Cybersicherheit im Gesundheitswesen: NIS-2-Gesetzgebung erhöht den Druck
Cyberangriffe gehören inzwischen zur unternehmerischen Realität. Daher genießt die Stärkung der IT- und Datensicherheit zumeist hohe Priorität bei Unternehmen. Bislang war es den meisten Unternehmen − vereinfacht gesagt − selbst überlassen, ob und welche Maßnahmen sie insoweit ergreifen, doch damit ist es jetzt vorbei. NIS-2 gibt vor, mit welchen konkreten Mechanismen Unternehmen ihre Cyber-Resilienz zu stärken haben. Betroffen sind auch Unternehmen aus dem Gesundheitswesen, vor allem Krankenhäuser.
NIS-2-Richtlinie
NIS steht für „Network and Information Security“ und die Zahl 2 belegt, dass es sich hierbei bereits um die zweite europäische NIS-Richtlinie handelt, die sich mit dem Thema Informationssicherheit befasst. Hintergrund ist das weiterhin unterschiedlich hohe Schutzniveau vieler Einrichtungen. Deshalb erweitert die NIS-2-Richtlinie den bisherigen Anwendungsbereich sowie Sanktionsmöglichkeiten nochmals deutlich.
Die NIS-2-Gesetzgebung im Überblick
Cyberangriffe werden nicht einfach aufhören, sondern vermutlich weiter zunehmen. Daher müssen Staat und Wirtschaft ihre Cyber-Resilienz erhöhen. Dies insbesondere dort, wo sehr sensible Bereiche und Wirtschaftszweige betroffen sein können. Hierzu zählen etwa Einrichtungen und Unternehmen aus den Sektoren: Energie, Transport, Trink- & Abwasser, Verwaltung, Ernährung und natürlich solche des Gesundheitswesens. In diesen Sektoren muss eine dauerhafte Funktionsfähigkeit gewährleistet sein. Die Zunahme zwischenstaatlicher Konflikte, die verstärkt auch im digitalen Raum ausgetragen werden, hat die entsprechende Notwendigkeit zuletzt nochmals deutlich erhöht.
Die europäische NIS-2-Richtlinie ist 01/2023 in Kraft getreten. Ihre Inhalte müssen von allen EU-Mitgliedstaaten bis 10/2024 in nationales Recht überführt werden. Im Kern geht es darum, für betroffene Unternehmen bzw. Einrichtungen ein ausgereiftes Cyber-Risikomanagement zu implementieren.
NIS-2 im Gesundheitswesen
Die NIS-2-Gesetzgebung wendet sich insbesondere an Einrichtungen des Gesundheitswesens, genauer gesagt an Gesundheitsdienstleister. Dies sind z. B. Krankenhäuser, medizinische Versorgungszentren, ärztliche Praxen, Apotheken oder auch Reha- und Pflegeeinrichtungen. Durch die Erweiterung des Richtlinien-Anwendungsbereichs können künftig auch „kleinere“ Krankenhäuser mit Maßnahmen überzogen und sogar sanktioniert werden, falls sie kein ausreichendes Cyber-Risikomanagement umsetzen. Zudem wird die Geschäftsleitung ausdrücklich in die Pflicht genommen. Sie allein ist nunmehr zuständig, die Cybersicherheit der Einrichtung und somit das Funktionieren des Betriebs sicherzustellen.
Anwendungsbereich
Wer im Gesundheitswesen von den neuen Regelungen betroffen ist, wird in den NIS-2-Richtlinien mittels einer sogenannten „Size-Cap-Rule“ ermittelt werden.
