NIS-2: Anforderungen an den Healthcare-Sektor

Ihr Experte für Fragen

Jörg Asma
Partner, Digitalisierung und Sicherheit Healthcare bei PwC Deutschland
Tel.: +49 221 2084-103
E-Mail

Wie die Umsetzung der Europäischen NIS-2-Richtlinie im Healthcare-Sektor gelingt

Cyberangriffe bedrohen zunehmend den Gesundheitssektor, wodurch die Sicherheit sensibler Patientendaten und kritischer medizinischer Systeme gefährdet ist. Die Wichtigkeit einer robusten Cyber-Security-Strategie für Krankenhäuser wird angesichts potenzieller Datenverletzungen und Beeinträchtigungen der klinischen Versorgung immer deutlicher.

Mit der NIS-2-Richtlinie (EU) 2022/2555, welche seit dem 16.01.2023 in Kraft ist und von den Mitgliedstaaten bis zum 17.10.2024 in nationales Recht umgesetzt werden muss, wird die NIS-1-Richtlinie aufgehoben und gibt auch die Richtung von Informationssicherheit für Krankenhäuser vor.

Die Umsetzung erfolgt in Deutschland mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), welches das BSIG vollständig überarbeitet. Das Gesetz befindet sich noch im Gesetzgebungsverfahren, doch schon jetzt zeigt der überarbeitete Referentenentwurf sowie das Diskussionspapier, dass die Geschäftsleitung von Gesundheitseinrichtungen neue Aufgaben zu erfüllen hat und konkrete Vorgaben für die Organisation verpflichtend sind. Die Nichteinhaltung der Cybersicherheitspflichten kann zu Geldbußen in Millionenhöhe führen.

„KRITIS-Krankenhäuser, welche bislang bereits den erhöhten Anforderungen an die Cybersicherheit gerecht werden müssen, implementieren regelmäßig den branchenspezifischen Sicherheitsstandard („B3S“) und lassen sich auch regelmäßig danach auditieren. Mit der Umsetzung der NIS2-Richtlinie werden zukünftig viele Gesundheitseinrichtungen in den Anwendungsbereich fallen. Dem B3S wird somit zukünftig eine höhere Bedeutung zugesprochen.“

Jörg Asma,Partner, Digitalisierung und Sicherheit Healthcare bei PwC Deutschland

Daher zeigen wir Ihnen, welche Anforderungen die NIS-2 zukünftig an Ihr Unternehmen stellt und wie die Einhaltung der erhöhten Anforderungen gelingt.

Video

Anforderungen der NIS-2 an die Gesundheitseinrichtungen

Erhöhung der Risikomanagementmaßnahmen

Zehn technische und organisatorische Maßnahmen (TOM) sind zu erfüllen. Gesundheitseinrichtungen ohne bisherige B3S-Implementierung müssen die vorgeschriebenen Maßnahmen durch die NIS-2-Richtlinie umsetzen.

Verantwortung der Geschäftsleitung

Die Geschäftsleitung trägt die volle Verantwortung für Cyber-Security-Maßnahmen und muss künftig verpflichtend an Cyber-Security-Schulungen teilnehmen.

Dreistufige Meldepflicht

Mit der Umsetzung der NIS-2-Richtlinie ist eine dreistufige Meldepflicht gegenüber dem BSI erforderlich. Die Angaben hinsichtlich des erheblichen Sicherheitsvorfalls variieren je nach Einrichtung.

Nachweispflichten

Betreiber von kritischen Anlagen müssen nach Inkrafttreten des NIS2UmsuCG alle drei Jahre die Einhaltung der Risikomanagementmaßnahmen vor dem BSI nachweisen.

Sanktionen und persönliche Haftung

Je nach Einrichtung drohen bei Nichteinhaltung der Pflichten Geldbußen von bis zu zehn Millionen Euro. Anders als bei Datenschutzvorfällen, wird nach dem NIS2UmsuCG die Geschäftsleitung persönlich in Anspruch genommen.

