferkette durch die Berücksichtigung von Cybersecurity-Aspekten in den Beziehungen zu Anbietern und Dienstleistern gewahrt bleibt.
Die Umsetzung der NIS-2-Richtlinie im Gesundheitswesen bietet eine Reihe von Vorteilen:
- Patientensicherheit: Durch die Reduzierung des Risikos von Cyberangriffen werden die Patientendaten geschützt und die Kontinuität der Gesundheitsversorgung gewährleistet.
- Öffentliche Gesundheit: Die NIS-2-Richtlinie hilft, die öffentliche Gesundheit zu schützen, indem sie die Verbreitung von Malware und die Störung kritischer Gesundheitssysteme verhindert.
- Gestärktes Vertrauen: Die Umsetzung der NIS-2-Richtlinie zeigt das Engagement von Gesundheitseinrichtungen für die Cybersicherheit und stärkt das Vertrauen der Patienten und der Öffentlichkeit.
Unterstützung durch den BVOU
Der BVOU bietet hier seinen Mitgliedern in Klinik und Praxis seit Jahren eine Vielzahl von Maßnahmen zur Cybersecurity an.
1. Mitarbeiterschulungen
Über die ADO können Praxen und Kliniken Einzel- und Mehrfachlizenzen für ständig aktualisierte Cybersecurity-Schulungen erwerben. Diese finden als digitale Schulungskurse (E-Learning on demand) statt und können von jedem Mitarbeiter im Selbststudium durchgearbeitet werden.
Der Praxisinhaber oder Chefarzt setzt dann zusätzlich ein Mitarbeitermeeting an, in dem individuelle Besonderheiten oder Gefährdungslagen der eigenen Einrichtung besprochen und besondere Verhaltensregeln festgelegt werden.
Die Teilnahme an diesen Schulungen wird im Datenschutzhandbuch dokumentiert.
2. Datenschutzkonzept und Datenschutzhandbuch
Jede Gesundheitseinrichtung benötigt ein Datenschutzkonzept, das in einem Datenschutzhandbuch dokumentiert und fortgeschrieben wird. Verantwortlich für die Erstellung und Fortschreibung dieser Unterlagen ist der Datenschutzbeauftragte der Einrichtung.
Bei kleinen Einrichtungen unter 20 Mitarbeitern ist dies in der Regel der Inhaber / Leiter selbst oder ein von ihm berufener Mitarbeiter. Ab 20 Mitarbeitern muss ein externer Datenschutzbeauftragter ernannt werden, der das Datenschutzkonzept erstellt und fortschreibt. Er ist dann auch für die Schulung der Mitarbeiter verantwortlich.
Für kleine Einrichtungen bietet der BVOU ein erweitertes Cybersecurity-Paket an, das neben Schulungslizenzen für alle Mitarbeiter auch die interaktive Erstellung eines Datenschutzkonzeptes für die Praxis enthält. Alle relevanten Informationen werden abgefragt und in ein Datenschutzkonzept überführt. Am Ende steht ein ca. 60-Seitiges Datenschutzhandbuch, das jederzeit bei Überprüfungen des Gewerbeamtes oder des zuständigen Landesdatenschutzbeauftragten vorgezeigt werden kann.
3. Externe Datenschutzbeauftragte und Beratung
Für Einrichtungen, die einen externen Datenschutzbeauftragten bestellen müssen (ab 20 Mitarbeiter), oder die den Datenschutz in professionelle Hände geben wollen, bietet sich von Anfang an die Zusammenarbeit mit kompetenten Experten an.
Der BVOU-Kooperationspartner Consulting Trust bietet BVOU-Mitgliedern externe Datenschutz-Dienstleistungen zu besonders günstigen Konditionen an. Darüber können externe Datenschutzbeauftragte ebenso bestellt werden, wie die gesamte Erstellung des Datenschutzkonzeptes delegiert werden.
Consulting Trust übernimmt auf Wunsch auch die jährliche Cybersecurity-Schulung aller Mitarbeiter sowie die Weiterentwicklung des Datenschutzkonzeptes. Dazu gehört auch die Anpassung an neue Datenschutzvorschriften wie die NIS-2 Richtlinie.
4. Cybersecurity vom Konnektor bis zum Backup
Die Cybersicherheit der in der Praxis genutzten IT-Infrastruktur wird häufig vom Netzwerkdienstleister bzw. vom EDV-Systemhaus übernommen. Alternativ können diese Dienstleistungen auch an einen spezialisierten Dienstleister ausgelagert werden.
