Anbieter zum Thema

Governikus GmbH & Co. KG

secunet Security Networks AG

Für den Schutz der Menschen ist es darüberhinaus wichtig, dass die Versorgung mit Strom, Gas und Wasser im Gesundheitswesen funktioniert – und dass OP-Roboter keine Menschen verletzen. Das will die Europäische Union seit 2016 mit Hilfe der „Richtlinie zur Netzwerk- und Informationssicherheit NIS“ erreichen. Schon damals sollten die Verpflichteten – nach Schätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zwischen „500 und 1.500 Unternehmen“ – SdT umsetzen und erhebliche IT-Sicherheitsvorfälle an das BSI melden.

Ab Oktober 2024 ist die NIS2 einzuhalten: Die „starke Verschlüsselung“, MFA und IAM tauchen auch hier wieder auf. Doch die NIS-2 will mehr: „Um eine wirkliche Rechenschaftspflicht für die Cybersicherheitsmaßnahmen auf organisatorischer Ebene zu gewährleisten, führt das NIS2 Bestimmungen über die Haftung natürlicher Personen ein, die Führungspositionen in den in den Anwendungsbereich der neuen NIS-Richtlinie fallenden Unternehmen innehaben“, heißt es in einer Antwort der EU auf häufig gestellte Fragen.

„Gesundheitsdienstleister“, „Pharmazeutik“ und „Medizinprodukte“ gehören der Verordnung zufolge zu den „wesentlichen Einrichtungen“ – die Folge nach Artikel 32: „Die Mitgliedstaaten stellen sicher, dass die Aufsichts- bzw. Durchsetzungsmaßnahmen [...] unter Berücksichtigung der Umstände des Einzelfalls wirksam, verhältnismäßig und abschreckend sind.“ Die Messer dazu: „Vor-Ort-Kontrollen und externe Aufsichtsmaßnahmen“, „Stichprobenkontrollen“, „regelmäßige und gezielte Sicherheitsprüfungen“, „Sicherheitsscans“.

Nach Artikel 20, Absatz 1 sollen „die Leitungsorgane wesentlicher und wichtiger Einrichtungen die [...] ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können.“

Nach Absatz 2 sollen die Chefinnen „an Schulungen teilnehmen müssen“ und allen Mitarbeitern „regelmäßig“ Schulungen anbieten, „um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen [...] zu erwerben.“

Artikel 21 verlangt nach „Risikomanagementmaßnahmen“ – diese müssen nach Absatz 2 auf „einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen.“ Im Anschluss zählt der Gesetzgeber ein Dutzend Positionen auf, die in diesem Zusammenhang nachzuweisen sind – etwa „grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit“ oder „Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung“.

Experten sind geteilter Meinung – die einen hoffen auf eine „Qualitätssteigerung“ und mehr „Know-how“, andere befürchten, dass die Umsetzungsfrist nicht ausreichen wird: „Das Scheitern ist vorprogrammiert“. T-Systems glaubt an ein „Fort Knox für Gesundheitsdaten“.

Gleichzeitig soll die aber die die Elektronische Patientenakte ab Ende 2024 für alle verbindlich eingeführt werden; damit soll die Betroffene „eine geordnete Übersicht über Arztbriefe, Befunde, Medikamente“ erhalten. Damit das funktioniert, muss Alles mit Allem miteinander vernetzt werden. Wie sich das mit der NIS-2 und dem Computergrundrecht unter einen Hut bringen lässt, ist offen. Das jedoch ändert an der Haftung der Verantwortlichen nichts.

Cybersicherheit im Gesundheitswesen

Menschliche Zombies in der schönen neuen Cyberwelt

(ID:49692624)