Die EU-Direktive NIS2 (Network and Information Security Directive) tritt am 18. Oktober 2024 in Kraft und verschärft die Anforderungen an die IT-Sicherheit in Krankenhäusern und Kliniken deutlich. Die neuen Vorgaben zielen darauf ab, die kritische Infrastruktur des Gesundheitswesens besser vor Cyberangriffen zu schützen. Die Geschäftsführung trägt die volle Verantwortung für die Umsetzung der NIS2-Vorgaben im Krankenhaus.
Krankenhäuser im Fokus: Als Betreiber "essentieller Dienste" fallen Krankenhäuser direkt unter die NIS2-Regularien. Das bedeutet, dass sie umfangreiche Maßnahmen zur Identifizierung und Bewertung von IT-Sicherheitsrisiken, zur Implementierung technischer und organisatorischer Sicherheitsmaßnahmen sowie zur Reaktion auf Cyberangriffe ergreifen müssen. Die neue Richtlinie geht deutlich weiter als die Vorgängerversion NIS1. Sie enthält erweiterte Anforderungen an das Risikomanagement, die Verschlüsselung von Daten, die Incident-Response-Prozesse und die Meldepflichten bei Sicherheitsvorfällen.
Krankenhäuser müssen ihre IT-Security entsprechend den NIS2-Vorgaben anpassen. Dazu gehört die Einführung eines umfassenden Risikomanagements, die Verschlüsselung von Daten, die Durchführung von Penetrationstests und die Einführung eines Incident-Response-Plans.
Verantwortung der Geschäftsführung: Die Geschäftsführung trägt die volle Verantwortung für die Umsetzung der NIS2-Vorgaben im Krankenhaus. Sie muss sicherstellen, dass die notwendigen Ressourcen und Prozesse bereitgestellt werden, um die IT-Sicherheit zu gewährleisten. Bei Verstößen gegen die Richtlinie drohen empfindliche Bußgelder.
Kombination aus internen und externen Ressourcen
Um bis Mitte Oktober NIS2-konform zu werden, sollten Krankenhäuser eine Bestandsaufnahme ihrer IT-Infrastruktur durchführen und Schwachstellen identifizieren, ein Risikomanagement implementieren, die notwendigen technischen und organisatorischen Maßnahmen zur Umsetzung der NIS2-Vorgaben ergreifen, sowie Mitarbeiter auf die neuen Anforderungen schulen und einen Incident-Response-Plan für den Fall eines Cyberangriffs erstellen. Die richtige Herangehensweise ist eine Kombination aus internen und externen Ressourcen. Krankenhäuser sollten erfahrene IT-Sicherheitsexperten in die Pflicht nehmen und auf bewährte Lösungen zurückgreifen. Die notwendigen Investitionen für Krankenhäuser hängen von der Größe und Komplexität der IT-Infrastruktur ab. Es ist jedoch davon auszugehen, dass die meisten Krankenhäuser in den nächsten Monaten und Jahren erhebliche Summen in die IT-Sicherheit investieren müssen.
Mit der richtigen Herangehensweise und den notwendigen Investitionen können Krankenhäuser die neuen Anforderungen erfolgreich meistern und die Sicherheit ihrer IT-Systeme und -Netzwerke deutlich verbessern sowie die kritische Infrastruktur des Gesundheitswesens besser vor Cyberangriffen schützen. Krankenhäuser sollten die Zeit bis Mitte Oktober 2024 nutzen, um sich auf die neuen Anforderungen der NIS2-Direktive vorzubereiten. Die Investition in die IT-Sicherheit ist eine Investition in die Zukunft des Krankenhauses.
Autor: Wolf-Dietrich Lorenz
Foto: Adobe Stock / Denys Rudyi