NIS 2: Verfeinerte Direktiven für Cybersicherheit
Die überarbeitete Fassung der Richtlinie zur Netzwerk- und Informationssicherheit, bekannt als NIS 2, ist mit Wirkung zum 16. Januar 2023 in der gesamten Europäischen Union in Kraft getreten. Die Mitgliedsstaaten sind nun aufgefordert, die Richtlinie bis zum 17. Oktober 2024 in ihr jeweiliges nationales Recht zu integrieren. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums für das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor. Dieser Entwurf verdeutlicht unmissverständlich, dass nicht nur die Anzahl der betroffenen Unternehmen signifikant ansteigen wird, sondern auch die Anforderungen an diese Unternehmen erheblich intensiviert werden.
Die NIS-2-Richtlinie erweitert den Anwendungsbereich substanziell und differenziert zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen. Zu den „besonders wichtigen Einrichtungen“ zählen auch Einrichtungen des Gesundheitswesens. Die Anwendbarkeit der Richtlinie wird durch Größenklassen in Bezug auf Mitarbeiterzahl, Bilanzsumme und den Umsatz des Unternehmens bestimmt. Der vorliegende Referentenentwurf zum NIS-2-Umsetzungsgesetz aus dem Herbst 2023 enthält folgende besonders relevante Regelungen für die betroffenen Einrichtungen:
- Maßnahmen zur Steigerung der Cybersicherheit (insbesondere Risikomanagement, Notfallkommunikation, Schwachstellenmanagement, Kryptographie, Multifaktor-Authentifizierung, Einbindung von Lieferanten und Dienstleistern),
- Verpflichtung zur Nutzung von IT-Komponenten und -Diensten, die über eine Zertifizierung nach Art. 49 der EU-Verordnung 2019/881 verfügen,
- Registrierungs- und Meldepflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Bußgeld- und Sanktionsregelungen.
Faktisch bedeutet dies, dass die Anforderungen aus dem aktuellen branchenspezifischen Sicherheitsstandard für Krankenhäuser (B3S) erweitert werden. Eine weitere Konkretisierung der erwarteten Maßnahmen liegt indes noch nicht vor.
Darüber hinaus enthält bereits die NIS-2-Richtlinie empfindliche Bußgeldregelungen, die sich an den Bußgeldern der Datenschutz-Grundverordnung orientieren und Sanktionen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes vorsehen. Ebenso werden dem BSI sehr weitreichende Rechte zur Überwachung und zum Eingriff in die konkrete Organisation und Umsetzung bei betroffenen Einrichtungen gewährt. Das BSI darf konkrete Umsetzungsvorgaben machen, diese überprüfen und sogar Überwachungsbeauftragte vor Ort installieren. Im Worst Case droht der Entzug der Zulassung und die Entbindung der Geschäftsleitung von der Verantwortung.
Grundzüge der RCE-Richtlinie
Die RCE-Richtlinie (EU RCE Directive – EU 2022/2557) stimmt in Bezug auf die Maßnahmen, die das Gesundheitswesen betreffen, in weiten Teilen mit der NIS-2-Richtlinie überein. Als wesentliche Aspekte werden genannt: Resilienz, Prophylaxe, physische Sicherheit, Business-Continuity und Awareness-Maßnahmen. Darüber hinaus muss ein sogenannter Resilienzplan erstellt werden. Die operativen Maßnahmen sind mit den Vorgaben der NIS-2-Richtlinie kongruent oder ergänzen diese. Wesentlicher Unterschied zum Referentenwurf ist jedoch, dass das zuständige Aufsichtsorgan das Bundesamt für den Bevölkerungsschutz und Katastrophenhilfe (BBK) werden soll. Hierzu wird eine enge Zusammenarbeit mit dem BSI notwendig werden.
KRITIS-Dachgesetz
Zur Harmonisierung der genannten Vorschriften liegt seit dem 21. Dezember 2023 der zweite Referentenentwurf zu einem KRITIS-Dachgesetz vor. Hierin werden ganz bewusst keine sektoren- oder branchenspezifischen Regelungen vorgeben, sondern die allgemeinen, für alle KRITIS-Sektoren gültigen Anforderungen zusammengefasst. Hervorzuheben ist die Zuständigkeit des BBK, das in Abstimmung mit dem BSI eine zentrale Registrierungsstelle und eine Meldestelle einrichten soll. Ebenso soll eine sektorenübergreifende Liste für physische Resilienzmaßnahmen erstellt werden. Die Verantwortung der Geschäftsleitungen der Betreiber für die Umsetzung wird explizit hervorgehoben. Außerdem verpflichtet der Entwurf die Geschäftsleitungen zum Erwerb des notwendigen Know-hows durch Schulungen. Darunter können unseres Erachtens ausschließlich organisatorische Aspekte gepaart mit einem inhaltlichen Überblick verstanden werden. Insgesamt sind noch viele Details bezüglich der Abgrenzungskriterien für betroffene Einrichtungen sowie der technischen Anforderungen noch zu bestimmen.
Zusammenfassung und Ausblick
Für die die Umsetzung der NIS-2-Richtlinie sowie der RCE-Richtlinie in nationales Recht sowie für das KRITIS-Dachgesetz liegen bislang lediglich Referentenentwürfe vor, die voraussichtlich im Laufe des Jahres 2024 in leicht veränderter Form verabschiedet werden. Sofern sich keine fundamentalen Änderungen ergeben, wird die laufende Gesetzgebung für Krankenhäuser zu folgenden Konsequenzen führen:
- Häuser der Kritischen Infrastruktur nach BSIG und BSI-KritisV: zweijährige Prüfungspflicht und Meldung an das BSI
- sonstige besonders wichtige Einrichtungen (oberhalb der NIS-2-Schwellenwerte): ähnliche Anforderungen wie für die Kritische Infrastruktur mit Registrier- und Meldepflichten; Prüfungen und Nachweise können angefordert werden
- übrige Krankenhäuser und Gesundheitseinrichtungen, die unterhalb der NIS-2-Schwellenwerte liegen: voraussichtlich ohne Registrierpflichten und mit eingeschränkter Überwachung
Gegebenenfalls ergibt sich durch die noch folgende Kriterienfestlegung für die Umsetzung der RCE-Richtlinie im KRITIS-Dachgesetz noch eine weitere Kategorie, was aus unserer Sicht jedoch der gewünschten Harmonisierung entgegenwirken würde. Fest steht, dass jedes Krankenhaus in Deutschland unabhängig von seiner Größe ein umfassendes und komplexes Geflecht aus organisatorischen und technischen Maßnahmen zur Stärkung der Resilienz und Cybersicherheit bereits heute vorzuhalten hat. Die regulatorischen Daumenschrauben werden durch die laufende Gesetzgebung dabei signifikant angezogen.