Cybersicherheit: Neue gesetzliche Vorschriften für Unternehmen der Kritischen Infrastruktur

Das deutsche Gesundheitswesen wird Stück für Stück digitaler – in Verwaltung und Behandlung. Digitalisierung bedeutet steigende Vernetzung. Die schlechte Nachricht: Vernetzte IT-Systeme sind immer größeren Gefahren ausgesetzt. Diese Erkenntnis ist nicht neu. Auf europäischer und nationaler Ebene wurde daher in den letzten Jahren immer wieder mit regulatorischen Vorschriften insbesondere für die sogenannte Kritische Infrastruktur reagiert: RCE-Richtlinie der EU (2008), IT-Sicherheitsgesetz 1.0 (2015), NIS-1-Richtlinie der EU (2016), IT-Sicherheitsgesetz 2.0 und Patienten-Daten-Schutzgesetz (2021), NIS-2-Richtlinie sowie Überarbeitung der RCE-Richtlinie (2023). Darüber hinaus wurde das BSI-Gesetz laufend um aktuelle Anforderungen wie zum Beispiel die Pflicht zur Etablierung von Systemen zur Angriffserkennung (SzA) für Kritische Infrastrukturen in Deutschland erweitert. Aufgrund zum Teil unterschiedlicher Regelungen in Bezug auf den Kreis der betroffenen Unternehmen und die konkreten Anforderungen gibt es seit dem 5. Januar 2024 einen zweiten Referentenentwurf zu einem ­KRITIS-Dachgesetz, das diesbezüglich für Klarheit im Kritis-Umfeld sorgen soll. Wir geben eine Übersicht zum aktuellen Stand.


NIS 2: Verfeinerte Direktiven für Cybersicherheit

Die überarbeitete Fassung der Richtlinie zur Netzwerk- und Informationssicherheit, bekannt als NIS 2, ist mit Wirkung zum 16. Januar 2023 in der gesamten Europäischen Union in Kraft getreten. Die Mitgliedsstaaten sind nun aufgefordert, die Richtlinie bis zum 17. Oktober 2024 in ihr jeweiliges nationales Recht zu integrieren. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums für das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor. Dieser Entwurf verdeutlicht unmissverständlich, dass nicht nur die Anzahl der betroffenen Unternehmen signifikant ansteigen wird, sondern auch die Anforderungen an diese Unternehmen erheblich intensiviert werden.

Die NIS-2-Richtlinie erweitert den Anwendungsbereich substanziell und differenziert zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen. Zu den „besonders wichtigen Einrichtungen“ zählen auch Einrichtungen des Gesundheitswesens. Die Anwendbarkeit der Richtlinie wird durch Größenklassen in Bezug auf Mitarbeiterzahl, Bilanzsumme und den Umsatz des Unternehmens bestimmt. Der vorliegende Referentenentwurf zum NIS-2-Umsetzungsgesetz aus dem Herbst 2023 enthält folgende besonders relevante Regelungen für die betroffenen Einrichtungen:

  • Maßnahmen zur Steigerung der Cybersicherheit (insbesondere Risikomanagement, Notfallkommunikation, Schwachstellenmanagement, Kryptographie, Multifaktor-Authentifizierung, Einbindung von Lieferanten und Dienstleistern),
  • Verpflichtung zur Nutzung von IT-Komponenten und -Diensten, die über eine Zertifizierung nach Art. 49 der EU-Verordnung 2019/881 verfügen,
  • Registrierungs- und Meldepflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Bußgeld- und Sanktionsregelungen.

Faktisch bedeutet dies, dass die Anforderungen aus dem aktuellen branchenspezifischen Sicherheitsstandard für Krankenhäuser (B3S) erweitert werden. Eine weitere Konkretisierung der erwarteten Maßnahmen liegt indes noch nicht vor.

Darüber hinaus enthält bereits die NIS-2-Richtlinie empfindliche Bußgeldregelungen, die sich an den Bußgeldern der Datenschutz-Grundverordnung orientieren und Sanktionen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes vorsehen. Ebenso werden dem BSI sehr weitreichende Rechte zur Überwachung und zum Eingriff in die konkrete Organisation und Umsetzung bei betroffenen Einrichtungen gewährt. Das BSI darf konkrete Umsetzungsvorgaben machen, diese überprüfen und sogar Überwachungsbeauftragte vor Ort installieren. Im Worst Case droht der Entzug der Zulassung und die Entbindung der Geschäftsleitung von der Verantwortung.
 

