Mit der zunehmenden Digitalisierung im Gesundheitswesen steigt die Zahl der Cyberangriffe. Analog zum medizinischen und technischen Fortschritt entwickeln sich auch die Attacken weiter: Sie werden komplexer und die Angreifer immer perfider. Um kritische Infrastrukturen besser vor Cyberbedrohungen zu schützen, hat die Europäische Union die Richtlinie NIS-2 (Network and Information Security Directive) auf den Weg gebracht. Deren Ziel ist es, EU-weit ein hohes und vor allem einheitliches Schutzniveau zu gewährleisten. In Deutschland erweitert die neu Richtlinie die Regulierung für kritische Infrastrukturen (KRITIS).

Mehr Unternehmen verpflichtet

Die NIS-2-Richtlinie ist seit Januar 2023 in Kraft und muss bis spätestens 17. Oktober 2024 von den betroffenen Organisationen verbindlich umgesetzt werden. Insbesondere im deutschen Gesundheitssektor, zu dem viele Krankenhäuser gehören, wird diese Verpflichtung in größerem Umfang relevant sein als zuvor. Bisher waren die obligatorischen Informationssicherheitsmaßnahmen gemäß der KRITIS-Verordnung ausschließlich auf Kliniken ausgerichtet, die den Schwellenwert von 30 000 vollstationären Fällen pro Jahr überschritten und daher unter KRITIS fielen. Im Gegensatz dazu spielen bei NIS-2 diese Schwellenwerte keine Rolle. Die neue Direktive gilt stattdessen für alle Gesundheitseinrichtungen, die mehr als 50 Mitarbeitende beschäftigen oder einen Jahresumsatz bzw. eine Bilanzsumme von mehr als zehn Millionen Euro aufweisen.

Die neue Direktive gilt für alle Gesundheitseinrichtungen, die mehr als 50 Mitarbeitende beschäftigen oder einen Jahresumsatz von mehr als zehn Millionen Euro aufweisen.

Apropos KRITIS: Krankenhäuser, die bereits zur kritischen Infrastruktur zählen, stehen schon seit geraumer Zeit vor den erhöhten Herausforderungen im Bereich der Cybersecurity. Im Gegensatz dazu müssen auch alle anderen Krankenhäuser, die nicht unter die Kategorie der kritischen Infrastruktur fallen, gemäß Paragraf 75c SGB V den aktuellen Stand der Technik in puncto Informationssicherheit umsetzen.

Um sicherzustellen, dass ihre Informationssysteme robust und sicher sind, setzen sie auf den sogenannten branchenspezifischen Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft. Dieser Standard wird in enger Zusammenarbeit mit dem Branchenarbeitskreis „Medizinische Versorgung“ kontinuierlich weiterentwickelt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft. 

Effektives Risikomanagement für besseren Cyberschutz

Der Kern des B3S liegt in der Umsetzung technischer und organisatorischer Maßnahmen, die sich aus der Bewertung vorhandener Cyberrisiken ergeben. Dabei strebt man den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) an. Für Verantwortliche im Krankenhaus ist es wichtig zu wissen, dass sie bei der Umsetzung von NIS-2 auf den etablierten Standard B3S zurückgreifen können, da dieser bereits sämtliche von NIS-2 vorgegebenen organisatorischen und technischen Maßnahmen abbildet. Krankenhäuser, die diesen Standard bereits umgesetzt haben, erfüllen somit bereits die Anforderungen der neuen Richtlinie.

Effektives Risikomanagement für besseren Cyberschutz für diejenigen, die noch nicht den B3S implementiert haben, wirft die Einführung von NIS-2 – wie so oft bei regulatorischen Veränderungen – einige Fragen auf. Insbesondere stellt sich die Frage nach den spezifischen technischen und organisatorischen Maßnahmen, die Krankenhäuser konkret umsetzen müssen. Die neuen Verpflichtungen verlangen beispielsweise die Einführung eines dreiteiligen Melderegimes für Sicherheitsvorfälle sowie die Implementierung eines effektiven Risikomanagements.

Im Falle eines Vorfalls sind Krankenhäuser verpflichtet, die zuständigen nationalen Behörden und das entsprechende Computer Emergency Response Team unverzüglich zu informieren.