Plötzlich KRITIS? – NIS-2 im Gesundheitswesen

Cyberangriffe gefährden zunehmend die öffentliche Sicherheit. Die NIS-2-Richtlinie führt in der EU einen neuen Sicherheitsrahmen ein, der die KRITIS-Regulierung in Deutschland erweitert. Unser Whitepaper bietet Einblicke in die dringenden Maßnahmen, die Krankenhäuser, Therapiezentren und Pflegeeinrichtungen jetzt ergreifen müssen, um Bußgelder zu vermeiden und die Betriebssicherheit zu gewährleisten.
Hier downloaden

Sie haben Fragen zu Ihrer Einstufung oder Aufgaben, die auf Sie zukommen?

Kontaktieren Sie uns

Kontakt aufnehmen

Klare Einstufungen und klare Aufgaben: Das erwartet Sie

Folgende Einrichtungen sind zu beachten:

Wichtige Einrichtungen:
50- 249 Mitarbeitende, Jahresumsatz < 50 Millionen Euro oder Jahresbilanzsumme < 43 Millionen Euro oder < 50 Mitarbeitende, aber mindestens zehn Millionen Jahresumsatz und mindestens zehn Millionen Jahresbilanzsumme und höchstens 50 Millionen Jahresumsatz und höchstens 43 Millionen Jahresbilanzsumme

Besonders wichtige Einrichtungen:
> 250 Mitarbeitende, Jahresumsatz > 50 Millionen Euro, Bilanz > 43 Millionen

Kritische Anlagen:
Bestimmt durch Rechtsverordnung. Bislang Krankenhäuser mit mindestens 30.000 vollstationären Behandlungsfällen im Jahr.

Hinsichtlich der Kategorien haben alle Einrichtungen die Anforderungen des § 30 BSIG-E zu erfüllen. Unterschiede ergeben sich unter anderem hinsichtlich der höheren Anforderungen an die Maßnahmen sowie auch der Nachweispflichten.

Wir unterstützen Sie bei der Beachtung und Implementierung der jeweiligen Anforderungen an die Cybersicherheit.

Die fünf Schlüsselanforderungen der NIS-2-Richtlinie

Bei erheblichen (Angaben zum erheblichen Sicherheitsvorfall variieren je nach Einordnung der Einrichtungen) Sicherheitsvorfällen ist eine dreistufige Meldepflicht gegenüber dem BSI zu beachten:

Unverzüglich und spätestens 24 Stunden nach Bekanntwerden des Vorfalls
Zwischen 24 und 72 Stunden plus gegebenenfalls Zwischenmeldungen
Abschlussmeldung

Notfallplanung:

Definition von Notfallszenarien
Festlegung von klaren Rollen und Verantwortlichkeiten
Durchführung von Notfallübungen und Tests
Erstellung eines Notfallplans

Überwachung:

Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Security Information and Event Management (SIEM) sind unterschiedliche Ansätze zur Erkennung und Reaktion auf Sicherheitsvorfälle. Folgend sind sie zu bewerten:

EDR: Überwachung und Reaktion an Endpunkten wie Laptops, Desktops und Servern
NDR: Überwachung und Analyse des Datenverkehrs im Netzwerk
SIEM: Zentralisiertes System zur Erfassung, Korrelation und Analyse von Sicherheitsereignissen und -informationen in Echtzeit

Insgesamt ergänzen sich die drei Ansätze zur Sicherheitsüberwachung und -reaktion und bieten ein umfassendes Sicherheitsnetzwerk, das auf verschiedene Arten von Bedrohungen abzielt, sei es an Endpunkten, im Netzwerk oder durch zentrale Ereignisüberwachung.

Unterschiedliche Sicherheitsbewertungen und Überwachungen sind in der Informationssicherheit relevant. Häufigste Kategorien:

Vulnerability Scanning: Automatisierte Prüfungen von Netzwerken oder Systemen nach potenziellen Schwachstellen oder Sicherheitslücken
Penetration Testing: Aktive Simulation von Angriffen auf ein System, um die Reaktion des Systems auf solche Angriffe zu bewerten
Security Audits: Umfassende Überprüfung der Sicherheitsrichtlinien, -verfahren und -mechanismen, um die Einhaltung von Standards und Best Practices sicherzustellen
Log Monitoring: Kontinuierliche Überwachung von System- und Netzwerkportokollen, um verdächtige Aktivitäten oder Anomalien zu erkennen, die auf potenzielle Sicherheitsverletzungen hindeuten können
Compliance Monitoring: Regelmäßige Überprüfung und Überwachung, um sicherzustellen, dass die Sicherheitpraktiken den gesetzlichen Vorschriften und Branchenstandards entsprechen.

