NIS-2-Richtlinie nicht nur für KRITIS relevant - Worauf Gesundheits- und Pflegeeinrichtungen achten müssen

Ausspähen von und Angriffe ausländischer Hacker oder Saboteure auf Bahnknotenpunkte, Gaspipelines oder Kliniken haben u.a.seit dem russischen Angriffskrieg stark zugenommen. Für das vergangene Jahr verzeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) insgesamt 726 Vorfälle in den Sektoren der kritischen Infrastruktur (KRITIS) – fast 50 Prozent mehr als im Jahr zuvor. Zu KRITIS im Sektor Gesundheit zählen 222 Betreiber mit 341 Anlagen. Im laufenden Jahr meldeten diese bisher 37 Störungen (Quelle: BSI). Die europäische `Network und Information Security Directive 2` (kurz NIS-2) zur Steigerung der Informationssicherheit von kritischer Infrastruktur durch digitale Angriffe ist also brandaktuell. Dabei stehen nicht nur direkt als KRITIS klassifizierte Organisationen im Feuer, sondern indirekt auch weitere Einrichtungen, wenn sie die Schwellenwerte übersteigen (z. B. mehr als 50 Mitarbeitende oder ein Jahresumsatz von mehr als 10 Millionen Euro) oder aus anderen Gründen als wichtige Einrichtungen gesehen werden. Ähnlich dem Lieferkettensorgfaltspflichtengesetz erfasst NIS-2 auch Dienstleister und Zulieferer. 

Die europäische NIS-2-Richtlinie 2022/2555, die Umsetzung in nationales Recht über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das IT-Sicherheitsgesetz BSIG 3.0 oder die Änderung der bestehenden KRITIS-Rechtsverordnung (BSI-KritisV) sorgen aktuell für Unsicherheiten – vor allem bei den Partnern, die mit KRITIS-Organisationen zusammenarbeiten. Es stellen sich viele Fragen: Welche Organisationen sind genau betroffen und welche Auswirkungen hat dies zum Beispiel auf Pflegeeinrichtungen, Labore oder Hospize? Was ist zu beachten? Oder welche Risiken drohen? Schätzungen zufolge sind in Deutschland bis zu 40.000 Unternehmen direkt oder indirekt von NIS-2 betroffen.

Die Richtlinie forciert ein höheres Maß an Cybersicherheit, was viele Unternehmen vor technologische und personelle Herausforderungen stellen wird, dennoch ist NIS-2, sowie die weiteren Richtlinien in ihrem Fahrwasser, zu begrüßen. Soll sie doch dazu führen, dass die zuletzt stark gestiegene Anzahl der Datenlecks und Hacks zurückgehen und Daten von Kunden, Mitarbeitenden und/oder Klienten besser geschützt werden. 

Langfristig werden IT-Abteilungen durch neue Technologien entlastet und das Management erhält klare Prozesse, was im Notfall zu tun ist. 

Gemäß § 28 NIS2UmsuCG fallen Erbringer von Gesundheitsdienstleistungen unter das Gesetz. Also jede juristische oder natürliche Person, oder sonstige Einrichtung, die im Hoheitsgebiet eines Mitgliedsstaats rechtmäßig Gesundheitsdienstleistungen erbringt. Die Richtlinie gilt dabei für jegliche Gesundheitsversorgung von Patienten, unabhängig davon, wie diese organisiert, erbracht oder finanziert wird. Dezidiert nicht erfasst werden unter anderem Dienstleistungen im Bereich der Langzeitpflege, deren Ziel darin besteht, Personen zu unterstützen, die auf Hilfe bei routinemäßigen, alltäglichen Verrichtungen angewiesen sind, sei es ambulant oder in Pflegeheimen. Im Umkehrschluss könnte dies bedeuten, dass aber zum Beispiel Pflegeeinrichtungen, die Patienten der Intensivpflege außerhalb von Krankenhäusern betreuen (man denke an künstliche Beatmung oder Wachkomapatienten), erfasst würden, Hospitzeinrichtungen jedoch nicht. Hierzu liegt aktuell noch keine entsprechende Rechtsprechung vor. 

Um festzustellen, ob eine Dienstleistung betroffen ist, hat sich die Identifikation des NACE-Codes als wichtiger Baustein erwiesen. Die Bewertung hat ergeben, dass nach den vorliegenden Informationen die NIS-2 bzw. das NIS2UmsuCG für die Pflege nicht direkt anzuwenden sind, trotzdem kann eine indirekte Betroffenheit nicht ausgeschlossen werden – z.B. im Rahmen der Lieferketten. Der Entwurf des BSIG 3.0 sieht beispielsweise vor, dass KRITIS-Kliniken sicherstellen müssen, dass ihre Partner und Dienstleister ebenfalls höhere IT-Sicherheitsstandards einhalten müssen. Dazu können auch Pflegedienstleistungen und die Erbringer derselbigen gehören. Dies kann beispielsweise der Fall sein, wenn regelmäßig sensible Daten ausgetauscht werden, oder Partner in das Notfall- und Krisenmanagement eingebunden sind.

