Cybersicherheit: Neue gesetzliche Vorschriften für Unternehmen der Kritischen Infrastruktur

Das deutsche Gesundheitswesen wird Stück für Stück digitaler – in Verwaltung und Behandlung. Digitalisierung bedeutet steigende Vernetzung. Die schlechte Nachricht: Vernetzte IT-Systeme sind immer größeren Gefahren ausgesetzt. Diese Erkenntnis ist nicht neu. Auf europäischer und nationaler Ebene wurde daher in den letzten Jahren immer wieder mit regulatorischen Vorschriften insbesondere für die sogenannte Kritische Infrastruktur reagiert: RCE-Richtlinie der EU (2008), IT-Sicherheitsgesetz 1.0 (2015), NIS-1-Richtlinie der EU (2016), IT-Sicherheitsgesetz 2.0 und Patienten-Daten-Schutzgesetz (2021), NIS-2-Richtlinie sowie Überarbeitung der RCE-Richtlinie (2023). Darüber hinaus wurde das BSI-Gesetz laufend um aktuelle Anforderungen wie zum Beispiel die Pflicht zur Etablierung von Systemen zur Angriffserkennung (SzA) für Kritische Infrastrukturen in Deutschland erweitert. Aufgrund zum Teil unterschiedlicher Regelungen in Bezug auf den Kreis der betroffenen Unternehmen und die konkreten Anforderungen gibt es seit dem 5. Januar 2024 einen zweiten Referentenentwurf zu einem ­KRITIS-Dachgesetz, das diesbezüglich für Klarheit im Kritis-Umfeld sorgen soll. Wir geben eine Übersicht zum aktuellen Stand.


NIS 2: Verfeinerte Direktiven für Cybersicherheit

Die überarbeitete Fassung der Richtlinie zur Netzwerk- und Informationssicherheit, bekannt als NIS 2, ist mit Wirkung zum 16. Januar 2023 in der gesamten Europäischen Union in Kraft getreten. Die Mitgliedsstaaten sind nun aufgefordert, die Richtlinie bis zum 17. Oktober 2024 in ihr jeweiliges nationales Recht zu integrieren. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums für das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor. Dieser Entwurf verdeutlicht unmissverständlich, dass nicht nur die Anzahl der betroffenen Unternehmen signifikant ansteigen wird, sondern auch die Anforderungen an diese Unternehmen erheblich intensiviert werden.

Die NIS-2-Richtlinie erweitert den Anwendungsbereich substanziell und differenziert zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen. Zu den „besonders wichtigen Einrichtungen“ zählen auch Einrichtungen des Gesundheitswesens. Die Anwendbarkeit der Richtlinie wird durch Größenklassen in Bezug auf Mitarbeiterzahl, Bilanzsumme und den Umsatz des Unternehmens bestimmt. Der vorliegende Referentenentwurf zum NIS-2-Umsetzungsgesetz aus dem Herbst 2023 enthält folgende besonders relevante Regelungen für die betroffenen Einrichtungen:

  • Maßnahmen zur Steigerung der Cybersicherheit (insbesondere Risikomanagement, Notfallkommunikation, Schwachstellenmanagement, Kryptographie, Multifaktor-Authentifizierung, Einbindung von Lieferanten und Dienstleistern),
  • Verpflichtung zur Nutzung von IT-Komponenten und -Diensten, die über eine Zertifizierung nach Art. 49 der EU-Verordnung 2019/881 verfügen,
  • Registrierungs- und Meldepflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Bußgeld- und Sanktionsregelungen.

Faktisch bedeutet dies, dass die Anforderungen aus dem aktuellen branchenspezifischen Sicherheitsstandard für Krankenhäuser (B3S) erweitert werden. Eine weitere Konkretisierung der erwarteten Maßnahmen liegt indes noch nicht vor.

