Während einige EU-Mitgliedstaaten die Vorgaben bereits in nationales Recht überführt haben, verzögert sich die Umsetzung in Deutschland aufgrund der aktuellen politischen Entwicklungen. Diese Umsetzung ist allerdings nur eine Frage der Zeit. Daher bleibt es für Krankenhäuser und ihre Beschaffungsverantwortlichen empfehlenswert, sich rechtzeitig auf die neuen Anforderungen vorzubereiten.

Aktueller Stand des deutschen Umsetzungsgesetzes

Die in der NIS-2 (NIS: Network and Information Security) vorgesehene Umsetzung bis zum 17. Oktober 2024 sollte ursprünglich durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erfolgen. Aufgrund der vorgezogenen Neuwahlen konnte das parlamentarische Verfahren nicht abgeschlossen werden, sodass das Gesetzgebungsverfahren nun neu angeschoben werden muss. Ein neuer Zeitplan für die Umsetzung liegt derzeit zwar nicht vor, die neue Regierung wird aber voraussichtlich erst im Sommer oder Herbst 2025 einen neuen Gesetzentwurf vorlegen. Eine Verabschiedung des Gesetzes ist daher wahrscheinlich nicht vor dem Jahr 2026 zu erwarten. Allerdings wird sich das kommende Gesetz stark an der EU-Richtlinie orientieren, ähnlich wie es in anderen Mitgliedstaaten bereits erfolgt ist.

Für betroffene Akteure bedeutet dies, dass sie sich trotz der Verzögerung proaktiv auf die kommenden Anforderungen vorbereiten sollten.

Für betroffene Akteure bedeutet dies, dass sie sich trotz der Verzögerung proaktiv auf die kommenden Anforderungen vorbereiten sollten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt bereits jetzt Maßnahmen zur Verbesserung der Informationssicherheit zu ergreifen, um den zukünftigen gesetzlichen Pflichten gerecht zu werden.

Erweiterter Kreis betroffener Kliniken

Die NIS-2-Richtlinie gilt für Unternehmen aus Sektoren, die für das Funktionieren der Gesellschaft von besonderer Bedeutung sind. Sie unterscheidet zwischen wesentlichen Einrichtungen, die strengeren Cybersicherheitsanforderungen unterliegen und wichtigen Einrichtungen, die jedenfalls grundlegende Sicherheitsmaßnahmen umsetzen müssen.

Unabhängig von der NIS-2-Richtlinie gelten in Deutschland bereits spezielle Regelungen für sogenannte KRITIS-Krankenhäuser (KRITIS: Kritische Infrastrukturen). Aktuell gilt ein Krankenhaus als KRITIS-Krankenhaus, wenn es mehr als 30 000 vollstationäre Behandlungsfälle pro Jahr hat. Diese Krankenhäuser müssen erhöhte IT-Sicherheitsmaßnahmen umsetzen, die sowohl die IT-Infrastruktur als auch die Sicherheit digitaler Prozesse in Bereichen wie Patientenverwaltung, Medizintechnik und Logistik betreffen.

Mit der Umsetzung der NIS-2-Richtlinie in deutsches Recht wird der Kreis der von Cybersicherheitspflichten betroffenen Krankenhäuser jedoch deutlich größer.

Mit der Umsetzung der NIS-2-Richtlinie in deutsches Recht wird der Kreis der von Cybersicherheitspflichten betroffenen Krankenhäuser jedoch deutlich größer. Mit NIS-2 werden künftig auch kleinere und mittlere Krankenhäuser und Kliniken als „wichtige“ Einrichtungen betroffen sein, wenn sie mehr als 50 Mitarbeiter haben oder etwa einen Jahresumsatz von mehr als 10 Millionen Euro erreichen. Große Krankenhäuser, die die Schwellenwerte von 250 Mitarbeitern oder etwa 50 Millionen Euro Umsatz überschreiten, werden hingegen als wesentliche Einrichtungen eingestuft und müssen die strengeren Anforderungen der NIS-2 erfüllen.

Verpflichtende Maßnahmen der NIS-2 für den Gesundheitssektor

Die NIS-2-Vorgaben verpflichten Krankenhäuser und Kliniken zur Implementierung spezifischer Maßnahmen, die auch für die Bereiche Logistik und Beschaffung von großer Bedeutung sind. Im Zentrum steht die Etablierung eines umfassenden Risikomanagementsystems. Dazu gehören regelmäßige Risikoanalysen sowie technische und organisatorische Maßnahmen, um sensible Daten und Systeme zu schützen. Sicherheitsvorfälle, die die Dienstleistungserbringung erheblich beeinträchtigen, müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden. Gleichzeitig sind Krankenhäuser verpflichtet, regelmäßig die Einhaltung der vorgeschriebenen Sicherheitsmaßnahmen nachzuweisen. Um das Sicherheitsbewusstsein zu schärfen, müssen zudem alle Mitarbeiter regelmäßig im Bereich Informationssicherheit geschult werden.

