Digitalisierung

Cybersicherheit: Was Pflegeeinrichtungen jetzt beachten müssen

Die EU-Richtlinie NIS-2 wird in Kürze ohne Übergangsfrist in deutsches Recht umgesetzt. Für Einrichtungen in der Pflege ergeben sich daraus mittelbare Auswirkungen – auch wenn sie nicht alle direkt betroffen sind.

Thomas Althammer Foto: Althammer & Kill GmbH & Co. KG

Noch in diesem Jahr soll die europäische `Network und Information Security Directive 2` (kurz NIS-2) ohne Übergangsfristen in deutsches Recht umgesetzt werden. Das bedeutet, dass sich nicht nur große Betreiber, die zur kritischen Infrastruktur (KRITIS) zählen, auf die neuen Regularien zur Steigerung der Cybersicherheit vorbereiten müssen. Wie das auf die Bereiche Datenschutz, Informationssicherheit, Künstliche Intelligenz (KI) und Compliance spezialisierte Beratungsunternehmen Althammer & Kill mitteilte, sind bis zu 40.000 Unternehmen und Organisationen direkt oder indirekt von NIS-2 betroffen.

Dabei handelt es sich um Unternehmen, die die Schwellenwerte übersteigen (z. B. mehr als 50 Mitarbeitende oder ein Jahresumsatz von mehr als 10 Millionen Euro) und als wichtige oder besonders wichtige Einrichtungen gesehen werden. Ähnlich dem Lieferkettensorgfaltspflichtengesetz erfasst NIS-2 auch Dienstleister und Zulieferer. Gemäß § 28 NIS2UmsuCG fallen Erbringer von Gesundheitsdienstleistungen unter das Gesetz. Also jede juristische oder natürliche Person, oder sonstige Einrichtung, die im Hoheitsgebiet eines Mitgliedsstaats rechtmäßig Gesundheitsdienstleistungen erbringt.

Die Richtlinie gilt dabei für jegliche Gesundheitsversorgung von Patienten, unabhängig davon, wie diese organisiert, erbracht oder finanziert wird. Dezidiert nicht erfasst werden unter anderem Dienstleistungen im Bereich der Langzeitpflege, sei es ambulant oder in Pflegeheimen. Im Umkehrschluss könnte dies bedeuten, dass aber zum Beispiel Pflegeeinrichtungen, die Patienten der Intensivpflege außerhalb von Krankenhäusern betreuen (z.B. künstliche Beatmung oder Wachkomapatienten), erfasst würden.

„Der Bundestag hat NIS-2 beschlossen und wir gehen davon aus, dass es nur noch eine Frage weniger Wochen ist, bis das deutsche Umsetzungsgesetz vollständig in Kraft ist. Die NIS-2-Verordnung der EU gilt übergreifend schon längere Zeit. Wer jetzt noch nicht begonnen hat, sollte schleunigst starten”, sagt Thomas Althammer, Geschäftsführer von Althammer & Kill GmbH & Co.KG. Die betroffenen, besonders wichtigen und wichtigen Einrichtungen müssen die erweiterten Pflichten im Risikomanagement dann sofort umsetzen. Wichtig zu wissen: Geschäftsführung und Vorstand sollen dann bei Pflichtverletzungen der Umsetzung und Überwachung der Risikomanagementmaßnahmen haften (§38 Abs.2 BSIG-E).

Betroffenheit für reibungslose Zusammenarbeit mit KRITIS rechtzeitig feststellen

Für Einrichtungen in Pflege & Sozialwirtschaft, wie Altenpflegeheime, ambulante Pflege oder betreutes Wohnen, besteht noch Unklarheit. Sie scheinen mehrheitlich nicht unter die Neuregelungen zu fallen. Für Einrichtungen, die intensivmedizinische Pflege anbieten, sieht dies anders aus. Auch dürften manche Einrichtungen durch ihre Träger direkt von dem NIS2UmsuCG betroffen sein. Es bestehen außerdem mittelbare Verpflichtungen, je nach Größe, Struktur und Leistungsangebot der Unternehmen und Organisation. „Wir gehen davon aus, dass sich NIS-2 und die weiteren Regelungen zum branchenübergreifenden Orientierungsrahmen entwickeln, der künftig „Reifegrad“ und „Stand der Technik“ bewertet“, so Althammer weiter.

  • DSGVO Art. 32 „Stand der Technik“: Aus der Datenschutz-Grundverordnung ergeben sich eine Reihe von Pflichten zur Sicherstellung der Informationssicherheit. Im Fall von Datenschutzvorfällen oder Cyberattacken erfragen die Aufsichtsbehörden im Bereich Datenschutz regelmäßig, welche technischen und organisatorischen Schutzmaßnahmen zur Verhinderung von Vorfällen getroffen wurden. Diese sind nachzuweisen.
  • Evangelische Kirchen und Diakonien müssen das ITSVO-EKD beachten: Die IT-Sicherheitsverordnung der EKD schreibt die Erstellung eines IT-Sicherheitskonzepts für kleine, mittlere und große Organisationen vor. Dieses sollte ähnliche Maßnahmen und Strukturen enthalten, wie sie in der NIS-2-Verordnung vorgesehen sind. Auch wenn diese in der ITSVO-EKD nur sehr allgemein gehalten und beschrieben sind, führt die konkrete Ausgestaltung dann zu vergleichbaren Maßnahmen.
  • Cyberversicherung: Sollten Einrichtungen eine Cyberversicherung abgeschlossen haben, verlangen die Anbieter in der Regel entsprechende Vorkehrungen, um mögliche einzutretende Risiken bestmöglich zu verhindern. In der Regel handelt es sich hierbei um den Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS).

„Die aktuelle Cyber-Bedrohungslage, allgemeine gesetzliche Vorgaben und Fürsorgepflichten für die anvertrauten Menschen erfordern eine aktivere Auseinandersetzung mit Informationssicherheit und Business-Continuity-Management“, ist Althammer sicher.

Ein kostenfreies Whitepaper von Althammer & Kill bietet eine praxisorientierte Übersicht zu den wichtigsten Schritten der Vorbereitung: https://www.althammer-kill.de/nis-2-quick-check-whitepaper.

Digitalisierung EU-Gesetze Management