Darüber hinaus enthält bereits die NIS-2-Richtlinie empfindliche Bußgeldregelungen, die sich an den Bußgeldern der Datenschutz-Grundverordnung orientieren und Sanktionen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes vorsehen. Ebenso werden dem BSI sehr weitreichende Rechte zur Überwachung und zum Eingriff in die konkrete Organisation und Umsetzung bei betroffenen Einrichtungen gewährt. Das BSI darf konkrete Umsetzungsvorgaben machen, diese überprüfen und sogar Überwachungsbeauftragte vor Ort installieren. Im Worst Case droht der Entzug der Zulassung und die Entbindung der Geschäftsleitung von der Verantwortung.
 

Grundzüge der RCE-Richtlinie

Die RCE-Richtlinie (EU RCE Directive – EU 2022/2557) stimmt in Bezug auf die Maßnahmen, die das Gesundheitswesen betreffen, in weiten Teilen mit der NIS-2-Richtlinie überein. Als wesentliche Aspekte werden genannt: Resilienz, Prophylaxe, physische Sicherheit, Business-Continuity und Awareness-Maßnahmen. Darüber hinaus muss ein sogenannter Resilienzplan erstellt werden. Die operativen Maßnahmen sind mit den Vorgaben der NIS-2-Richtlinie kongruent oder ergänzen diese. Wesentlicher Unterschied zum Referentenwurf ist jedoch, dass das zuständige Aufsichtsorgan das Bundesamt für den Bevölkerungsschutz und Katastrophenhilfe (BBK) werden soll. Hierzu wird eine enge Zusammenarbeit mit dem BSI notwendig werden.


KRITIS-Dachgesetz

Zur Harmonisierung der genannten Vorschriften liegt seit dem 21. Dezember 2023 der zweite Referentenentwurf zu einem KRITIS-Dachgesetz vor. Hierin werden ganz bewusst keine sektoren- oder branchenspezifischen Regelungen vorgeben, sondern die allgemeinen, für alle KRITIS-Sektoren gültigen Anforderungen zusammengefasst. Hervorzuheben ist die Zuständigkeit des BBK, das in Abstimmung mit dem BSI eine zentrale Registrierungsstelle und eine Meldestelle einrichten soll. Ebenso soll eine sektorenübergreifende Liste für physische Resilienzmaßnahmen erstellt werden. Die Verantwortung der Geschäftsleitungen der Betreiber für die Umsetzung wird explizit hervorgehoben. Außerdem verpflichtet der Entwurf die Geschäftsleitungen zum Erwerb des notwendigen Know-hows durch Schulungen. Darunter können unseres Erachtens ausschließlich organisatorische Aspekte gepaart mit einem inhaltlichen Überblick verstanden werden. Insgesamt sind noch viele Details bezüglich der Abgrenzungskriterien für betroffene Einrichtungen sowie der technischen Anforderungen noch zu bestimmen.
 

Zusammenfassung und Ausblick

Für die die Umsetzung der NIS-2-Richtlinie sowie der RCE-Richtlinie in nationales Recht sowie für das KRITIS-Dachgesetz liegen bislang lediglich Referentenentwürfe vor, die voraussichtlich im Laufe des Jahres 2024 in leicht veränderter Form verabschiedet werden. Sofern sich keine fundamentalen Änderungen ergeben, wird die laufende Gesetzgebung für Krankenhäuser zu folgenden Konsequenzen führen:

  • Häuser der Kritischen Infrastruktur nach BSIG und BSI-KritisV: zweijährige Prüfungspflicht und Meldung an das BSI
  • sonstige besonders wichtige Einrichtungen (oberhalb der NIS-2-Schwellenwerte): ähnliche Anforderungen wie für die Kritische Infrastruktur mit Registrier- und Meldepflichten; Prüfungen und Nachweise können angefordert werden
  • übrige Krankenhäuser und Gesundheitseinrichtungen, die unterhalb der NIS-2-Schwellenwerte liegen: voraussichtlich ohne Registrierpflichten und mit eingeschränkter Überwachung

Gegebenenfalls ergibt sich durch die noch folgende Kriterienfestlegung für die Umsetzung der RCE-Richtlinie im KRITIS-Dachgesetz noch eine weitere Kategorie, was aus unserer Sicht jedoch der gewünschten Harmonisierung entgegenwirken würde. Fest steht, dass jedes Krankenhaus in Deutschland unabhängig von seiner Größe ein umfassendes und komplexes Geflecht aus organisatorischen und technischen Maßnahmen zur Stärkung der Resilienz und Cybersicherheit bereits heute vorzuhalten hat. Die regulatorischen Daumenschrauben werden durch die laufende Gesetzgebung dabei signifikant angezogen.

