Definition Was steckt hinter der NIS-2-Richtlinie?

Betreiber kritischer Infrastrukturen, kurz KRITIS, stehen besonders im Fadenkreuz von Cyberkriminellen – und damit auch das Gesundheitswesen. Mit der NIS-2-Richtlinie hat die EU auf die Zunahme der IT-Bedrohungen und Sicherheitsvorfälle reagiert.

Als zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) wurde NIS-2 als Richtlinie 2022/2555 am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Es handelt sich um eine Richtlinie, die insbesondere auf Einrichtungen und Unternehmen aus dem Bereich kritischer Infrastruktur wie Gesundheitswesen, Trinkwasser, Energieversorgung oder Schienenverkehr abzielt. Gemäß der Richtlinie sind Unternehmen aus diesem Bereich dazu verpflichtetet, besonders hohe Cyber-Sicherheitsstandards einzuhalten.

Schätzungen zufolge betrifft die neue EU-Richtlinie in Deutschland rund 29.000 bis 40.000 Unternehmen. Dies entspricht einer deutlichen Zunahme im Vergleich zur weniger strengen ersten NIS-Richtlinie. Angesprochen werden vor allem Unternehmen mit mindestens 50 Mitarbeitenden und einem jährlichen Umsatz von mindestens zehn Millionen Euro. Dabei liegt das Hauptaugenmerk auf 18 Sektoren von Energie und Verkehr über Bankwesen und Gesundheit bis hin zu Abwasser, öffentliche Verwaltung, Abfallbewirtschaftung, Postdienste und Warenherstellung.

Kliniken und Praxen

NIS-2 fristgerecht umsetzen: acht Sofortmaßnahmen

Bis 2024 waren nur Krankenhäuser mit mehr als 30.000 vollstationären Aufnahmen pro Jahr als KRITIS-Einrichtungen eingestuft und entsprechend zur besonderen IT-Sicherheitsmaßnahmen verpflichtet. Mit NIS-2 werden fortan alle Akteure im Gesundheitswesen dazu verpflichtet, ihre Cyber-Security-Strategie technisch und organisatorisch anzupassen, um die Sicherheit sensibler Daten zu gewährleisten.

NIS-2: Erweiterung der bestehenden EU-Richtlinie

Bei der neuen NIS-Richtlinie handelt es sich um eine Erweiterung der im Jahr 2016 veröffentlichten ersten NIS-Richtlinie. Sowohl in der ersten als auch in der zweiten Richtlinie werden Maßnahmen definiert, die der Gewährleistung eines hohen Sicherheitsstandards in Bezug auf Netzwerk- und Informationstechnologie dienen. Der Fokus liegt dabei auf der Schaffung eines einheitlichen Rechtsrahmens für den Bereich Cybersecurity.

Die Mitgliedstaaten der Europäischen Union haben noch bis Oktober 2024 Zeit, um die europaweit geltende und entsprechend formulierte NIS-2-Richtlinie in aktuelles, nationales Recht umzusetzen. In Deutschland obliegt die Umsetzung dieser Aufgabe in erster Linie dem BSI (Bundesamt für Sicherheit in der Informationstechnologie).

Mehr Befugnisse für das BSI

Mit dem Inkrafttreten der NIS-2-Richtlinie vergrößern sich die Aufgabenbereiche und die Handlungsbefugnisse des BSI. Dies betrifft insbesondere die Koordination von Herausforderungen, die nur durch eine enge Zusammenarbeit von staatlichen Institutionen und Unternehmen aus dem Bereich der kritischen Infrastruktur erfolgversprechend angegangen werden können.

Diese Anforderungen kommen auf Unternehmen zu

Für Unternehmen aus den oben erwähnten 18 Sektoren bringt die Einführung von NIS-2 eine Vielzahl an neuen Aufgaben und Pflichten mit sich. Dazu zählen:

• Etablierung von Risikomanagement

• Sicherstellung von Informationssicherheit in Lieferketten

• Meldung und Behandlung von Sicherheitsvorfällen, Bedrohungen und signifikanten Störungen

• Sicherheitsbewertungen und Überwachung

• Schulung und Sensibilisierung von Mitarbeitern und der Geschäftsführung

Hausordnung für IT-Systeme im Gesundheitssektor

Checkliste: NIS-2 einfach erklärt

(ID:50183032)