Der BVOU-Kooperationspartner SL.IS Services GmbH bietet hier Pakete unterschiedlicher Ausbaustufen für eine sichere Praxis-IT. Dieser ganzheitliche Service garantiert die IT-Sicherheit in der Praxis, schützt sensible Gesundheitsdaten und vermeidet Datenverlust und Betriebsausfälle. Leistungsmerkmale sind die Umsetzung der IT-Sicherheitsrichtlinie der KBV, auf Wunsch der Konnektortransfer ins Rechenzentrum mit zentralen Updates, die automatisierte Datensicherung, Virenschutz, Festplattenverschlüsselung, sicherer Betrieb von Office-Anwendungen parallel zum PVS-System und vieles mehr. Ein besonderer Vorteil der Zusammenarbeit mit diesem Partner ist, dass durch Berücksichtigung der von Kassen und KVen gezahlten Zuschüsse dieser Service kostenneutral für die Praxis ist.
5. Cybersecurity-Versicherung
Eine Datenpanne geht zunächst regelmäßig mit der kostspieligen Inanspruchnahme von IT-Dienstleistungen einher. Diese dienen dazu, Ausmaß und Ursache des Schadens sowie die Identitäten der betroffenen Dateninhaberinnen zu ermitteln. Die Dateninhaberinnen sind ggf. – neben den Aufsichtsbehörden – über sie betreffende Datenschutzverletzungen zu informieren. Und schließlich kann eine Datenpanne auch ein Ordnungswidrigkeitenverfahren und empfindliche Bußgelder nach sich ziehen.
Als BVOU-Versicherungspartner bietet die Funk Gruppe mit der CyberProfessional eine spezialisierte Versicherung, die sowohl die finanziellen Folgen von Informationssicherheitsverletzungen absichert, als auch die rechtlichen Konsequenzen, die aus solchen Schäden resultieren können.
Was müssen Praxisinhaber und Chefärzte jetzt tun?
Chefärzte und Praxisinhaber müssen sich mit den neuen Anforderungen der NIS-2 Richtlinie auseinandersetzen, um die Sicherheit ihrer Einrichtung sowie der dort genutzten Patientendaten zu gewährleisten.
Die NIS-2 Richtlinie sieht vor, dass sie die Einhaltung von Risikomanagementmaßnahmen überwachen und für Verstöße in diesem Bereich persönlich verantwortlich gemacht werden können. Sie sollten daher sicherstellen, dass ihre Einrichtung ein angemessenes Risikomanagement implementiert hat, das die Vorgaben der NIS-2 Richtlinie erfüllt. Dies beinhaltet beispielsweise die Entwicklung von Konzepten für die Risikoanalyse und Sicherheit von Informationssystemen, die Implementierung von Maßnahmen zur Bewältigung von Sicherheitsvorfällen und die Sicherung des Betriebs durch Backup-Management und Wiederherstellung nach einem Notfall.
Weiterhin müssen sie die Sicherheit der Lieferkette gewährleisten und die Beziehungen zu ihren Anbietern und Diensteanbietern in Bezug auf Cybersecurity berücksichtigen.
Darüber hinaus müssen sie sicherstellen, dass Mitarbeiter im Bereich der Cybersecurity geschult werden und grundlegende Verfahren zur Cyberhygiene implementiert werden.
Die NIS-2 Richtlinie bietet die Möglichkeit, dass Mitgliedstaaten die Verwendung von EU-Cybersecurity-Zertifizierungen und/oder von zertifizierten Produkten für wesentliche und wichtige Einrichtungen wie Praxen verpflichten können. Chefärzte und Praxisinhaber sollten daher die Umsetzung dieser Ermächtigung durch das jeweilige nationale Gesetz genau verfolgen, um rechtzeitig die geforderten Zertifizierungen bzw. zertifizierten Produkte implementieren zu können.
Der BVOU begleitet seine Mitglieder und einem umfangreichen Serviceangebot bei der Umsetzung der NIS-2 Richtlinie. Unser oberstes Ziel ist es, den Aufwand für Verantwortliche in Praxis und Klinik so gering wie möglich zu halten und für jeden Aspekt einen leistungsstarken Experten an die Hand zu geben.
Weitere Informationen
Dossier zu Datenschutz und Cybersecurity
Datenschutz und Cyber Security
BVOU Mitgliederservice
E-Mail: service@bvou.net
Autor
Dr. Jörg Ansorg, BVOU-Geschäftsführer
