Cybersicherheit im Gesundheitswesen: NIS2-Gesetzgebung erhöht den Druck

Cyberangriffe gehören inzwischen zur unternehmerischen Realität. Daher genießt die Stärkung der IT- und Datensicherheit zumeist hohe Priorität bei Unternehmen. Bislang war es den meisten Unternehmen − vereinfacht gesagt − selbst überlassen, ob und welche Maßnahmen sie insoweit ergreifen, doch damit ist es jetzt vorbei. Die aktuelle NIS2-Gesetzgebung gibt vor, mit welchen konkreten Mechanismen Unternehmen ihre Cyber-Resilienz zu stärken haben. Betroffen sind auch Unternehmen aus dem Gesundheitswesen, vor allem Krankenhäuser.

NIS2-Richtlinie

NIS steht für „Network and Information Security“ und die Zahl 2 belegt, dass es sich hierbei bereits um die zweite europäische NIS-Richtlinie handelt, die sich mit dem Thema Informationssicherheit befasst. Hintergrund ist das weiterhin unterschiedlich hohe Schutzniveau vieler Einrichtungen. Deshalb erweitert die NIS2-Richtlinie den bisherigen Anwendungsbereich sowie Sanktionsmöglichkeiten nochmals deutlich.

Cyberangriffe werden nicht einfach aufhören, sondern vermutlich weiter zunehmen. Daher müssen Staat und Wirtschaft ihre Cyber-Resilienz erhöhen. Dies insbesondere dort, wo sehr sensible Bereiche und Wirtschaftszweige betroffen sein können. Hierzu zählen etwa Einrichtungen und Unternehmen aus den Sektoren: Energie, Transport, Trink- & Abwasser, Verwaltung, Ernährung und natürlich solche des Gesundheitswesens. In diesen Sektoren muss eine dauerhafte Funktionsfähigkeit gewährleistet sein. Die Zunahme zwischenstaatlicher Konflikte, die verstärkt auch im digitalen Raum ausgetragen werden, hat die entsprechende Notwendigkeit zuletzt nochmals deutlich erhöht.

Die europäische NIS2-Richtlinie ist 01/2023 in Kraft getreten. Ihre Inhalte müssen von allen EU-Mitgliedstaaten bis 10/2024 in nationales Recht überführt werden. Seit 2023 gibt es einen Referentenentwurf zum deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Ca. 30.000 Unternehmen bzw. Einrichtungen werden von den künftigen Regelungen betroffen sein. Im Kern geht es für sie darum, ein ausgereiftes Cyber-Risikomanagement zu implementieren.

NIS2 im Gesundheitswesen

Die NIS2-Gesetzgebung wendet sich insbesondere an Einrichtungen des Gesundheitswesens, genauer gesagt an Gesundheitsdienstleister. Dies sind z. B. Krankenhäuser, medizinische Versorgungszentren, ärztliche Praxen, Apotheken oder auch Reha- und Pflegeeinrichtungen. Durch die Erweiterung des Richtlinien-Anwendungsbereichs können künftig auch „kleinere“ Krankenhäuser mit Maßnahmen überzogen und sogar sanktioniert werden, falls sie kein ausreichendes Cyber-Risikomanagement umsetzen. Zudem wird die Geschäftsleitung ausdrücklich in die Pflicht genommen. Sie allein ist nunmehr zuständig, die Cybersicherheit der Einrichtung und somit das Funktionieren des Betriebs sicherzustellen.

Anwendungsbereich

Wer im Gesundheitswesen von den neuen Regelungen betroffen ist, wird im NIS2UmsuCG mittels einer sogenannten „Size-Cap-Rule“ ermittelt. 