Im Falle eines Vorfalls sind Krankenhäuser verpflichtet, die zuständigen nationalen Behörden und das entsprechende Computer Emergency Response Team unverzüglich zu informieren. Diese Meldung sollte detaillierte Informationen zum Vorfall selbst, den betroffenen Systemen und den ergriffenen Gegenmaßnahmen enthalten. Gleichzeitig sieht die Richtlinie vor, dass Krankenhäuser nach einem zuvor festgelegten Notfallplan unverzüglich Gegenmaßnahmen ergreifen. Zur Einhaltung der NIS-2-Richtlinie sind Krankenhäuser auch dazu verpflichtet, ihre Sicherheitsmaßnahmen in regelmäßigen Abständen zu überprüfen und zu bewerten. Es ist erforderlich, diese Maßnahmen entsprechend anzupassen, wenn neue Richtlinien veröffentlicht werden oder sich die Cyberbedrohungen ändern.

Mitarbeitende stärker sensibilisieren

Um ihre Anwendungen, Daten und IT-Systeme umfassend zu schützen, müssen Krankenhäuser angemessene Vorkehrungen treffen. Hierzu gehören klassische Instrumente wie die Einführung von Firewalls, Antivirensoftware oder Backup-Lösungen. Die Security-Maßnahmen müssen auf einer umfassenden Risikoanalyse basieren, die auch die Identifikation potenzieller Bedrohungen und Schwachstellen umfasst. Hierfür ist der Einsatz von Security Information and Event Management (SIEM) sinnvoll. Dabei handelt es sich um Softwarelösungen, die sämtliche Aktivitäten im Netzwerk und in IT-Systemen überwachen. So erleichtern sie die Erkennung und Analyse von Cyberbedrohungen sowie eine entsprechende Reaktion, bevor der Geschäftsbetrieb gestört wird.

Ein weiteres Augenmerk der Richtlinie liegt auf dem menschlichen Faktor – Stichwort Social Engineering. Immer wieder versuchen Cyberkriminelle, Mitarbeitende zu manipulieren und so einen Zugang zu IT-Systemen, Anwendungen oder sensiblen Informationen zu erhalten. Vor diesem Hintergrund sieht NIS-2 vor, dass Krankenhäuser ihre Mitarbeitenden in Sachen Cybersicherheit kontinuierlich schulen müssen. Es gilt, ein SecurityAwareness-Programm zu implementieren, das Belegschaft und Geschäftsführung gleichermaßen für potenzielle Gefahren sensibilisiert und bewährte Verfahren vermittelt, die darauf abzielen, Sicherheitsvorfällen zuvorzukommen und angemessen darauf zu reagieren.

Das Ziel: Die Resilienz stärken

Die Verantwortlichen in Krankenhäusern sollten NIS-2 einen hohen Stellenwert einräumen. Zum einen muss die Geschäftsführung die Umsetzung der Maßnahmen überwachen und haftet für Verstöße. Die Pflicht zur Überwachung und die Pflicht zur persönlichen Teilnahme an Schulungen sind nicht (vollständig) delegierbar. Zum anderen drohen bei Verstößen, beispielsweise gegen das erforderliche Risikomanagement oder die Meldepflicht von Sicherheitsvorfällen, empfindliche Bußgelder – von Imageschäden ganz zu schweigen. Vorgesehen ist bei wichtigen Einrichtungen im Sinne des Gesetzes ein Betrag von zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist.

Kein Wunder, dass die neue EU-Direktive die Führungsebene in puncto Cybersicherheit weiter sensibilisiert. Und das ist auch gut so. Denn Organisationen mit einem hohen Schutzniveau sind widerstandsfähiger. Sie können schneller auf neue Anforderungen reagieren und potenzielle Risiken abmildern. Krankenhäuser sollten Cybersicherheit daher stets über die seitens der Regulatorik geforderten Lösungen hinaus als wichtigen integralen Bestandteil ihrer Geschäftsstrategie sehen.

Um über technische Sicherheitsmaßnahmen und Schulungen hinaus eine ganzheitliche Cybersicherheitsstrategie umzusetzen, unterstützen erfahrene Expertinnen und Experten. Sie zeigen Krankenhäusern auf, wie sie mit den Anforderungen und Zielen der NIS2-Richtlinie ein stabiles Fundament schaffen, um sich in Zukunft bestmöglich vor Cyber-Bedrohungen zu schützen.