Die aktuelle Studienlage ist eindeutig und geht insgesamt von einer bisher nie dagewesenen hohen Bedrohung der Cybersicherheit für Organisationen und Unternehmen aus. Berichte zu IT-Sicherheitsfällen und Cyberattacken liegen fast schon an der Tagesordnung, entsprechende Vorfälle zählen mittlerweile zu den Delikten mit dem höchsten Schadenspotenzial – Tendenz steigend. Kritische Infrastrukturen (KRITIS), zu denen nach der aktuellen Gesetzeslage auch das Gesundheitswesen gehört, stehen hier besonders im Fokus der Aufmerksamkeit.
Hand in Hand: IT- und physischer Schutz
In Zeiten umfassend vernetzter Infrastrukturen ist deshalb eine engere und interdisziplinäre Zusammenarbeit der „klassischen“ Sicherheitsabteilung mit den IT-Verantwortlichen unbedingt erforderlich. Denn auch der Schutz der physischen Infrastruktur vor möglichen Angriffen spielt im Klinikumfeld eine wichtige Rolle und wird noch zu häufig vernachlässigt. Frei zugängliche Terminals, Arbeitsspeicher oder Monitore in Laboren und Arzneimittellagern sind für böswillige Attacken besonders exponiert.
Medizinische Einrichtungen sollten sich also eingehend mit dem aktuellen Stand ihrer physischen Sicherheitsvorkehrungen befassen und auch diese im Bedarfsfall dem von neuen Richtlinien eingeforderten „Stand der Technik“ anpassen. Dazu ist die Kenntnis der aktuell wichtigsten Sicherheitsvorschriften auf IT- und physischer Seite unabdingbar. Ein Umstand, der im Zuge der ab dem 17. Oktober verbindlichen NIS2-Richtlinie (NIS wie „Network and Information Security“) umso wichtiger wird.
NIS2 bringt verschärfte Mindestanforderungen an Cybersecurity
Die erste NIS-Richtlinie zur Stärkung der Cyberresilienz und Anhebung des Sicherheitsniveaus von KRITIS-Schlüsselsektoren auf EU-Ebene trat bereits 2016 in Kraft. Die seit Januar 2023 novellierte Richtlinie NIS2 hat die weitere Harmonisierung der Niveaus aller EU-Mitgliedsstaaten zum Ziel, gewährt allerdings deutlich weniger Spielraum für die nationale Umsetzung. Außerdem enthält sie strengere Aufsichtsmaßnahmen durch Behörden wie etwa die EU-Agentur für Cybersicherheit (ENISA) und vereinheitlicht europaweit die Sanktionsregelungen.
Ist meine Klinik eine KRITIS?
Um die Sicherheit kritischer Infrastrukturen noch umfassender zu gewähren, wurde im neuen NIS2-Gesetzesentwurf mit 18 Sektoren ein deutlich breiteres Spektrum von Organisationen als KRITIS erfasst. Doch ab wann gelten medizinische Einrichtungen in Deutschland als kritische Infrastruktur und werden somit NIS2 relevant? Nach der Verordnung zur Bestimmung kritischer Infrastrukturen im BSI-Gesetz (BSI-KritisV) fallen unter anderem Krankenhäuser mit mehr als 30.000 vollstationären Behandlungsfällen pro Jahr als kritische Anlagen im Bereich der stationären Versorgung.
Allerdings spiegelt dieser Schwellenwert nur die Sicht des Bundes wider und klammert regionale Versorgungsstrukturen aus. Eine flächendeckende medizinische Versorgung kann gerade in weitläufigen Gebieten allein durch die unter die BSI-KritisV fallenden Einrichtungen somit nicht sichergestellt werden. Deshalb sind auch Krankenhäuser, die nicht unter das IT-Sicherheitsgesetz fallen, kritische Infrastrukturen. Als Faustformel gelten die jährlichen Aufenthalte von Personen in einem Objekt: Wird hier ein Schwellenwert von 500.000 erreicht, sind die Leit- und Richtlinien sowie Arbeitsanweisungen der KRITIS zu berücksichtigen.
Rolle der gesundheitlich-pflegerischen Versorgung in der nationalen KRITIS-Resilienzstrategie
Von diesen Regelungen sind im Übrigen auch medizinisch-soziale Einrichtungen, beispielsweise Pflegeheime betroffen. Zur Verbesserung der Resilienz kritischer Infrastrukturen (nationale KRITIS-Resilienzstrategie bis 2026) soll die größte Berufsgruppe im gesundheitlichen Versorgungsprozess, die Berufsgruppe der Pflegenden sogar Bundesländer übergreifend eine bedeutendere Rolle einnehmen. In Ansätzen ist das bereits in den vorläufigen Eckpunkten zum Entwurf des Pflegekompetenzgesetzes (Stand 2023) erwähnt: Unter Maßnahme 12 wird dort auf die Bedeutung der Expertise von Pflegefachpersonen bei der Sicherstellung der gesundheitlich-pflegerischen Versorgung in Notfällen, Krisensituationen und Katastrophen hingewiesen und die Festlegung ihrer regelhaften Beteiligung in Institutionen und Gremien bei der aktuellen Bewältigung wie bei der Planung und Vorbereitung auf Krisensituationen (Bundes-, Landes- und regionale Ebene) für das zu erwartende Pflegekompetenzgesetz in Aussicht gestellt. Der Deutsche Pflegerat wünscht sich in einer aktuellen Stellungnahme vom 22. Januar 2024 in diesem Zusammenhang größtmögliche Orientierung und Handlungssicherheit für die interprofessionellen Akteurinnen und Akteure sowie aktive Teilhabe bei der Neuausrichtung einer qualitativ hochwertigen Gesundheitsversorgung in zukünftigen Krisensituationen.
Ein Whitepaper samt Checkliste zur Orientierung
Allein in Deutschland werden insgesamt rund 30.000 Unternehmen vom in Krafttreten des NIS2-Umsetzungsgesetzes am 17. Oktober 2024 betroffen sein. Es ist also höchste Zeit, mit der Überprüfung der eigenen Institution zu beginnen und die entsprechenden Sicherheitsmaßnahmen sowie eine Auswahl geeigneter Technologien und Produkte in die Wege zu leiten.
Das Whitepaper „NIS2-Anforderungen für Unternehmen: Wie Firmen mit digitaler Zutrittskontrolle ihre cyberphysische Resilienz erhöhen können“ von ASSA ABLOY hilft bei der Orientierung und stellt neben ausführlichen Informationen auch passende Gesamtsicherheitslösungen für das Gesundheitswesen vor.