Mit der Compliance Cloud von PwC können Sie Ihre komplette Governance im ISMS, Datenschutz, BCM und Audit abbilden. Erfahren Sie, wie Ihre Informationssicherheitstruktur zukünftig Tool-basiert abgebildet werden kann.

Mehr erfahren

Um ein umfassendes Verständnis für Sicherheit in der Informationssicherheit zu vermitteln, sind folgende Schulungen gängige Ansätze:

Interaktive Schulungen: Workshops, Seminare und interaktive Schulungen
Simulierte Phishing-Tests
Online-Schulungen: Online-Kurse sind flexible und können selbst gesteuert werden
Updates für Mitarbeiter
Spezifische Bereichsschulungen
Verhaltensanweisungen

Durch eine Kombination dieser Maßnahmen können Organisationen sicherstellen, dass ihre Mitarbeitenden über die erforderlichen Kenntnisse und Fähigkeiten verfügen, um proaktiv auf Sicherheitsbedrohungen zu reagieren und zur Sicherheit der gesamten Organisation beizutragen.

Effektive Umsetzung der Schlüsselanforderungen der NIS-2 mit Hilfe des B3S

Der branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus („B3S“)

Die Sicherheit der Informationssysteme in Krankenhäusern ist entscheidend für die Patientensicherheit. Die Deutsche Krankenhausgesellschaft bietet mit dem Branchenspezifischen Sicherheitsstandard („B3S”) gemäß § 8a BSI-Gesetz Unterstützung. Dieser Standard entsteht in enger Zusammenarbeit mit dem Branchenarbeitskreis „Medizinische Versorgung" und wird vom Bundesamt für Sicherheit in der Informationstechnik geprüft.

Mit der Umsetzung der NIS-2-Richtlinie sind die betroffenen Einrichtungen verpflichtet, geeignete, verhältnismäßige und wirksame technische sowie organisatorische Maßnahmen zu ergreifen.

Kern des B3S ist die Umsetzung von technischen und organisatorischen Maßnahmen, die sich aus der Bewertung erkannter Risiken für die Informationssicherheit ergeben. Dabei wird der Aufbau und der Betrieb eines Informationssicherheitsmanagementsystems (ISMS) angestrebt.

Der B3S spiegelt alle zehn organisatorischen und technischen Maßnahmen ab, die die NIS-2-Richtlinie vorgibt.

Die verpflichtenden Maßnahmen spiegeln sich im B3S wider

Konzepte hinsichtlich der Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung des Betriebs, Wiederherstellung und Krisenmanagement
Sicherheit der Lieferkette
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
Konzepte und Verfahren zur Bewertung der Wirksamkeit
Cyberhygiene und Schulungen
Einsatz von Kryptografie und Verschlüsselung
Sicherheit des Personals, Zugriffskontrolle und Anlagenmanagement
Multi-Faktor-Authentifizierung

Konzepte hinsichtlich der Risikoanalyse und Sicherheit für Informationssysteme

B3S-Katalog: Kapitel 5

Die grundlegenden Anforderungen für das Risikomanagement und die Informationssicherheit. Es strebt den Schutz von Informationen sowie der zugehörigen Prozesse, Anwendungen, Systeme, Dienste, Kommunikation und Einrichtungen an, die Informationen enthalten, verarbeiten, speichern, transportieren oder bereitstellen. Das Kapitel legt den Fokus auf die umfassende Absicherung sämtlicher Aspekte, die mit der Verarbeitung sensibler Daten innerhalb des Krankenhausbetriebs verbunden sind. Dabei werden Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie zur Sicherstellung der Systemsicherheit und des reibungslosen Informationsflusses in den Abläufen festgelegt. Es legt klare Richtlinien für die Implementierung von Schutzmechanismen fest, um potenzielle Bedrohungen und Schwachstellen in den betreffenden Systemen zu erkennen, zu bewerten und zu bewältigen.