Unter die Regulierung sollen, abgesehen von Ausnahmen, folgende Unternehmen fallen:
› Klein (small): max. 49 Mitarbeitende und 10-50 Mio. Euro Umsatz bzw. 10-43 Mio. Euro Bilanzsumme
› Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. Euro Umsatz, < 43 Mio. Euro Bilanz
› Groß (large): >250 Beschäftigte, > 50 Mio. Euro Umsatz, > 43 Mio. Euro
| Betreiber kritischer Anlagen | Besonders wichtige Einrichtungen | Wichtige Einrichtungen |
|---|---|---|
| Kritische Infrastrukturen laut Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) | Großunternehmen | Mittlere Unternehmen |
| siehe Gesundheitssektor gem. BSI-KritisV – Krankenhäuser mit mind. 30.000 vollstationären Fallzahlen p. a. | ab 250 Mitarbeitende oder mind. 50 Mio. Euro Umsatz bzw. mind. 43 Mio. Euro Bilanzsumme | mind. 50 bis max. 249 Mitarbeitende und < 50 Mio. Euro Umsatz oder < 43 Mio. Euro Bilanzsumme |
| max. 49 Mitarbeitende und 10-50 Mio. Euro Umsatz bzw. 10-43 Mio. Euro Bilanzsumme |
Cyber-Risikomanagement im Gesundheitswesen
Die Stärkung der Cyber-Resilienz soll durch die Umsetzung von Risikomanagement-Maßnahmen erfolgen. Betroffene Einrichtungen, wie z. B. Krankenhäuser, müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der IT-Systeme zu vermeiden bzw. negative Auswirkungen möglichst gering zu halten. Konkret sollen sich die Maßnahmen auf folgende unternehmerische Sicherheitskonzepte auswirken:
- Risikoanalyse und Sicherheit der IT
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs (Business Continuity Management)
- Lieferkettensicherheit
- Sicherheitsmaßnahmen im Zusammenhang mit Erwerb / Wartung von IT-Komponenten
- Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen
- Schulungen zur Cybersicherheit
- Einsatz von Verschlüsselung / Kryptografie
- Zugriffskontrollen / Anlagenmanagement
- Gesicherte Kommunikation sowie Notfallkommunikation
Konsequenzen bei Nichtbefolgung
Vom Gesetz betroffene Gesundheitsdienstleister müssen bei Nichtbeachtung der Vorgaben mit empfindlichen Konsequenzen rechnen. Die kontrollierenden Behörden verfügen insoweit über ein breites Repertoire; hierzu gehören etwa Vor-Ort-Kontrollen oder Sicherheitsprüfungen. Auch können Nachweise zum Cybersicherheitskonzept und die Einsicht in relevante Dokumente verlangt werden. Notfalls können sogar Warnungen über Verstöße abgegeben und Tätigkeitsverbote für die Mitglieder der Geschäftsleitung ausgesprochen werden.
Geschäftsleitung in der Pflicht
In personeller Hinsicht steht die Geschäftsleitung besonders im Fokus. Es greift nämlich auch beim Gesetzgeber die Erkenntnis, dass Cybersicherheit Chefsache ist. Daher wird im NIS-2 der Geschäftsleitung, also Vorstand oder Geschäftsführung, die direkte Verantwortung für die Einhaltung der o. g. Risikomanagement-Maßnahmen auferlegt und zugleich bestimmt, dass diese Verantwortung nicht auf Dritte übertragen werden darf.
Bei Verletzung der Pflichten ist eine Haftung der Geschäftsleitung gegenüber der Einrichtung gegeben. Auf die Geltendmachung entsprechender Schadensersatzansprüche darf seitens der Einrichtung auch nicht verzichtet werden, selbst ein Vergleich darüber ist unwirksam.
Zudem muss die Geschäftsleitung regelmäßig an Schulungen teilnehmen, die sich mit dem Thema der Cybersicherheit befassen. Entsprechende Schulungsangebote müssen im Übrigen auch den Mitarbeitenden zur Verfügung gestellt werden.
Vorgesehen sind weiterhin Bußgeldtatbestände, deren Höhe schlimmstenfalls bis max. 20 Mio. Euro reichen kann.