Mehr zum Thema:

Eisenhans/stock.adobe.com

Digitale SicherheitCyberangriffe - Absichern oder akzeptieren?

Auch für die Bereiche Logistik und Beschaffung ergeben sich aus der NIS-2-Richtlinie konkrete Anforderungen. So müssen Beschaffungsverantwortliche sicherstellen, dass Lieferanten und Dienstleister angemessene Sicherheitsstandards einhalten. Dies erfordert, dass entsprechende Sicherheitskriterien bereits in Ausschreibungen und Verträge integriert werden. Die Überprüfung von Lieferanten sollte regelmäßig erfolgen, um mögliche Sicherheitslücken frühzeitig zu erkennen und zu beheben.

So müssen Beschaffungsverantwortliche sicherstellen, dass Lieferanten und Dienstleister angemessene Sicherheitsstandards einhalten.

Besonders wichtig ist auch die Auswahl von Medizinprodukten und IT-Systemen, die den aktuellen Sicherheitsstandards entsprechen und keine bekannten Schwachstellen aufweisen. Angesichts der zunehmenden Bedrohung durch Cyberangriffe sind Notfallpläne unerlässlich, um bei Lieferengpässen oder Sicherheitsvorfällen in der Lieferkette den kontinuierlichen Betrieb des Krankenhauses sicherzustellen. Neben technischen Maßnahmen spielt dabei auch die Sensibilisierung des Personals eine entscheidende Rolle. Mitarbeiter in Logistik und Beschaffung sollten regelmäßig geschult werden, um potenzielle Bedrohungen frühzeitig zu erkennen und angemessen darauf reagieren zu können.

Umsetzungstipps

Um die Anforderungen der NIS-2-Richtlinie erfolgreich umzusetzen, sollten Krankenhäuser jetzt konkrete Maßnahmen in ihren Logistik- und Beschaffungsprozessen ergreifen. Da die Lieferketten zunehmend Ziel von Cyberangriffen werden, liegt der Fokus darauf, Sicherheitsrisiken entlang der gesamten Wertschöpfungskette zu minimieren und gleichzeitig die Betriebsfähigkeit sicherzustellen.

Für Klinikeinkäufer bedeutet das, Lieferanten nicht nur nach wirtschaftlichen Kriterien auszuwählen, sondern auch deren Cybersicherheitsmaßnahmen zu prüfen (z. B. anhand von Sicherheitszertifikaten wie ISO 27001 oder vergleichbaren Nachweisen). Vor allem bei Anbietern von digitalen Dienstleistungen oder vernetzten Medizinprodukten ist es ratsam, vertraglich festzulegen, dass Sicherheitslücken umgehend gemeldet und behoben werden. In der Praxis kann dies bedeuten, dass Ausschreibungen künftig eine Selbstauskunft der Lieferanten zur Einhaltung von Sicherheitsstandards enthalten.

Versorgung aufrechterhalten

Logistikabteilungen sollten ihre digitalen Systeme regelmäßig auf Schwachstellen prüfen, insbesondere in der Lagerverwaltung und beim Einsatz vernetzter Geräte. In der Praxis heißt das, dass beispielsweise der Zugriff auf digitale Bestandsdaten nur durch autorisiertes Personal möglich sein sollte und alle Zugriffe protokolliert werden. Da Lieferketten zunehmend von digitalen Plattformen abhängen, empfiehlt es sich, alternative Bezugsquellen für kritische Produkte festzulegen. So lässt sich im Falle eines Cyberangriffs bei einem Hauptlieferanten die Versorgung aufrechterhalten.

Beschaffungsverantwortliche sollten auch verstärkt auf die Schulung ihres Personals achten. Dabei geht es nicht nur um generelle Schulungen zur Erkennung von Phishing-Mails, sondern um praxisnahe Szenarien, die speziell auf den Krankenhausalltag zugeschnitten sind. So sollten beispielsweise Mitarbeiter im Einkauf lernen, verdächtige Abweichungen in Bestell- und Lieferprozessen zu erkennen, die auf einen Angriff hindeuten könnten. 

Auch wenn das deutsche Umsetzungsgesetz zur NIS-2-Richtlinie eventuell erst 2026 in Kraft tritt, sollten Krankenhäuser die Zeit nutzen, um ihre Prozesse frühzeitig anzupassen. Ein proaktiver Ansatz reduziert das Risiko von Cyberangriffen und erleichtert die Einhaltung zukünftiger gesetzlicher Vorgaben.