Das Gesundheitswesen wird immer digitaler: Digitale Patientenakten, elektronische Gesundheitskarte, Telematikinfrastruktur (TI) und vieles mehr. Diese Entwicklung bietet enorme Vorteile, birgt aber auch Risiken. So werden Healthcare-Organisationen immer öfter Opfer von Cyberkriminalität. Umso wichtiger ist eine IT-Security, die dem kommenden NIS2-Standard entspricht. Welche Organisationen des Gesundheitswesens die Vorgaben der neuen EU-Richtlinie erfüllen müssen und wie dies gelingt, erfahren Sie hier.
Inhalt
Gesundheitseinrichtungen sind attraktive Ziele für Hacker
Neue EU-Vorgaben - auch für Arztpraxen und Apotheken
NIS2 stellt den Healthcare-Sektor vor Herausforderungen
Auf NIS2-ready umstellen: mit führenden IT-Lösungen und ACP
Fazit: Wer NIS2 als Chance nutzen will, handelt jetzt
Die Cybersicherheitslage in Deutschland ist besorgniserregend. Zu dieser Einschätzung kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Anfang November 2023 vorgestellten Bericht zur Lage der IT-Sicherheit. Der volkswirtschaftliche Schaden durch Cyberkriminalität liegt bei rund 206 Milliarden Euro im Jahr. In erheblichem Maße sind auch KRITIS-Einrichtungen (kritische Infrastruktur) betroffen, allen voran aus dem Gesundheitssektor.
Gesundheitseinrichtungen sind attraktive Ziele für Hacker
Jüngstes Beispiel ist das Universitätsklinikum Frankfurt. Es musste nach einem Hackerangriff im Oktober 2023 komplett offline gehen. Patienten kamen zum Glück nicht zu Schaden. Berichten zufolge, kann das Universitätsklinikum aktuell keine Rechnungen an Kostenträger stellen. Prüfungen durch den medizinischen Dienst der Krankenkassen sind ebenfalls nicht möglich, da beide Prozesse ausschließlich digital ablaufen.
Was Kliniken, Arztpraxen und Pflegeeinrichtungen für Cyberkriminelle so attraktiv macht? Die Institutionen gehören zur kritischen Infrastruktur (KRITIS) und agieren mit sensiblen und höchst schützenswerten Daten. Erfolgreiche Cyberangriffe stoßen daher nicht nur auf hohes öffentliches Interesse, sondern können auch für Patienten und Unternehmen gleichermaßen lebensbedrohlich sein. Dies verleiht Lösegeldforderungen zusätzlichen Nachdruck.
Neue EU-Vorgabe: Auch für Arztpraxen und Apotheken
Die von der Europäischen Union Anfang 2023 verabschiedete NIS2-Richtlinie wird dazu beitragen, die Cyber-Resilienz im Gesundheitssektor zu stärken. Die Richtlinie muss bis Oktober 2024 in nationales Recht überführt werden.
Neu ist, dass durch NIS2 Schärfe und Umfang der geforderten Maßnahmen zunehmen werden. Große Krankenhäuser gelten schon heute als KRITIS-Einrichtungen und müssen hohe Anforderungen an die IT-Sicherheit erfüllen. Durch NIS2 wird der Kreis der regulierten Einrichtungen deutlich erweitert. Der Gesetzesentwurf sieht eine Einteilung in drei Klassen vor, er unterscheidet in „Betreiber kritischer Anlagen“, „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Gesundheitseinrichtungen fallen je nach Beschäftigtenanzahl und Umsatz- bzw. Bilanzsumme in eine der drei Klassen.
Welche Einrichtungen sind betroffen? Beispiele im Healthcare-Sektor :
| Betreiber kritischer Anlagen | Besonders wichtige Anlagen | Wichtige Anlagen |
| Krankenhäuser mit mehr als 30.000 vollstationären Fällen im Jahr | Krankenhäuser mit mehr als 250 Mitarbeitenden im Jahr | Fachkliniken mit 50 bis 249 Mitarbeitenden und weniger als 50 Mio. Euro Umsatz |
| Apotheken mit mehr als 4,65 Mio. abgegebenen Packungen pro Jahr | Therapiezentren mit mehr als 50 Mio. Euro Umsatz bzw. über 43 Mio. Euro Bilanzsumme | Arztpraxen mit weniger als 50 Mitarbeitenden ab einem Umsatz von 10 Mio. Euro |
NIS2 stellt den Healthcare-Sektor vor Herausforderungen
Durch NIS2 ist mit erheblichen Herausforderungen für die Akteure verbunden. Zumal bei Verstößen hohe Bußgelder drohen und die Verantwortlichen persönlich haften.