Risiko- und Versicherungsmanagement
Die NIS-2 stellvertretend für eine Vielzahl regulatorischer Rahmenbedingungen, mit denen das Gesundheitswesen konfrontiert ist. Sie macht klar, dass die Cybersicherheit kein Thema mehr ist, dessen Beachtung in das Belieben der Einrichtungen gestellt wird. Vielmehr verpflichtet sie die Geschäftsleitung dazu, konkrete Risikomanagement-Maßnahmen umzusetzen und nachzuhalten. Damit dies mit dem nötigen Nachdruck erfolgt, sind strenge Haftungsregeln und empfindliche Bußgelder vorgesehen. Wirkungsvolle Risikomanagement- und Versicherungsmanagement-Maßnahmen sind:
Risikotransfer – Cyber & D & O im Fokus
Teil des Risikomanagements ist regelmäßig der Risikotransfer. Besonders wichtig dabei: der Abschluss werthaltiger Cyber-Versicherungslösungen. Sie bieten umfassenden Kostenschutz im Zusammenhang mit Informationssicherheitsverletzungen (Nichtverfügbarkeit oder fehlende Integrität von Daten sowie Verletzungen des vertraulichen Umgangs damit), also genau in den Fällen, vor denen sich die Einrichtungen des Gesundheitswesens durch NIS-2 schützen sollen. Zudem gewähren sie Zugriff auf professionelle Dienstleister, die es für die Bewältigung von Cyberschäden und einen schnellen Restart braucht.
Cyber-Expertise
Funk verfügt sowohl über exklusive Cyber-Versicherungslösungen als auch über eine tiefgreifende Cyber-Expertise.
Unsere Beratung setzt bereits frühzeitig mit einem Check des bestehenden IT-Status an. Hierbei beleuchten wir entscheidende Risikofaktoren, um die es im Übrigen auch bei den Risikomanagement-Konzepten im Zusammenhang mit NIS-2 geht. Das Resultat sind wertvolle Erkenntnisgewinne für unsere Kunden, eine Risikodokumentation sowie schließlich die Implementierung einer belastbaren Cyber-Versicherungslösung.
Cyber-Marktlage
Der Cyber-Versicherungsmarkt ist weiterhin als heterogen zu bezeichnen, sodass es beim Punkt der belastbaren Versicherungslösungen darum geht, im Schadenfall sowie auch im bloßen Verdachtsfall, keine bösen Überraschungen zu erleben. Insbesondere im Verdachtsfall muss ein sofortiger Kostenschutz gegeben sein, um kurzfristig und mithilfe von Expert*innen gegensteuern zu können.
Auch sollte eine für den Kunden vorteilhafte Beweislastverteilung gegeben sein, sodass idealerweise der Versicherer beweisbelastet ist und nachweisen müsste, dass seiner Ansicht nach kein Versicherungsfall gegeben ist. Zudem sollte darauf geachtet werden, dass keine technischen Obliegenheiten vorgesehen sind. Solche Obliegenheiten bestimmen etwa, welche Maßnahmen vor Eintritt des Versicherungsfalls einzuhalten sind. Ein in der Praxis häufiges Einfallstor für Diskussionen und daraus resultierende Leistungskürzungen.
Cyberrisiken sind Chefsache
Da das Thema Cybersicherheit oberste Priorität hat, sollte vor allem die Geschäftsleitung ihre Absicherung auf den Prüfstand stellen. Vorstand oder Geschäftsführung unterliegen zwar seit jeher einer strengen Haftung, doch NIS-2 verdeutlicht einmal mehr, dass sich der Druck erhöht und Haftungsszenarien ständig neue Gestalt annehmen können. Auch insoweit versorgen wir Entscheiderinnen und Entscheider mit Lösungen zur Absicherung von Vermögensschaden-Risiken, zu denen bspw. D & O- sowie Rechtsschutz-Versicherungslösungen zählen.
Funk – Die beste Empfehlung
Wir verfügen über das Know-how und die Konzepte, die es zur Absicherung unternehmerischer sowie persönlicher Risiken braucht. Sprechen Sie uns an.
14.03.2024
Ihr Kontakt
