Das Gesundheitswesen wird immer digitaler: Digitale Patientenakten, elektronische Gesundheitskarte, Telematikinfrastruktur (TI) und vieles mehr. Diese Entwicklung bietet enorme Vorteile, birgt aber auch Risiken. So werden Healthcare-Organisationen immer öfter Opfer von Cyberkriminalität. Umso wichtiger ist eine IT-Security, die dem kommenden NIS2-Standard entspricht. Welche Organisationen des Gesundheitswesens die Vorgaben der neuen EU-Richtlinie erfüllen müssen und wie dies gelingt, erfahren Sie hier.
Gesundheitseinrichtungen sind attraktive Ziele für Hacker
Neue EU-Vorgaben - auch für Arztpraxen und Apotheken
NIS2 stellt den Healthcare-Sektor vor Herausforderungen
Auf NIS2-ready umstellen: mit führenden IT-Lösungen und ACP
Fazit: Wer NIS2 als Chance nutzen will, handelt jetzt
Die Cybersicherheitslage in Deutschland ist besorgniserregend. Zu dieser Einschätzung kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Anfang November 2023 vorgestellten Bericht zur Lage der IT-Sicherheit. Der volkswirtschaftliche Schaden durch Cyberkriminalität liegt bei rund 206 Milliarden Euro im Jahr. In erheblichem Maße sind auch KRITIS-Einrichtungen (kritische Infrastruktur) betroffen, allen voran aus dem Gesundheitssektor.
Jüngstes Beispiel ist das Universitätsklinikum Frankfurt. Es musste nach einem Hackerangriff im Oktober 2023 komplett offline gehen. Patienten kamen zum Glück nicht zu Schaden. Berichten zufolge, kann das Universitätsklinikum aktuell keine Rechnungen an Kostenträger stellen. Prüfungen durch den medizinischen Dienst der Krankenkassen sind ebenfalls nicht möglich, da beide Prozesse ausschließlich digital ablaufen.
Was Kliniken, Arztpraxen und Pflegeeinrichtungen für Cyberkriminelle so attraktiv macht? Die Institutionen gehören zur kritischen Infrastruktur (KRITIS) und agieren mit sensiblen und höchst schützenswerten Daten. Erfolgreiche Cyberangriffe stoßen daher nicht nur auf hohes öffentliches Interesse, sondern können auch für Patienten und Unternehmen gleichermaßen lebensbedrohlich sein. Dies verleiht Lösegeldforderungen zusätzlichen Nachdruck.
Die von der Europäischen Union Anfang 2023 verabschiedete NIS2-Richtlinie wird dazu beitragen, die Cyber-Resilienz im Gesundheitssektor zu stärken. Die Richtlinie muss bis Oktober 2024 in nationales Recht überführt werden.
Neu ist, dass durch NIS2 Schärfe und Umfang der geforderten Maßnahmen zunehmen werden. Große Krankenhäuser gelten schon heute als KRITIS-Einrichtungen und müssen hohe Anforderungen an die IT-Sicherheit erfüllen. Durch NIS2 wird der Kreis der regulierten Einrichtungen deutlich erweitert. Der Gesetzesentwurf sieht eine Einteilung in drei Klassen vor, er unterscheidet in „Betreiber kritischer Anlagen“, „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Gesundheitseinrichtungen fallen je nach Beschäftigtenanzahl und Umsatz- bzw. Bilanzsumme in eine der drei Klassen.
Welche Einrichtungen sind betroffen? Beispiele im Healthcare-Sektor :
Betreiber kritischer Anlagen | Besonders wichtige Anlagen | Wichtige Anlagen |
Krankenhäuser mit mehr als 30.000 vollstationären Fällen im Jahr | Krankenhäuser mit mehr als 250 Mitarbeitenden im Jahr | Fachkliniken mit 50 bis 249 Mitarbeitenden und weniger als 50 Mio. Euro Umsatz |
Apotheken mit mehr als 4,65 Mio. abgegebenen Packungen pro Jahr | Therapiezentren mit mehr als 50 Mio. Euro Umsatz bzw. über 43 Mio. Euro Bilanzsumme | Arztpraxen mit weniger als 50 Mitarbeitenden ab einem Umsatz von 10 Mio. Euro |
Durch NIS2 ist mit erheblichen Herausforderungen für die Akteure verbunden. Zumal bei Verstößen hohe Bußgelder drohen und die Verantwortlichen persönlich haften.
Die fünf größten Handlungsfelder und Herausforderungen im Überblick:
Umfangreiche Melde- und Berichtspflichten: IT-Sicherheitsvorfälle sind dem BSI innerhalb von 24 Stunden zu melden. Das gilt künftig auch für Einrichtungen, die damit bislang keine Erfahrung haben. Zudem benötigen die Organisationen ein Business Continuity Management inklusive geeigneter Backup- und Recovery-Prozesse. Auch dies dürfte für hohen Beratungsbedarf sorgen.
Der Countdown läuft: Im Oktober 2024 tritt in Deutschland das Gesetz zur Umsetzung von NIS-2 in Kraft. Kein Grund zur Beunruhigung, sondern eine Chance. Denn in ACP IT Solutions finden Betriebe aus dem Gesundheitswesen einen Partner, der sie kompetent berät und mit einem breiten Angebot an IT-Lösungen und sowie Finanzierungs- und Nutzungsmöglichkeiten immer die passende Antwort im Portfolie hat.
Je früher Sie mit der Umstellung auf eine NIS2-konforme IT-Landschaft beginnen, desto eher profitieren Sie von den Vorteilen. Was dafür zu tun ist, wie viel Aufwand die Umstellung erfordert und welchen Nutzen sie bringt? Unsere Expertinnen und Experten von ACP beraten Sie gern.