Grundzüge der RCE-Richtlinie

Die RCE-Richtlinie (EU RCE Directive – EU 2022/2557) stimmt in Bezug auf die Maßnahmen, die das Gesundheitswesen betreffen, in weiten Teilen mit der NIS-2-Richtlinie überein. Als wesentliche Aspekte werden genannt: Resilienz, Prophylaxe, physische Sicherheit, Business-Continuity und Awareness-Maßnahmen. Darüber hinaus muss ein sogenannter Resilienzplan erstellt werden. Die operativen Maßnahmen sind mit den Vorgaben der NIS-2-Richtlinie kongruent oder ergänzen diese. Wesentlicher Unterschied zum Referentenwurf ist jedoch, dass das zuständige Aufsichtsorgan das Bundesamt für den Bevölkerungsschutz und Katastrophenhilfe (BBK) werden soll. Hierzu wird eine enge Zusammenarbeit mit dem BSI notwendig werden.


KRITIS-Dachgesetz

Zur Harmonisierung der genannten Vorschriften liegt seit dem 21. Dezember 2023 der zweite Referentenentwurf zu einem KRITIS-Dachgesetz vor. Hierin werden ganz bewusst keine sektoren- oder branchenspezifischen Regelungen vorgeben, sondern die allgemeinen, für alle KRITIS-Sektoren gültigen Anforderungen zusammengefasst. Hervorzuheben ist die Zuständigkeit des BBK, das in Abstimmung mit dem BSI eine zentrale Registrierungsstelle und eine Meldestelle einrichten soll. Ebenso soll eine sektorenübergreifende Liste für physische Resilienzmaßnahmen erstellt werden. Die Verantwortung der Geschäftsleitungen der Betreiber für die Umsetzung wird explizit hervorgehoben. Außerdem verpflichtet der Entwurf die Geschäftsleitungen zum Erwerb des notwendigen Know-hows durch Schulungen. Darunter können unseres Erachtens ausschließlich organisatorische Aspekte gepaart mit einem inhaltlichen Überblick verstanden werden. Insgesamt sind noch viele Details bezüglich der Abgrenzungskriterien für betroffene Einrichtungen sowie der technischen Anforderungen noch zu bestimmen.
 

Zusammenfassung und Ausblick

Für die die Umsetzung der NIS-2-Richtlinie sowie der RCE-Richtlinie in nationales Recht sowie für das KRITIS-Dachgesetz liegen bislang lediglich Referentenentwürfe vor, die voraussichtlich im Laufe des Jahres 2024 in leicht veränderter Form verabschiedet werden. Sofern sich keine fundamentalen Änderungen ergeben, wird die laufende Gesetzgebung für Krankenhäuser zu folgenden Konsequenzen führen:

  • Häuser der Kritischen Infrastruktur nach BSIG und BSI-KritisV: zweijährige Prüfungspflicht und Meldung an das BSI
  • sonstige besonders wichtige Einrichtungen (oberhalb der NIS-2-Schwellenwerte): ähnliche Anforderungen wie für die Kritische Infrastruktur mit Registrier- und Meldepflichten; Prüfungen und Nachweise können angefordert werden
  • übrige Krankenhäuser und Gesundheitseinrichtungen, die unterhalb der NIS-2-Schwellenwerte liegen: voraussichtlich ohne Registrierpflichten und mit eingeschränkter Überwachung

Gegebenenfalls ergibt sich durch die noch folgende Kriterienfestlegung für die Umsetzung der RCE-Richtlinie im KRITIS-Dachgesetz noch eine weitere Kategorie, was aus unserer Sicht jedoch der gewünschten Harmonisierung entgegenwirken würde. Fest steht, dass jedes Krankenhaus in Deutschland unabhängig von seiner Größe ein umfassendes und komplexes Geflecht aus organisatorischen und technischen Maßnahmen zur Stärkung der Resilienz und Cybersicherheit bereits heute vorzuhalten hat. Die regulatorischen Daumenschrauben werden durch die laufende Gesetzgebung dabei signifikant angezogen.

Autor
Autor
Autor
Wirtschaftsprüfer, Steuerberater, CISA, Leitung Geschäftsbereich IT-Beratung

Weitere Artikel, die Sie interessieren könnten

phone
mail Pfeil weiß