Startseite > Medizintechnik > E-Health > In 8 Schritten zur NIS2-Umsetzung im Gesundheitswesen

Medizinische IT-Sicherheit

In 8 Schritten zur NIS2-Umsetzung im Gesundheitswesen

23. Mai 2024, 9:30 Uhr | Stefan Karpenstein, G DATA CyberDefense

Auch Healthcare-Organisationen müssen die NIS2-Richtlinie bis Mitte Oktober umgesetzt haben - die Zeit drängt.

Die EU-Direktive NIS2 tritt Mitte Oktober 2024 in Kraft, für viele Healthcare-Organisationen besteht Handlungsbedarf - sie müssen schnell ihr IT-Sicherheitsniveau erhöhen. Diese acht Maßnahmen helfen, die Frist einzuhalten.

▶ Diesen Artikel anhören

Der medizinischen Sektor ist für Cyberkriminelle ein attraktives Ziel, wie zum Jahresanfang eine Attacke auf Kliniken im Kreis Soest wieder einmal bewiesen hat. Solche Attacken zeigen nicht nur, wie groß die digitale Abhängigkeit in der Gesundheitswirtschaft ist, sondern auch, wie anfällig der gesamte Sektor ist.

IT-Sicherheit hat allein unter dem Aspekt der Verfügbarkeit schon eine hohe Bedeutung – Patienten müssen sich darauf verlassen können, dass die gespeicherten Behandlungsdaten korrekt sind und dass ihre Privatsphäre geschützt ist, während medizinisches Personal die korrekte und zeitnahe Versorgung sicherstellen muss. Diese Bedeutung hat auch der Gesetzgeber erkannt und schon frühzeitig mit KRITIS entsprechende Vorgaben gemacht, um die IT-Sicherheit in Kliniken zu verbessern. Daher sind rechtliche Vorgaben zu IT-Sicherheit nicht wirklich neu.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

NIS2 erhöht den Druck auf Healthcare-IT

Die NIS-2-Direktive weitet allerdings den Anwendungsbereich deutlich aus und stellt auch viele kleinere und mittlere Gesundheitseinrichtungen vor eine große Herausforderung. Hinzu kommt: Viele medizinische Hersteller sind von der NIS-2 nicht direkt betroffen, sondern nur indirekt – etwa, weil sie eine von NIS2- betroffene Organisation beliefern. Diese Unternehmen haben die Pflicht, ihre Lieferkette mit geeigneten Mitteln abzusichern. Die NIS-2 sieht vor, dass auch diese einen gewissen Sicherheitsstandard erfüllen müssen. Und auch viele Firmen oder Institutionen mit kleinen IT-Abteilungen waren bisher von regulatorischen Vorgaben ausgenommen und stehen mit Deadline Mitte Oktober vor einem zeitlichen und organisatorischen Kraftakt.

Um die NIS2-Vorgaben zu erfüllen, sollten betroffene Organisationen acht Maßnahmen auf den Weg bringen.

1. Projektgruppe bilden

Um alle zuständigen Stellen miteinander zu vernetzen, braucht es ein NIS-2-Projekt und eine entsprechende Projektgruppe. Teilnehmende Personen könnten sein: die Geschäftsleitung, die IT-Verantwortlichen sowie die IT-Sicherheitsverantwortlichen und alle Stakeholder, die in dem Kontext relevant sind. Das sollte besser heute als morgen passieren.

Diese Projektgruppe sollte anfangs ein Cybersicherheitstraining absolvieren, damit zunächst ein gemeinsames Grundverständnis für IT-Sicherheit entsteht und die Teilnehmerinnen und Teilnehmer den Bedarf initial einschätzen können. Ohne dieses Wissen kann die Gruppe ihre Aufgabe nicht erfüllen. Wer dieses Grundverständnis bereits hat, kann direkt zu Schritt zwei übergehen.

2. Organisatorische Maßnahmen treffen

Für die Anforderungen aus der NIS-2 sind Geschäftsführende und Vorstände persönlich haftbar. Verzichtsvereinbarungen sind laut dem aktuellen nationalen Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmuCG) unwirksam. Das Gesetz verpflichtet also alle Personen in der Geschäftsführung, sich persönlich um das Thema IT-Sicherheit zu kümmern. Die Unternehmensleitung kann diese Verantwortung nicht delegieren und muss eine aktive Rolle spielen. Darüber hinaus sind Verzichtserklärungen, die diese Haftung ausschließen würden, nach dem aktuellen deutschen Gesetzentwurf unwirksam.