Die fünf größten Handlungsfelder und Herausforderungen im Überblick:
- Hohe Anforderungen an Datenschutz und IT-Sicherheit: Der Schutz sensibler Daten und IT-Sicherheit müssen durch technische und organisatorische Maßnahmen (TOM) sichergestellt werden. Dazu gehören Lösungen für Krisenmanagement, Cyberhygiene, Kryptografie und Datensicherheit sowie Technologien für sichere Authentifizierung, die Notfallkommunikation oder Backup- und Wiederherstellungspläne.
- Veraltete Technologien: Die neuen Anforderungen werden nicht selten auf veraltete Technologien treffen. Letzte sind schon heute ein Problem. So gehen laut aktuellem BSI-Lagebericht1 im Gesundheitssektor fast die Hälfte aller Störfallmeldungen auf Ausfälle oder Beeinträchtigungen von Dienstleistungen zurück, wobei als Grund für Ausfälle meist technisches Versagen genannt wurde – etwa von Hard- oder Software.
- Finanzieller und personeller Ressourcenmangel: Für eine technische Erneuerung fehlt es oft an finanziellen und personellen Ressourcen. Beispiel öffentliches Gesundheitswesen: Hier werden größere Investitionen schon aus Planungs- und Haushaltsgründen meist nur alle vier oder fünf Jahre getätigt. Hinzu kommt, dass IT-Fachkräfte fehlen und kaum zu bekommen sind.
- Fehlendes Sicherheitsbewusstsein: Unwissenheit sowie mangelndes Risiko- und Sicherheitsbewusstsein sind wichtige Einfallstore für Cyberkriminelle. Daher sieht die NIS2-Richtlinie regelmäßige Schulungen vor. Betroffene Unternehmen müssen diese ab 2024 organisieren und geeignete Nachweisprozesse etablieren.
-
Umfangreiche Melde- und Berichtspflichten: IT-Sicherheitsvorfälle sind dem BSI innerhalb von 24 Stunden zu melden. Das gilt künftig auch für Einrichtungen, die damit bislang keine Erfahrung haben. Zudem benötigen die Organisationen ein Business Continuity Management inklusive geeigneter Backup- und Recovery-Prozesse. Auch dies dürfte für hohen Beratungsbedarf sorgen.
Auf NIS2-ready umstellen: mit führenden IT-Lösungen und ACP
Der Countdown läuft: Im Oktober 2024 tritt in Deutschland das Gesetz zur Umsetzung von NIS-2 in Kraft. Kein Grund zur Beunruhigung, sondern eine Chance. Denn in ACP IT Solutions finden Betriebe aus dem Gesundheitswesen einen Partner, der sie kompetent berät und mit einem breiten Angebot an IT-Lösungen und sowie Finanzierungs- und Nutzungsmöglichkeiten immer die passende Antwort im Portfolie hat.
HPE GreenLake steht für IT-Landschaften auf neuestem Stand der Technik. Die Hard- und Software wird individuell konfiguriert und verbrauchsbasiert abgerechnet – bei Bedarf auch in Kombination mit Managed Services von ACP. Wichtig: Die Egde-to-Cloud-Plattform kann auch als On-Premises-Lösung realisiert werden und erfüllt höchste Sicherheits- und Datenschutzanforderungen.
HPE GreenLake-Vorteile auf einen Blick:
- Kostentransparenz: Sie zahlen monatsweise nur für die Hard- und Softwareressourcen, die Sie auch nutzen.
- Skalierbarkeit: zusätzliche Kapazität kann jederzeit und kurzfristig bereitgestellt werden.
- Entlastung: ACP übernimmt auf Wunsch sämtliche Installations-, Wartungs- und Monitoringaufgaben.
Fazit: Wer NIS2 als Chance nutzen will, handelt jetzt
Je früher Sie mit der Umstellung auf eine NIS2-konforme IT-Landschaft beginnen, desto eher profitieren Sie von den Vorteilen. Was dafür zu tun ist, wie viel Aufwand die Umstellung erfordert und welchen Nutzen sie bringt? Unsere Expertinnen und Experten von ACP beraten Sie gern.
Jetzt Beratungsgespräch vereinbaren
Jetzt teilen
Bereit für NIS2? Was die neue Richtlinie fordert und wie Sie jetzt handeln sollten
Technologie leicht gemacht: So zünden Sie die Booster für Ihren Workplace
