NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz und was uns erwartet

veröffentlicht am 17. Mai 2024 | Lesedauer ca. 2 Minuten

„Die Umsetzung von Cybersicherheitsmaßnahmen ist Pflicht, aber keiner fühlt sich verpflichtet.” So könnte man die Umsetzungsbereitschaft für die ehemals geltende NIS-Richtlinie (EU) 2016/1148 vom 06.07.2016 auf die Cybersicherheit in Europa bewerten.

Die EU hat daher nachgelegt und verpflichtet mit der NIS-2-Richtlinie Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von mindestens 10 Millionen Euro zur Umsetzung der Cybersicherheit im Unternehmen.

Auch in der Gesundheitswirtschaft fallen viele Unternehmen unter das „NIS2UmsuCG“. Dabei handelt es sich um ein Änderungsgesetz, das bestehende Gesetze anpasst, insbesondere die KRITIS-Teile des BSI-Gesetzes (BSIG-E). Das NIS2UmsuCG überführt die EU-weiten Mindeststandards für Cybersicherheit in die deutsche Regulierung und soll ab Oktober 2024 in Kraft treten.

Einige Beispiele für Dienstleister in der Gesundheitsbranche sind Krankenhäuser, Referenzlabore, Forschungs- und Entwicklungsunternehmen, Pharmazeutische Erzeuger oder Medizinproduktehersteller.

Nicht nur, dass sie Meldepflichten einhalten und konkrete Vorgaben zu Sicherheitsmaßnahmen umsetzen müssen, zukünftig sind auch die Dienstleister dahingehend zu bewerten, ob diese ein ausreichendes Sicherheitsniveau haben.

Erstmalig drohen bei Nichtumsetzung der Vorgaben hohe Geldstrafen: Es gibt erweiterte Sanktionsvorschriften mit neuen Bußgeldtatbeständen und erhöhten Bußgeldern zwischen 100.000 und 20 Millionen Euro, teils gekoppelt an den weltweiten Umsatz. Die Vorgaben lassen sich somit nicht mehr ignorieren.

Für Krankenhäuser empfiehlt sich der Aufbau eines ISMS auf Basis des Branchenspezifischen Sicherheitsstandards (B3S) für Medizinische Versorgung (vgl. § 391 SGB V). Damit ist ein Großteil der NIS2-Anforderungen abgedeckt. Darüber hinaus muss geprüft werden, welche zusätzlichen Anforderungen auf Basis NIS2 zu erfüllen sind, damit diese in zukünftigen Nachweisverfahren nicht zu Problemen führen.

Der Aufbau der Informationssicherheit mit der Identifizierung und Bewertung von IT-Sicherheitsrisiken, einem angemessenen Risikomanagement oder der konkreten Umsetzung von technischen IT-Sicherheitsmaßnahmen erfordert Erfahrung bei der Realisierung. Dies ist besonders wichtig für Krankenhäuser oder Labore, insbesondere wenn sie kleinere Häuser sind, mit beschränkten personellen und finanziellen Ressourcen ausgestattet sind und diese daher effizient einsetzen müssen.

AUTOREN

Jonas Buckel	Carina Richters

Aus dem Themenspecial

Informationssicherheit
im Krankenhaus

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

WIR BERATEN SIE GERN!

NEWSLETTER

Newsletter Gesundheits- und Sozialwirtschaft

Unternehmer-briefing

Kein Themenspecial verpassen mit unserem Newsletter!

Jetzt anmelden – 25. Forum Global am 20. Juni 2024 in Nürnberg » |