3. Einführung eines Informationssicherheits-Managementsystem (ISMS)

Innerhalb der NIS-2-Umsetzung braucht es ein eigenes ISMS-Projekt. Mit diesem wesentlichen Baustein für die NIS-2-Konformität lassen sich die internen IT-Strukturen dokumentieren und der Bedarf an zusätzlichen Anschaffungen und Dienstleistungen ermitteln. Im Prinzip müssen also alle betroffenen Unternehmen die ISO 27001 umsetzen. Dafür müssen viele Krankenhäuser auf externe Beratungen zurückgreifen. Im Gegenzug erhalten die Verantwortlichen auf Basis einer fundierten Analyse Klarheit darüber, was zu tun ist.

4. Lieferketten überprüfen

Wer seine Lieferkette absichern will, muss alle in Bezug auf IT-Sicherheit relevanten Lieferanten identifizieren und die eingesetzten Produkte und Dienstleistungen überprüfen. Übrigens: Die Sicherheit der Lieferkette gilt nicht nur für Waren, die per Spedition oder Paketdienst geliefert werden. Auch Software für medizinische Anwendungen oder die Patientenverwaltung zählt dazu. Dazu müssen Verantwortliche sich einen Überblick verschaffen, wie die Lieferkette überhaupt aussieht. Der Einkauf ist dabei ein wichtiger Ansprechpartner, denn diese Abteilung wickelt schließlich die Rechnungen für alle Lieferungen ab. Die Basis der Lieferanten dient als Grundlage zur Absicherung der Lieferkette. Übrigens: Auch quelloffene Software und Programmbibliotheken anderer Hersteller fallen potenziell unter diese Regelungen; dies kann für Produzenten medizinischer Geräte relevant sein.

5. Zertifizierungen der Cybersicherheit

Cybersicherheitszertifikate spielen eine zentrale Rolle bei der Vertrauensbildung gegenüber Kunden und Partnern. Dabei müssen Verantwortliche zunächst klären, ob Cybersicherheits-Zertifizierungen für ihr Unternehmen als Produzent oder Käufer relevant sind. Stellen Unternehmen ein Produkt her, welches sicherheitszertifiziert sein muss oder haben sie künftig die Pflicht, nur noch Produkte zu kaufen, die entsprechend zertifiziert sind? In Zukunft könnten Unternehmen auf Basis von Einzelfallentscheidungen dazu verpflichtet werden, ausschließlich zertifizierte Produkte aus einer bestimmten Kategorie zu erwerben. Wer selbst entsprechende Produkte oder Dienstleistungen anbietet, riskiert ohne Zertifizierungen schlimmstenfalls sogar einen Verkaufsstopp, sofern die Kunden zum Erwerb zertifizierter Produkte aufgefordert werden. Der Haken an der Sache: Aktuell fehlen die entsprechenden Rechtsverordnungen, sodass noch unklar ist, welche Produkte betroffen sein werden und wie sich neue Regelungen in bestehende Regularien einbetten. Potenziell davon betroffene Unternehmen müssen aber schon jetzt Schritte prüfen, um eine erforderliche Sicherheitszertifizierung für ihre Produkte zu erhalten.

6. Meldeprozesse definieren

Laut EU-Verordnung müssen Unternehmen innerhalb von 24 Stunden nach Bekanntwerden die zuständige Meldestelle über einen möglichen Cybersicherheitsvorfall informieren. Binnen 72 Stunden muss bereits zumindest eine Bewertung des Vorfalls abgegeben werden. Nach einem Monat verlangt die Direktive einen umfassenden Abschluss- oder zumindest einen Zwischenbericht. Hier empfiehlt sich ein Gespräch mit dem Datenschutzbeauftragten über deren Meldeprozess als Best-Practice-Beispiel.

7. Vorbereitung auf regelmäßigen Austausch

Als nächstes sieht NIS-2 ein Austauschformat vor. Dabei handelt es sich konkret um eine Plattform, auf der sich alle betroffenen Unternehmen rund um Cybersicherheit austauschen können. Organisiert wird das Ganze vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik. Es braucht Personen, die an dem Format teilnehmen, um eigene Erfahrungen zu teilen und Informationen aus diesem Kreis weiterzugeben. Welche Form diese Austausche nehmen können, ist aktuell noch in Klärung.

8. Registrierung beim BSI

Ob am Anfang oder Ende: Die Organisation muss sich beim BSI als wichtiger oder wesentlicher Betrieb registrieren. Die dafür erforderlichen Daten lassen sich in den meisten Unternehmen schnell zusammentragen. Entscheidend ist dabei auch der Schritt vor der Meldung: nämlich die Einschätzung, ob das eigene Unternehmen der NIS-2 überhaupt unterliegt.

Zeit zum Handeln

Auch wenn zurzeit noch nicht alle Fragen bei NIS-2 geklärt sind, sollten betroffene Organisationen sich besser heute als morgen mit den Vorgaben auseinandersetzen. Denn das Umsetzen der zahlreichen Maßnahmen ist kein Sprint, sondern mehr ein Marathon. (uh)