NIS-2-Richtlinie und Ihre Bedeutung für deutsche Krankenhäuser
NIS steht für Network- and Information-Security und die EU zielt mit der Richtlinie darauf ab in allen Mitgliedsnationen Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau zu etablieren.
Die einzelnen Staaten müssen die Richtlinie in nationales Recht umwandeln. Umsetzungsfrist für die Richtlinie ist der 17. Oktober 2024. Unser Nachbarland Österreich hat am 12.04.2024 das Netz- und Informationssystemsicherheitsgesetz (NISG) verabschiedet und damit seine Vorarbeiten zur Umsetzung erledigt. Wir in Deutschland haben derzeit lediglich einen Referentenentwurf aus Dezember 2023 vorliegen und verlieren damit wertvolle Zeit den betroffenen Unternehmen nationale Rahmenbedingungen an die Hand zu geben.
Vor diesem Hintergrund müssen Unternehmensleitungen auf Grundlage der EU-Richtlinie die notwendigen Umsetzungsschritte einleiten, denn die Liste der Anforderungen ist recht umfangreich.
Zielsetzung der Richtlinie
- Aufbau von Cybersicherheitskapazitäten,
- die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und
- die Sicherstellung der Kontinuität solcher Dienste bei Vorfällen,
- um so zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen.
Betroffene Unternehmen
Quelle: Die Daten für die Abbildung stammen aus dem Referentenentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), 22.12.2023
Die deutsche Krankenhausgesellschaft hat im Oktober vergangenen Jahres bereits eine Bewertung aus Ihrer Sicht zum damaligen Referentenentwurf vorgenommen und unter Verweis auf die IT-Sicherheitsanforderungen des SGB V versucht eine „Doppelbelastung“ der Einrichtungen zu verhindern. Ob dies gelingt ist zum aktuellen Zeitpunkt unklar, so dass auch hier Abwarten keine Lösung ist.
„Mit den enthaltenen Festlegungen zur Identifikation betroffener Einrichtungen fallen alle Krankenhäuser in Deutschland mindestens in die Kategorie „wichtige Einrichtung.
…. Es erscheint daher geboten, die bestehenden Ausnahmeregelungen für das Gesundheitswesen im Anwendungsbereich des geplanten Gesetzentwurfes auf die durch das Bundesministerium für Gesundheit geplanten Regelungen (insbesondere § 391 Fünftes Buch Sozialgesetzbuch) auszuweiten.“
Stellungnahme der Deutschen Krankenhausgesellschaft zum Diskussionspapier zu Wirtschaftsbezogenen Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland Stand: 20.10.2023
Sowohl die Richtlinie der EU als auch die bisherigen nationalen Referentenentwürfe beinhalten explizite Verpflichtungen der Geschäftsleitungen in den betroffenen Einrichtungen. Der Entwurf aus Dezember 2023 beinhaltet in §38 folgende Vorgaben:
Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
(1) Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
(2) Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der Pflichten nach Absatz 1 oder ein Vergleich der Einrichtung über diese Ansprüche ist unwirksam. Dies gilt nicht, wenn der Ersatzpflichtige zahlungsunfähig ist und sich zur Abwendung des Insolvenzverfahrens mit seinen Gläubigern vergleicht oder wenn die Ersatzpflicht in einem Insolvenzplan geregelt wird.
(3) Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik und die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste zu erwerben.
Die Krankenhausleitung wird somit explizit in die Verantwortung und Haftung für die Umsetzung der Sicherheitsmaßnahmen genommen. Es ist wohl keine Entlastung von dieser Pflicht möglich und die Leitungsebene muss sich auch in Sachen Risikomanagement und -Bewertung nachweislich schulen lassen. Diese Herangehensweise Sicherheit zur Chefsache zu machen ist ein Kernelement der NIS-2.
Anforderungen aus § 391 SGB V an die Krankenhäuser
Ungeachtet der nationalen Umsetzung der Anforderungen aus NIS-2, so sind die Krankenhäuser allein auf Grund des 5. Sozialgesetzbuches gefordert ein Mindestpaket an Maßnahmen zur Sicherheit der IT im Haus zu ergreifen. Es versteht sich hier von selbst, dass die koordinierte Umsetzung aus NIS-2 und SGB V Vorteile für die einzelne Einrichtung bietet. Im folgenden betrachten wir die Forderungen aus § 391 SGB V genauer.
(1) Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.
Beim Schutz der Einrichtung darf man sich nicht mit dem Verweis auf Firewall und Virenschutz zufrieden geben sondern es gilt die Organisation resilient gegen Störfälle zu machen, um diese bestmöglich zu verhindern und im schlimmsten Fall möglichst kurzfristig wieder in den Normalbetrieb zu kommen. Die hierfür zu betreibenden Aufwände orientieren sich am Risikopotential eines zu verhindernden Ausfallereignisses.
(2) Vorkehrungen nach Absatz 1 sind auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern.
In diesem zweiten Absatz wird die große Bedeutung der Belegschaft für die Unternehmenssicherheit deutlich und es müssen geeignete Informations-/Schulungsmaßnahmen zur Schaffung der notwendigen Cyberkompetenz etabliert werden.
(3) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.
Der Rahmen zur Wahl der geeigneten Verteidigungsmittel wird durch die Kernleistung des Krankenhauses und die Patientendaten definiert.
(4) Die Krankenhäuser können die Verpflichtungen nach den Absätzen 1 und 2 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.
Die Auseinandersetzung mit den bislang oftmals nur von KRITIS-Häusern beachteten branchenspezifischen Sicherheitsstandards (B3S, Version 1.2) kann auch den übrigen Krankenhäuser bei der Stärkung ihrer Cyberresilience helfen.
(5) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.
Die bereits heute nach den KRITIS Anforderungen abgesicherten Häuser erfahren durch diesen Paragraphen keine zusätzlichen Belastungen.
Fazit
Alle Krankenhäuser müssen zur Erfüllung der Pflichten aus dem SGB V und der NIS-2 ein wirksames Risikomanagementsystem etablieren sowie die technischen und organisatorischen Maßnahmen schaffen um die zuverlässige Erbringung Ihrer Kerndienstleistungen sicher zu stellen. Einen zweckmäßigen Orientierungsrahmen können hier der Branchenstandard V 1.2 für KRITIS Häuser und das BSI Grundschutzkompendium bieten.