Bewältigung von Sicherheitsvorfällen

B3S-Katalog: Kapitel 6.9

Das frühzeitige Erkennen und die konsequente Behandlung von Informationsvorfällen stellen essenzielle Bestandteile einer umfassenden Sicherheitsstrategie gemäß der gesetzlichen NIS-2 Richtlinie dar. Durch die zuverlässige Identifizierung und eine konsistente Handhabung dieser Vorfälle wird gewährleistet, dass die entsprechenden Maßnahmen im Einklang mit den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfolgen. Die Erfahrungen und Erkenntnisse aus der Analyse dieser Zwischenfälle dienen wiederum dazu, die Auswirkungen und Wahrscheinlichkeiten künftiger Vorfälle zu mindern und entsprechende Präventionsmaßnahmen zu verstärken. Besondere Bedeutung kommt dabei der zeitnahen und zielgerichteten Reaktion auf bereits eingetretene Sicherheitsvorfälle zu, um mögliche Schäden und weiterführende Risiken effektiv zu begrenzen.

Aufrechterhaltung des Betriebs, Wiederherstellung und Krisenmanagement

B3S-Katalog: Kapitel 6.13.11

Es ist von entscheidender Bedeutung, dass die gesammelten und verarbeiteten Daten innerhalb des Krankenhauses vor Verlust geschützt werden. Hierbei geht es nicht nur um den Schutz vor unbeabsichtigtem Verlust, sondern auch vor potenziellen Cyberbedrohungen und unbefugtem Zugriff. Dies gewährleistet die Integrität und Vertraulichkeit der sensiblen Gesundheitsinformationen und trägt dazu bei, das Vertrauen der Patienten in die Institution aufrechtzuerhalten.

Sicherheit der Lieferkette

B3S-Katalog: Kapitel 6.12

Es müssen Richtlinien für sicheren Datenaustausch mit externen Partnern festgelegt werden. Eine allgemeine Risikobewertung für Dritten-Zugang zu Gesundheitsdaten sollte vorgenommen werden, um unbefugten Zugriff zu verhindern. Leitlinien zur Aufrechterhaltung der Informationssicherheit für Lieferanten, Dienstleister und Dritte sind erforderlich. Die Einhaltung der Informationsrichtlinie muss vor Beauftragung verbindlich gemacht werden . Bei Auslagerung von kritischen Bereichen muss das Sicherheitsniveau erhalten bleiben.

Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen

B3S-Katalog: Kapitel 6.12.1-6.13.6

Um die potenziellen Schäden zu minimieren, sollten Netzwerke segmentiert und Fernzugriffe zweckgebunden eingerichtet werden, um andere IT-Systeme nicht zu beeinträchtigen. Des Weiteren ist es wichtig, bei der Inbetriebnahme von Systemen sichere Basiskonfigurationen festzulegen und zu verwenden. Ebenso sind geeignete Maßnahmen zum Schutz vor Schadsoftware unerlässlich. Zusätzlich sollte in jedem Krankenhaus ein etabliertes Identitäts- und Rechtemanagement vorhanden sein.

Konzepte und Verfahren zur Bewertung der Wirksamkeit

B3S-Katalog: Kapitel 6.10

Die Effektivität der Sicherheitsmaßnahmen in Krankenhäusern erfordert in der Regel eine kontinuierliche Überprüfung im laufenden Betrieb. Dabei ist eine sorgfältige Planung und Abstimmung mit den betrieblichen Abläufen erforderlich, um mögliche Störungen zu vermeiden. Während der Prüfung sollten keine Beeinträchtigungen des Krankenhausbetriebs auftreten.

Cyberhygiene und Schulungen

B3S-Katalog:Kapitel 6.8

Die Sensibilisierung und Schulung der Mitarbeiter sowie Auftragnehmer bezüglich ihrer Verantwortlichkeiten im Bereich der Informationssicherheit ist von großer Bedeutung. Ein tieferes Verständnis dieser Verantwortlichkeiten und die Eignung für ihre jeweiligen Aufgaben tragen maßgeblich zur effektiven Umsetzung von Sicherheitsmaßnahmen bei.

