(April 2024) Mit NIS-2 soll sich das IT-Sicherheitsniveau EU-weit erhöhen. Rechtliche Vorgaben sind im Gesundheitssektor nicht neu, jedoch werden mit der NIS-2-Direktive IT-Sicherheitsmaßnahmen für mehr Organisationen verpflichtend. Auch Krankenhäuser stehen vor zeitlichen und organisatorischen Herausforderungen. Diese acht NIS-2-Sofortmaßnahmen helfen Verantwortlichen bei der Umsetzung.

Im medizinischen Bereich bringen Automatisierung sowie maschinenbasierte Intelligenz für Behandelnde und Patienten viele Vorteile. Gleichzeitig eröffnet die wachsende Vernetzung von Geräten und Anwendungen im Gesundheitswesen auch Cyberkriminellen neue Angriffsmöglichkeiten. Der Zugriff auf vertrauliche Daten und die schwerwiegenden Auswirkungen einer Nichtverfügbarkeit von IT-Systemen durch einen Cyberangriff wurden frühzeitig mit dem KRITIS-Gesetz sowie der KRITIS-Verordnung bedacht. Mit der neuen NIS-2-Direktive geht der Gesetzgeber einen Schritt weiter, um das Niveau der Cybersicherheit im Gesundheitssektor zu steigern. Der neue Sicherheitsrahmen erweitert die Anforderungen, auch an die IT-Security in Krankenhäusern. Diese acht Sofortmaßnahmen sollten Verantwortliche jetzt umsetzen:

1. Projektgruppe gründen

Fällt das Krankenhaus unter NIS-2, ist der erste Schritt, eine Projektgruppe zu gründen. Teile dieses Gremiums sind zum Beispiel Geschäftsleitung, IT-Verantwortliche sowie IT-Sicherheitsverantwortliche und weitere relevante Mitarbeitende. Um ein gemeinsames Grundverständnis für die spezifischen Anforderungen zu bekommen, ist ein anfängliches Cybersicherheitstraining sinnvoll. Je nachdem wie umfangreich IT-Sicherheitsmaßnahmen bereits etabliert sind, sollte ausreichend Budget und Zeit einkalkuliert werden.

2. Organisatorische Maßnahmen

Brandschutz und Arbeitsschutz ist per Gesetz Chefsache. Das gilt in Zukunft auch für IT-Sicherheit. Durch NIS-2 sind die Geschäftsführungen und Vorstände verpflichtet, sich persönlich um diesen Bereich zu kümmern. Es ist nicht vorgesehen, dass sie diese Aufgabe an andere Mitarbeitende oder innerhalb der Geschäftsführung delegieren können. Bei Verstößen können sie sogar persönlich haftbar gemacht werden.

3. Einführung eines Informationssicherheits-Managementsystems (ISMS)

Ein eigenes ISMS-Projekt ist im Rahmen von NIS-2 notwendig. Ziel ist es, eine Dokumentation der internen IT-Strukturen im Klinikum zu erhalten sowie die Bedarfsermittlung für zusätzliche Anschaffungen und Dienstleistungen sicherzustellen. Anforderungen an ein ISMS sind Sicherheitsmaßnahmen, die dem „Stand der Technik“ entsprechen. Hiermit sind technische oder organisatorische Maßnahmen gemeint, die den am Markt größtmöglich erhältlichen Schutz bieten. Viele Krankenhäuser sind bei der Umsetzung von NIS-2 auf externe Beratungsdienstleistungen angewiesen, da die Expertise sowie personelle Ressourcen intern nicht vorhanden sind.

4. Lieferketten überprüfen

Nur wer alle seine Lieferanten kennt, kann auch die gesamte Lieferkette in Bezug auf IT-Sicherheit überprüfen und absichern. Zunächst gilt es also die eingesetzten Produkte und Dienstleistungen zu identifizieren. Dies kann mithilfe des Einkaufs passieren, da hier alle Rechnungen eingehen. Augenscheinlich gehören zur Lieferkette neben physischen Gegenständen auch Software, zum Beispiel für medizinische Anwendungen oder die Patientenverwaltung. Lieferanten-Zertifikate sind hier eine Option, die branchenspezifische Standards ergänzen können. Wichtig ist aber, dass die Verantwortlichen diese regelmäßig auf Aktualität hin überprüfen.

5. Cybersicherheits-Zertifizierungen

Anbieter medizinischer Geräte sollten prüfen, ob sie zukünftig zertifiziert sein müssen. Für Kliniken ist die Käufersicht entscheidend. Künftig könnte es vorgeschrieben sein, dass nur noch zertifizierte Produkte eingesetzt werden dürfen. Hier können aktuell noch keine endgültigen Aussagen getroffen werden, da die entsprechende Rechtsverordnung fehlt und ungeklärt ist, welche Produkte betroffen sein werden. Was aber feststeht: Krankenhäuser sollten sich auf steigende Preise einstellen. Unternehmen werden die gestiegenen Ausgaben für Zertifizierungen an ihre Kunden weitergeben.

6. Meldeprozesse definieren

Innerhalb von 24 Stunden nach Bekanntwerden eines IT-Notfalls muss ein Krankenhaus laut EU-Verordnung die zuständige Meldestelle über den möglichen Cybersicherheitsvorfall informieren und innerhalb von 72 Stunden eine Bewertung abgeben. Die neue Direktive fordert nach einem Monat einen Abschluss- bzw. Zwischenbericht. Die Projektgruppe sollte sich beim Aufsetzen des Prozesses mit dem Datenschutzbeauftragten austauschen – dies bietet eine optimale Orientierung für Prozesse.

7. Vorbereitung auf regelmäßigen Austausch

Ein externes Austauschformat mit anderen Organisationen ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgesehen. Auf einer Plattform sollen sich die Betroffenen austauschen und eigene Erfahrungen teilen können, um einen optimalen Informationsfluss zu haben. Verantwortliche sollten in der Projektgruppe Personen festlegen, die hier teilnehmen. Aber: Wie genau dieses Format aussieht, ist aktuell noch nicht geklärt.

8. Registrierung beim BSI

Die unter NIS-2 fallende Organisation muss sich beim BSI als wichtiger oder wesentlicher Betrieb registrieren. In den meisten Kliniken lassen sich diese Daten schnell zusammentragen. Derzeit werden noch personelle und organisatorische Grundlagen für die Meldestelle beim BSI geschaffen.

Zeit zum Handeln ist jetzt!

In absehbarer Zeit müssen Kliniken NIS-2-konform sein und werden dies in den nächsten Jahren nachweisen müssen. Auch wenn sich die anfänglich festgelegte Frist von Oktober 2024 nach hinten verschiebt, gibt es jetzt Handlungsbedarf. Tritt in der Zwischenzeit bis zur Nachweispflicht ein sicherheitsrelevanter Vorfall ein, sollten Verantwortliche vorbereitet sein. Sonst kann es teuer werden.

Quelle Text: Tim Berghoff, Security Evangelist bei G DATA CyberDefense

Bildquelle: G DATA CyberDefense AG