Betreiber kritischer Anlagen Besonders wichtige Einrichtungen Wichtige Einrichtungen
Kritische Infrastrukturen laut Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) Großunternehmen Mittlere Unternehmen
siehe Gesundheitssektor gem. BSI-KritisV – Krankenhäuser mit mind. 30.000 vollstationären Fallzahlen p.a. ab 250 Mitarbeitende oder mind. 50 Mio. EUR Umsatz bzw. mind. 43 Mio. EUR Bilanzsumme mind. 50 bis max. 249 Mitarbeitende und < 50 Mio. EUR Umsatz oder < 43 Mio. EUR Bilanzsumme
max. 49 Mitarbeitende und 10-50 Mio. EUR Umsatz bzw. 10-43 Mio. EUR Bilanzsumme

Cyber-Risikomanagement im Gesundheitswesen

Die Stärkung der Cyber-Resilienz soll durch die Umsetzung von Risikomanagement-Maßnahmen erfolgen. Betroffene Einrichtungen, wie z. B. Krankenhäuser, müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der IT-Systeme zu vermeiden bzw. negative Auswirkungen möglichst gering zu halten. Konkret sollen sich die Maßnahmen auf folgende unternehmerische Sicherheitskonzepte auswirken:

  • Risikoanalyse und Sicherheit der IT
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs (Business Continuity Management)
  • Lieferkettensicherheit
  • Sicherheitsmaßnahmen im Zusammenhang mit Erwerb / Wartung von IT-Komponenten
  • Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen
  • Schulungen zur Cybersicherheit
  • Einsatz von Verschlüsselung / Kryptografie
  • Zugriffskontrollen / Anlagenmanagement
  • Gesicherte Kommunikation sowie Notfallkommunikation

Konsequenzen bei Nichtbefolgung

Vom Gesetz betroffene Gesundheitsdienstleister müssen bei Nichtbeachtung der Vorgaben mit empfindlichen Konsequenzen rechnen. Die kontrollierenden Behörden verfügen insoweit über ein breites Repertoire; hierzu gehören etwa Vor-Ort-Kontrollen oder Sicherheitsprüfungen. Auch können Nachweise zum Cybersicherheitskonzept und die Einsicht in relevante Dokumente verlangt werden. Notfalls können sogar Warnungen über Verstöße abgegeben und Tätigkeitsverbote für die Mitglieder der Geschäftsleitung ausgesprochen werden.

Geschäftsleitung in der Pflicht

In personeller Hinsicht steht die Geschäftsleitung besonders im Fokus. Es greift nämlich auch beim Gesetzgeber die Erkenntnis, dass Cybersicherheit Chefsache ist. Daher wird im NIS2UmsuCG der Geschäftsleitung, also Vorstand oder Geschäftsführung, die direkte Verantwortung für die Einhaltung der o. g. Risikomanagement-Maßnahmen auferlegt und zugleich bestimmt, dass diese Verantwortung nicht auf Dritte übertragen werden darf.

Bei Verletzung der Pflichten ist eine Haftung der Geschäftsleitung gegenüber der Einrichtung gegeben. Auf die Geltendmachung entsprechender Schadensersatzansprüche darf seitens der Einrichtung auch nicht verzichtet werden, selbst ein Vergleich darüber ist unwirksam.

Zudem muss die Geschäftsleitung regelmäßig an Schulungen teilnehmen, die sich mit dem Thema der Cybersicherheit befassen. Entsprechende Schulungsangebote müssen im Übrigen auch den Mitarbeitenden zur Verfügung gestellt werden.

Vorgesehen sind weiterhin Bußgeldtatbestände, deren Höhe schlimmstenfalls bis max. 20 Mio. EUR reichen kann.

Risiko- und Versicherungsmanagement

Die NIS2-Gesetzgebung steht stellvertretend für eine Vielzahl regulatorischer Rahmenbedingungen, mit denen das Gesundheitswesen konfrontiert ist. Sie macht klar, dass die Cybersicherheit kein Thema mehr ist, dessen Beachtung in das Belieben der Einrichtungen gestellt wird. Vielmehr verpflichtet sie die Geschäftsleitung dazu, konkrete Risikomanagement-Maßnahmen umzusetzen und nachzuhalten. Damit dies mit dem nötigen Nachdruck erfolgt, sind strenge Haftungsregeln und empfindliche Bußgelder vorgesehen. Wirkungsvolle Risikomanagement- und Versicherungsmanagement-Maßnahmen sind:

Teil des Risikomanagements ist regelmäßig der Risikotransfer. Besonders wichtig dabei: der Abschluss werthaltiger Cyber-Versicherungslösungen. Sie bieten umfassenden Kostenschutz im Zusammenhang mit Informationssicherheitsverletzungen (Nichtverfügbarkeit oder fehlende Integrität von Daten sowie Verletzungen des vertraulichen Umgangs damit), also genau in den Fällen, vor denen sich die Einrichtungen des Gesundheitswesens durch die NIS2-Gesetzgebung schützen sollen. Zudem gewähren sie Zugriff auf professionelle Dienstleister, die es für die Bewältigung von Cyberschäden und einen schnellen Restart braucht.