Einsatz von Kryptografie und Verschlüsselung

B3S-Katalog: Kapitel 6.13.8

Kryptographie spielt im Krankenhaus eine essentielle Rolle, da sie die Vertraulichkeit und Integrität sensibler Patientendaten gewährleistet. Durch die Verschlüsselung von Daten und Kommunikation werden persönliche Informationen vor unbefugtem Zugriff geschützt. Zudem unterstützt Kryptographie die Authentifizierung von Nutzern und ermöglicht sichere Kommunikationswege. Angesichts des wachsenden Bedarfs an Datenschutz und Sicherheit im Gesundheitswesen ist die Implementierung robuster Kryptographie-Methoden unerlässlich, um die Vertraulichkeit medizinischer Daten zu gewährleisten und das Vertrauen der Patienten zu stärken.

Sicherheit des Personals, Zugriffskontrolle und Anlagenmanagement

B3S-Katalog: Kapitel 6.13.6

Die Implementierung eines effektiven Identitäts- und Berechtigungsmanagements ist eine zentrale Anforderung im Gesundheitswesen. Sowohl der Schutz sensibler Gesundheitsdaten als auch die Sicherung administrativer Zugriffe erfordern ein adäquates Sicherheitsniveau. Die Gewährleistung eines gezielten Datenzugriffs und die Überwachung temporär aufgehobener Zugriffsbeschränkungen sind dabei besonders bedeutsam. Ein solides Berechtigungsmanagement gewährleistet, dass nur autorisierte Nutzer auf entsprechende Informationen zugreifen können und sorgt für einen ausgewogenen Schutz sensibler Patientendaten.

Multi-Faktor-Authentifizierung

B3S-Katalog: Kapitel 6.13.7

Eine sichere Authentifizierung ist unerlässlich, um den Zugang zu sensiblen IT-Systemen und Informationen im Krankenhaus zu schützen. Durch ein durchdachtes und risikobasiertes Authentifizierungsverfahren wird sichergestellt, dass nur autorisierte Personen Zugriff erhalten und die Vertraulichkeit von Patientendaten gewährleistet wird.

Informationssicherheit im Gesundheitswesen: Priorität für Krankenhäuser

Krankenhäuser stehen angesichts zunehmender Cyberangriffe vor erheblichen Herausforderungen. Die digitale Transformation verstärkt die Verwundbarkeit ihrer IT-Systeme und gefährdet sensible Patientendaten. Zur Gewährleistung von Datenschutz und Sicherheit sind branchenspezifische Sicherheitsstandards wie der „IT-Sicherheitskatalog für Krankenhäuser" (B3S) von entscheidender Bedeutung. Dieser dient der Umsetzung der Schlüsselanforderungen der NIS-2-Richtlinie und unterstützt Krankenhäuser dabei, Sicherheitsmaßnahmen effektiv zu implementieren. Schulungen zur Sensibilisierung der Mitarbeiter, sichere Authentifizierungsverfahren und Kryptographie sind weitere zentrale Aspekte im Fokus der Diskussion. Zudem betonen Expert:innen die Bedeutung von Maßnahmen wie der Netzwerksegmentierung, der Implementierung sicherer Basiskonfigurationen und eines Identitäts- und Berechtigungsmanagements.

Fest steht: Für CISOs, ISBs und die Geschäftsleitung ist eine umfassende Notfallplanung und -überwachung von entscheidender Bedeutung. Die Implementierung dieser Strategien und Maßnahmen ist für Krankenhäuser unerlässlich, um die Sicherheit von Informationen und Patienten gleichermaßen zu gewährleisten.

Mit uns auf dem Weg zur Cyberresilienz

Wir bieten Ihnen ein rechtssicheres und umfassendes Compliance-Management

Unsere Cybersicherheits-Expert:innen unterstützen Sie bei:

der kompletten Implementierung und Aufsetzung des B3S
Aufbau einer IT-Infrastruktur
Wir testen ihre Informations- und IT-Infrastruktur anhand gängiger Standards nach Wirksamkeit
jeglichen Fragen rund um Digitalisierung im Krankenhaus

Unsere Rechtsanwält:innen beraten Sie bei:

allen Fragen der Geschäftsführung zur Absicherung gegen Haftungsrisiken
der rechtssicheren Integration der erforderlichen Maßnahmen in die vorhandene Struktur, einschließlich der Überprüfung von vorhandenen Verträgen (der Beauftragung von Dritten)
der rechtssicheren Ausgestaltung der neuen Sicherheitstools, einschließlich Registrierungs- und Nachweispflichten
den jeweiligen arbeitsrechtlichen Anforderungen bezüglich der Cybersicherheitsschulungen