Die Bedeutung von gewerblicher Cybersecurity wächst mit Zunahme der Bedrohung. Die Gesetzgeber verlangen von immer mehr Branchen und Unternehmen, dass sie den Schutz ihrer Geschäfte und Kunden verbessern. Die EU hat deshalb auch die EU-Vorschriften zur Cybersicherheit erweitert, im Dezember 2022 wurde die „2. EU-Richtlinie zur Netzwerk- und Informationssicherheit“ (NIS-2-Richtlinie) beschlossen, diese muss von den EU-Mitgliedsstaaten bis zum 17.10.2024 in nationales Recht umgesetzt werden. Die Bundesregierung hat nun das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) auf den Weg gebracht, dieses muss vom Bundestag beschlossen werden.
Das Gesundheitswesen zählt zu den kritischen Sektoren. Bislang waren nur Krankenhäuser von den Vorschriften betroffen, dieses ändert sich mit der NIS-2-Richtlinie schlagartig. Künftig sind auch große Praxen, BAG und MVZ betroffen, wenn eins von zwei Kriterien nach § 28 Absatz 2 Nr. 3 NIS2UmsuCG zutreffen, und zwar
– mindestens 50 Mitarbeiter,
– über 10 Mio. € Jahresumsatz
Davon sind somit zumindest die großen Einrichtungen sowie umsatzstarke Praxen aus Radiologie, Nuklearmedizin, Nephrologie und Labormedizin betroffen. Nach den neuen NIS-2-Kriterien könnten aber auch zahlreiche MVZ in ärztlicher Trägerschaft betroffen sein. Insbesondere in kapitalintensiven Fachausrichtungen können aufgrund des „Oder“-Kriteriums auch Standorte mit weniger als 50 Mitarbeitern betroffen sein, dieses gilt insbesondere für die Gesellschaften im Bereich der Radiologie und Nephrologie.
Offen ist, wann auch andere MVZ und BAG unter die Regelung fallen. Soweit eine Gesellschaft mit 10 oder mehr Ärzt:innen besteht, ist die Grenze von 50 Mitarbeitern schnell erreicht. Offen ist jedoch noch, wie der Begriff „Mitarbeiter“ zu werten ist, ob zum Beispiel auch Azubis oder geringfügig Beschäftigte mitgezählt werden. Insoweit ist von mindestens 1.000 Praxen bundesweit auszugehen, die mit hoher Wahrscheinlichkeit den Anforderungen und Sanktionen dieser neuen Regelung unterliegen.
Insbesondere gilt es, ein Bewusstsein gerade bei den Einrichtungen zu schaffen, bei denen sich die Zahl der Mitarbeiter um die 50 oder der Umsatz um die 10 Mio. herum bewegen. Unklar ist auch, worauf sich die Aufgreifkriterien beziehen auf den Standort oder die Gesellschaft (Sitz einer GmbH). Diese Frage ist vor allem für einen kleinen regionalen Verbund aus mehreren MVZ-Hauptbetriebsstätten entscheidend.
Aktuell werden vor allem bei MVZ-Gruppen mit Investorenhintergrund die notwendigen Investitionen und laufenden Kosten abgeschätzt, es wird mit Kosten von einer sechsstelligen Größenordnung gerechnet. Von den Kosten sind regelmäßige Risikobewertungen, Schulungen, Audits, Meldungen von Sicherheitsvorfällen, Sicherstellung der Informationssicherheit abzudecken. Je nach externer Unterstützung steigen diese Kosten.
Ob ein Unternehmen betroffen ist, muss selbstständig überprüft werden. Im Fall der Betroffenheit besteht eine Registrierungspflicht bei der neuen Meldestelle, die beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichtet wird. Für signifikante Sicherheitsvorfälle gibt es gegenüber dieser Meldestelle künftig Meldepflichten, vorgesehen ist:
– Erstmeldungen binnen 24 Stunden nach Kenntnisnahme eines Vorfalls
– Bewertung und Schwere von Auswirkungen binnen 72 Stunden
– Abschlussmeldung binnen eines Monats
Die Mindestanforderungen an die IT-Sicherheit müssen umgesetzt werden, darunter ein Vorfallsmanagement, ein Business Continuity Plan, regelmäßige Mitarbeiterschulungen zur Cybersicherheit, Einsatz moderner Verschlüsselungstechnik, Multi-Faktor-Authentifizierung und weiteres.
Soweit infrage kommende Praxen, Praxisnetze, MVZ oder Kliniken die Betroffenheitsprüfung vornehmen, stellt das BSI hier als Orientierungshilfe eine Prüfung in Form eines anonymen Fragebogens zur Verfügung (https://betroffenheitspruefung-nis-2.bsi.de/). Dieses ist allerdings nur eine Orientierungshilfe und nicht rechtlich bindend. Aufgrund der knappen Frist ist hierzu Eile geboten, um die Umsetzungsfrist einzuhalten.
Die Einrichtungen müssen im Rahmen der eigenverantwortlichen Prüfung festlegen, ob sie die Kriterien zur Einstufung als „besonders wichtige Einrichtung“ (KRITIS) oder als „wichtige Einrichtung“ im Sinne des NIS2UmsCG erfüllen. Innerhalb von 3 Monaten muss dann eine Registrierung beim BSI erfolgen.
Insoweit besteht ein gewisser Handlungsbedarf, wobei auch viele Anforderungen aus dem NIS2UmsuCG nicht neu sind. Technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit ergeben sich bereits aus der DSGVO. Gegebenenfalls müssen bestehende Risiken neu bewertet werden. Beispielsweise könnte beim Einsatz von Cloud-Lösungen noch mehr überdacht werden, ob die damit einhergehenden Netzwerköffnungen und Weitergabe von Patientendaten an Dritte wirklich erforderlich ist oder ob der Zweck auch mit Offline-Lösungen erreichbar ist.
Es ist zu empfehlen, die Maßnahmen aus dem branchenspezifischen Sicherheitsstandard (B3S) für die medizinische Versorgung umzusetzen. Hierzu geben auch BÄK und KBV mit ihren „Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung“ eine umfassende Orientierungshilfe.
Kontakt: Jörg Hohmann