Funk verfügt sowohl über exklusive Cyber-Versicherungslösungen als auch über eine tiefgreifende Cyber-Expertise. Mit einem Team von rund 30 Expertinnen und Experten, bestehend aus IT-Risikoingenieur*innen, erfahrenen Jurist*innen mit IT-Rechts-Schwerpunkt sowie Cyber-Versicherungsexpert*innen bieten wir unseren Kunden im Gesundheitswesen die volle Bandbreite an Cyber-Services. Auf diese Weise helfen wir, Cyber-Risiken individuell zu ermitteln und sie zielgerichtet unter Versicherungsschutz zu stellen.

Unsere Beratung setzt bereits frühzeitig mit einem Check des bestehenden IT-Status an. Hierbei beleuchten wir entscheidende Risikofaktoren, um die es im Übrigen auch bei den Risikomanagement-Konzepten im Zusammenhang mit der NIS2-Gesetzgebung geht. Das Resultat sind wertvolle Erkenntnisgewinne für unsere Kunden, eine Risikodokumentation sowie schließlich die Implementierung einer belastbaren Cyber-Versicherungslösung.

Der Cyber-Versicherungsmarkt ist weiterhin als heterogen zu bezeichnen, sodass es beim Punkt der belastbaren Versicherungslösungen darum geht, im Schadenfall sowie auch im bloßen Verdachtsfall, keine bösen Überraschungen zu erleben. Insbesondere im Verdachtsfall muss ein sofortiger Kostenschutz gegeben sein, um kurzfristig und mithilfe von Expert*innen gegensteuern zu können.

Auch sollte eine für den Kunden vorteilhafte Beweislastverteilung gegeben sein, sodass idealerweise der Versicherer beweisbelastet ist und nachweisen müsste, dass seiner Ansicht nach kein Versicherungsfall gegeben ist. Zudem sollte darauf geachtet werden, dass keine technischen Obliegenheiten vorgesehen sind. Solche Obliegenheiten bestimmen etwa, welche Maßnahmen vor Eintritt des Versicherungsfalls einzuhalten sind. Ein in der Praxis häufiges Einfalltor für Diskussionen und daraus resultierende Leistungskürzungen.

Da das Thema Cybersicherheit oberste Priorität hat, sollte vor allem die Geschäftsleitung ihre Absicherung auf den Prüfstand stellen. Vorstand oder Geschäftsführung unterliegen zwar seit jeher einer strengen Haftung, doch die NIS2-Gesetzgebung verdeutlicht einmal mehr, dass sich der Druck erhöht und Haftungs-Szenarien ständig neue Gestalt annehmen können. Auch insoweit versorgen wir Entscheiderinnen und Entscheider mit Lösungen zur Absicherung von Vermögensschaden-Risiken, zu denen bspw. D&O- sowie Rechtsschutz-Versicherungslösungen zählen.

Funk – Die beste Empfehlung

Als größter inhabergeführter Versicherungsmakler und Risk Consultant Deutschlands verfügen wir über das Know-how und die Konzepte, die es zur Absicherung unternehmerischer sowie persönlicher Risiken braucht. Unsere Funk Hospital-Versicherungsmakler GmbH ist auf das Gesundheitswesen spezialisiert. Wir versorgen Krankenhäuser, Gesundheits- und Pflegeeinrichtungen, Wohlfahrtsverbände und mehrere tausende Ärztinnen und Ärzte mit branchenspezifischen Versicherungs- und Risikomanagementlösungen. Sprechen Sie uns an.

 

14.03.2024

Ihr Kontakt

Johann Ulferts, Ansprechpartner bei Funk
Johann Ulferts, LL.M.
+49 40 35914-0
E-Mail-Kontakt