Gesundheitswesen NIS-2-Richtlinie: Neue Ära der Cybersicherheit

Anbieter zum Thema

Palo Alto Networks (Germany) GmbH

Governikus GmbH & Co. KG

Momentan steht die Europäische Union (EU) vor einem Wendepunkt im Bereich der Cybersicherheit. Die zweite Richtlinie zur Network and Information Security (NIS-2) führt rund um den Umgang mit Cyberangriffen zu neuen Standards und Meldepflichten. Bis zum 17. Oktober 2024 müssen alle Mitgliedsstaaten die Richtlinie in nationale Gesetze umsetzen. Was bedeutet das für das Gesundheitswesen in Deutschland? Der nachfolgende Überblick verschafft Klarheit.

In der Einführung der NIS-2-Richtlinie sieht die EU die passende Antwort auf die aktuelle Bedrohungslage. Durch immer raffinierter vorgehende Bedrohungsakteure und moderne Technologien wie künstliche Intelligenz (KI) werden Cyberangriffe zunehmend schneller und komplexer. Das zeigt der Bedarf an neuen beziehungsweise verschärften Maßnahmen, die für mehr IT-Sicherheit sorgen. Außerdem räumen nur 38 Prozent der deutschen Unternehmen der Cyberresilienz höchste Priorität ein, wie aus einer aktuellen IDC-Studie im Auftrag von Palo Alto Networks hervorgeht. Die NIS-2-Richtlinie zielt darauf ab, diese Lücke zu schließen. Regulatorischer Druck soll Umdenken und Handeln anstoßen. Wichtig dabei: Verstöße gegen die EU-weiten und nationalen Vorgaben können empfindliche Bußgelder und die persönliche Haftung von Führungskräften nach sich ziehen.

Katalysator für neue Entwicklung

Die NIS-2-Richtlinie verspricht einen Innovationsschub im Bereich der Cybersicherheit. Sie gibt durch einheitliche Standards und Meldepflichten einen klar definierten Rahmen zur Verbesserung der derzeitigen Maßnahmen vor. Das fördert Investitionen in standardkonforme und zugleich innovative Lösungen. Im Vergleich zur ersten Richtlinie steigt zudem die Zahl der betroffenen Unternehmen, was den Markt für passende Lösungen enorm vergrößert und aufgrund der zunehmenden Nachfrage die Entwicklung neuer Technologien anregt.

Bei der Prävention existiert eine Lücke

Es gibt auch Kritik an der Wirksamkeit der NIS-2-Richtlinie. In einem Artikel aus dem vergangenen Jahr bemängelt der Wissenschaftler Donald David Stewart Ferguson den engen Fokus der Maßnahmen für das Risikomanagement. Laut dem Experten fehlen zum Beispiel spezifische Maßnahmen, die sich auf die Aufklärungsphase von Cyberangriffen konzentrieren. Es bleibt abzuwarten, ob die EU oder einzelne Mitgliedsstaaten in dem Bereich noch konkrete Vorgaben zur Prävention machen, damit Unternehmen bösartige Aktivitäten in ihren Netzwerken frühzeitig erkennen können.

Wie die Anforderungen an Leistungserbringer aussehen

Im Gesundheitswesen liegt ein Schwerpunkt auf dem Schutz und der Sicherheit der Patientendaten. Es kommt darauf an, die Vertraulichkeit, Integrität und Verfügbarkeit der sensiblen Informationen zu gewährleisten. Das erfordert angemessene Maßnahmen gegen Bedrohungen wie Datendiebstahl und Ransomware.

Außerdem spielt die Kontinuität der medizinischen Versorgung eine zentrale Rolle. Medizinische Geräte dürfen nicht durch Cyberangriffe ausfallen, da das potenziell die Gesundheit von Patienten gefährdet. Jegliche Bedrohungen in dieser Richtung gilt es, proaktiv konsequent abzuwehren. Dazu gehört unter anderem, die Sicherheitslage kontinuierlich zu überwachen und mit einem zuvor festgelegten Incident Response Plan schnell auf Vorfälle zu reagieren.

Hausordnung für IT-Systeme im Gesundheitssektor

Checkliste: NIS-2 einfach erklärt

Krankenhäuser, die zur sogenannten kritischen Infrastruktur (KRITIS) gehören, müssen bereits erhöhten Anforderungen an die Cybersicherheit gerecht werden. Für diese Krankenhäuser gibt es einen branchenspezifischen Sicherheitsstandard (B3S), dessen Einhaltung sie sich auch regelmäßig zertifizieren lassen. Mit der Umsetzung der NIS-2-Richtlinie wird es bald mehr Gesundheitseinrichtungen geben, die in den KRITIS-Bereich fallen. Damit wird die Bedeutung des B3S in Zukunft weiter zunehmen.

Auf der nächsten Seite: Strategien zur Stärkung der Cybersicherheit.

(ID:50193212)