Solidaris Chris Brauckmann
Autor
+49 251 48261-194
Kontaktformular
vCard
Solidaris Thomas Heithausen
Autor
+49 2203 8997-116
Kontaktformular
vCard
Solidaris Chris Brauckmann
Autor
Chris Brauckmann, LL.M.
Wirtschaftsjurist
+49 251 48261-194
Kontaktformular
vCard
Solidaris Thomas Heithausen
Autor
Thomas Heithausen
Wirtschaftsprüfer, Steuerberater, CISA, Leitung Geschäftsbereich IT-Beratung
+49 2203 8997-116
Kontaktformular
vCard

Weitere Artikel, die Sie interessieren könnten

23.07.2024

Umsetzung des ESRS S1 – Soziale und Arbeitnehmerangelegenheiten

Die Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Reporting Directive – CSRD) trat am 5. Januar 2023 in Kraft und die europäischen Berichtsstandards (European Sustainability Reporting Standards – ESRS) wurden am 31. Juli 2023 von der EU veröffentlicht. Die Umsetzung in deutsches Recht(...)
18.07.2024

Krankenhausplanung NRW - Die sich selbst erfüllende Wirkung der MAGS-Voten

Die Umsetzung der neuen Krankenhausplanung in NRW geht in die nächste Phase. Das Ministerium für Arbeit, Gesundheit und Soziales (MAGS) hat die zweite Anhörungsphase für die weiteren 60 Leistungsgruppen der Krankenhausplanung eingeleitet. Alle am Verwaltungsverfahren beteiligten Krankenhäuser,(...)
27.06.2024

Kollektivarbeitsrechtliche Gesichtspunkte im Rahmen von Umstrukturierungen

In einem vorangegangenen Beitrag zu Krankenhausreform hatten wir uns bereits mit den individualarbeitsrechtlichen Folgen von Umstrukturierungen in Krankenhäusern befasst, namentlich mit den Folgen des § 613a BGB bei (Teil-) Betriebsübergängen. Doch nicht nur die einzelnen Arbeitsverhältnisse der(...)
14.06.2024

Jüngstes Bund-Länder-Treffen: BMG macht keine Zugeständnisse an die Länder

Das jüngste Treffen der Gesundheitsministerinnen und -ministern der Länder und dem Bundesgesundheitsminister Lauterbach am 30. Mai 2024 ist ohne Ergebnis geblieben. Der Bundesgesundheitsminister zeigte kaum Zugeständnisse und ignorierte die von den Ländern einstimmig in einer Stellungnahme zum(...)
04.06.2024

Kein Schadensersatzanspruch für verspätete oder unvollständige Auskunftserteilung nach Art. 15 DS-GVO

Das Landesarbeitsgericht (LAG) Düsseldorf (Urteil vom 28. November 2023 – 3 SA 285/23), das Oberlandesgericht (OLG) Dresden (Urteil vom 20. Februar 2024 – 4 U 1608/23) und das Landesarbeitsgericht (LAG) Rheinland-Pfalz (Urteil vom 8. Februar 2024 – Sa 154/23) haben sich mit der Frage befasst, ob und(...)
04.06.2024

Verdrängen die kirchenrechtlichen Datenschutzregelungen die DS-GVO?

Art. 91 Abs. 1 DS-GVO sieht vor, dass kirchenrechtliche Datenschutzregelungen vorrangig anzuwenden sind, sofern sie mit der DS-GVO in Einklang stehen. Umstritten war, ob sich ein Betroffener auf Ansprüche der DS-GVO berufen kann, sofern die kirchenrechtlichen Regelungen keinen entsprechenden(...)
Zu allen aktuellen Meldungen
phone
mail Pfeil weiß