Das Gesetz stellt auf „Zulieferer“ und „Dienstleister“ der kritischen Einrichtungen ab. Ob die Zusammenarbeit zwischen Krankenhäusern und ambulanten oder stationären Pflegeeinrichtungen und Hospizdiensten davon tatsächlich erfasst werden, muss sich erst noch erweisen. Pflegeeinrichtungen, die sich unsicher sind, sollten in einem NIS-2-Assessment herausfinden, ob sie unmittelbar oder mittelbar von den neuen Vorgaben erfasst werden. 

• Praxistipp: Das kostenfrei erhältliche NIS-2-Whitepaper von Althammer & Kill dient als Orientierungshilfe und zeigt auf, welche Maßnahmen Einrichtungen zur Umsetzung durchführen müssen. (Lesen Sie hier unser Whitepaper)

Zur vollständigen Bewertung der geltenden gesetzlichen Anforderungen in Sachen Informationssicherheit sollten auch die folgenden ergänzenden rechtlichen Bestimmungen nicht außer Acht gelassen werden:

• DSGVO Art. 32 „Stand der Technik“: Aus der Datenschutz-Grundverordnung ergeben sich eine Reihe von Pflichten zur Sicherstellung der Informationssicherheit. Aufgrund der aktuellen IT-Sicherheitslage haben diese in den vergangenen Jahren an Bedeutung gewonnen. Im Fall von Datenschutzvorfällen oder Cyberattacken erfragen die Aufsichtsbehörden im Bereich Datenschutz regelmäßig, welche technischen und organisatorischen Schutzmaßnahmen zur Verhinderung von Vorfällen getroffen wurden. Diese sind nachzuweisen.

• Evangelische Kirchen und Diakonien müssen das ITSVO-EKD beachten: Die IT-Sicherheitsverordnung der EKD schreibt die Erstellung eines IT-Sicherheitskonzepts für kleine, mittlere und große Organisationen vor. Dieses sollte ähnliche Maßnahmen und Strukturen enthalten, wie sie in der NIS-2-Verordnung vorgesehen sind. Auch wenn diese in der ITSVO-EKD nur sehr allgemein gehalten und beschrieben sind, führt die konkrete Ausgestaltung dann zu vergleichbaren Maßnahmen.

   

• Cyberversicherung: Sollten Einrichtungen eine Cyberversicherung abgeschlossen haben, verlangen die Anbieter in der Regel entsprechende Vorkehrungen, um mögliche einzutretende Risiken bestmöglich zu verhindern. In der Regel handelt es sich hierbei um den Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS).

Gerade im Hinblick auf die steigende Bedrohung durch Cyberkriminelle, Phishing, Schadsoftware & Co und unabhängig von NIS-2 und dem NIS2UmzuCG empfehlen wir, die Maßnahmen und Empfehlungen zu berücksichtigen und für die eigene Organisation zu implementieren. Denn die Vorfälle häufen sich: Im vergangenen Oktober wurde beispielsweise die Johannisstift Diakonie durch eine Cyberattacke lahmgelegt. Der Großteil der IT-Systeme fiel aus, neun Einrichtungen für Tages-, Kurz- und Langzeitpflege waren betroffen. Pflege- und Gesundheitseinrichtungen müssen sich daher massiv mit Prävention beschäftigen. Die Implementierung eines ISMS, unabhängig vom gewählten Standard, führen zu einer massiven Erhöhung der Informationssicherheit und Cyber-Resilienz, was im Falle eines Vorfalls die Handlungsfähigkeit massiv erhöht. Geschäftsführung und IT-Zuständige sind verantwortlich, die Geschäftsprozessen aufrechtzuerhalten und Risiken, wie z. B. durch Cyberattacken oder Betriebsunterbrechungen, abzuwehren. Entsprechende normative Vorgaben könnten sich auch durch weitere geltende Gesetze und Vorschriften, Normen und Best Practices ergeben.

Für Einrichtungen in Pflege & Sozialwirtschaft, wie Altenpflegeheime, ambulante Pflege oder betreutes Wohnen, besteht Unklarheit. Sie scheinen mehrheitlich nicht unter die Neuregelungen zu fallen. Für Einrichtungen, die intensivmedizinische Pflege anbieten, sieht dies anders aus. Auch dürften manche Einrichtungen durch ihre Träger direkt unter das NIS2UmsuCG betroffen sein. Auch bestehen mittelbare Verpflichtungen, je nach Größe, Struktur und Leistungsangebot der Organisation. Wir gehen davon aus, dass 

sich NIS-2 und die weiteren Regelungen zum branchenübergreifenden Orientierungsrahmen entwickeln, der künftig „Reifegrad“ und „Stand der Technik“ bewertet. Die aktuelle Cyber-Bedrohungslage, allgemeine gesetzliche Vorgaben und Fürsorgepflichten für die anvertrauten Menschen erfordern eine aktivere Auseinandersetzung mit Informationssicherheit und Business-Continuity-Management.