„Bei der EU-Richtlinie NIS 2 handelt es sich um eine Mittelstandsregulierung“, so Schultejans. „Sie betrifft viele kleine Häuser und Dienstleister im Gesundheitswesen, die bisher nicht im Fokus der IT-Sicherheitsregulierung erfasst wurden.“ Auch Rehabilitationseinrichtungen würden „mit ziemlicher Sicherheit“ betroffen sein. Sie sollten sich darum unbedingt an den Vorgaben orientieren, um auf der sicheren Seite zu sein.“

Die EU wolle mit der Richtlinie niemanden schikanieren, unterstrich er. „Der Fokus liegt vielmehr auf dem Schutz der Betreiber und Betroffenen. Es geht darum, die Cyberresilienz zu stärken und die eigene Leistungsfähigkeit sicherzustellen – was letztlich im Eigeninteresse der Einrichtungen ist.“ Es werde einen aktiven Austausch geben. „Sie müssen Sicherheitsvorfälle künftig innerhalb von 24 Stunden beim BSI melden. Umgekehrt erhalten Sie Ihrerseits vom BSI Informationen über bestehende Bedrohungslagen und mit welchen Maßnahmen Sie diesen begegnen können.“

Vieles ist bereits selbstverständlich

Viele Aspekte der NIS 2 seien zumindest für die Akutkrankenhäuser nichts Neues, beruhigte Schultejans. „Es gibt im Gesundheitsbereich ja bereits klare Regulierungen für die IT- und Informationssicherheit. NIS 2 überschneidet sich in vielen Punkten mit den IT-Sicherheitsanforderungen aus § 391 SGV an Krankenhäuser. Es aktualisiert das BSIG. Somit ist vieles, was gefordert wird, ohnehin bereits eine Selbstverständlichkeit. Der Handlungsbedarf besteht eher in der Dokumentation.“ Lukas Mempel, Konzerndatenschutzbeauftragter der Sana Kliniken, ergänzte: „Auch B3S geht weit über die Anforderungen aus NIS 2 hinaus. Die Anforderungen sind also machbar.“

Worauf kommt es jetzt an?

Wichtig sei für alle Betroffenen nun zunächst die Analyse und das Verständnis der eigenen IT- und Informationssicherheitsrisiken, der eigenen Fähigkeit, Sicherheitsrisiken überhaupt zu erkennen sowie ein daraus resultierender sinnvoller Maßnahmenplan. Cloudanwendungen ohne sichere Authentifikation (Multifaktor) seien beispielsweise ein No-Go.

Überdies müssten Lieferanten künftig stärker überwacht werden, „denn gegenwärtig sind Lieferantenkettenangriffe sehr häufig. Beispielsweise werden Fernzugriffskonzepte durch Hacker ausgenutzt.“ Ein weiterer wichtiger Punkt: IT-Dienstleister und Cloud-Provider von Krankenhausbetrieben müssen (bereits heute nach §393 SGB V) über ein C5-Testat vom Typ 2 verfügen, um weiterhin eingesetzt werden zu dürfen. ISO 27001 reicht nicht mehr aus. „Wo all die zertifizierten IT-Dienstleister herkommen sollen, ist mir ein Rätsel“, gab er zu. Eines der größten Sicherheitsrisiken sei zudem die mangelnde Personalausstattung und das mangelnde Knowhow. Hier schlage die Unterfinanzierung zu Buche. Schultejans riet zu Handeln mit Maß und Ziel. „Es macht keinen Sinn, jetzt alle möglichen Sicherheits-Features einzukaufen. Man muss abwägen, was Priorität hat und sinnvoll ist.“

Wann genau die NIS 2-Regelung der EU hierzulande in Kraft tritt, ist noch unklar. „Ursprünglich war März 2025 als Start vorgesehen. Aktuell ist es aber nicht abzusehen, was die Minderheitsregierung de facto noch verabschieden kann.“ Schultejans empfahl den Einrichtungen dringend, sich dennoch so bald wie möglich auf den Start vorzubereiten, „denn mit einer Übergangsfrist ist nicht zu rechnen.“