1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. Erweiterung der KRITIS-Regulierung und NIS2-Auswirkungen auf Krankenhäuser

Erweiterung der KRITIS-Regulierung und NIS2-Auswirkungen auf Krankenhäuser

Veröffentlicht 13.12.2024 10:20, Kim Wehrs

Die jüngste Ausweitung der KRITIS-Regulierung bringt erhebliche Änderungen für Krankenhäuser mit sich. Zukünftig fallen viele Einrichtungen des Gesundheitswesens, die bislang nicht als Kritische Infrastruktur (KRITIS) galten, unter die gesetzlichen Vorgaben. Der Schutz der Cybersicherheit steht hierbei im Mittelpunkt, da die Digitalisierung in Krankenhäusern stark vorangeschritten ist und diese zunehmend Ziel von Cyberangriffen werden.  Nach den Entwürfen des deutschen NIS2-Gesetzes soll der Anwendungsbereich der bisherigen KRITIS-Regulierung deutlich erweitert werden.

Die neue KRITIS-Regulierung, offiziell bekannt als KRITIS-Dachgesetz, soll voraussichtlich im Laufe des Jahres 2024 in Kraft treten. Das Gesetz zielt darauf ab, die Cybersicherheit und den Schutz kritischer Infrastrukturen (KRITIS) in Deutschland zu stärken. Es umfasst verschärfte Meldepflichten, strengere Anforderungen an die IT-Sicherheit sowie erweiterte Befugnisse für Behörden. Unternehmen, die als KRITIS-Betreiber gelten, müssen sich frühzeitig auf die neuen Anforderungen vorbereiten, da Verstöße mit erheblichen Bußgeldern geahndet werden können. Ein genauer Inkrafttretungstermin wird zeitnah erwartet. 

Die neue KRITIS-Regulierung bringt für Krankenhäuser als kritische Infrastrukturen erhebliche Herausforderungen und Risiken mit sich. Zum einen müssen sie umfangreiche Investitionen in IT-Sicherheitsmaßnahmen tätigen, um die verschärften Anforderungen zu erfüllen. Fehlende Ressourcen oder Expertise können die Umsetzung erschweren. Zum anderen drohen bei Verstößen gegen die neuen Vorschriften hohe Bußgelder, die finanzielle Belastungen verstärken könnten. Zusätzlich steigt der Druck, Cyberangriffe frühzeitig zu erkennen und zu melden, was bestehende Prozesse und Personal stark beanspruchen kann. Ein erhöhtes Risiko besteht darin, dass die Anpassung an die neuen Regeln nicht rechtzeitig gelingt, was die Betriebsfähigkeit und Patientensicherheit gefährden könnte. 

Mit der neuen Regulierung steigen sowohl die Anforderungen an technische als auch organisatorische Schutzmaßnahmen. Krankenhäuser müssen sicherstellen, dass sie angemessene IT-Sicherheitsmaßnahmen umsetzen, um den Schutz sensibler Patientendaten und die Funktionsfähigkeit medizinischer Systeme zu gewährleisten.

Rechtlich verpflichtet die KRITIS-Regulierung Krankenhäuser zur Einführung eines umfassenden Risikomanagementsystems. Dieses umfasst unter anderem die Durchführung von regelmäßigen Sicherheitsanalysen, die Etablierung eines Informationssicherheitsmanagementsystems (ISMS) und die Implementierung von Notfallplänen für den Fall eines IT-Ausfalls. Darüber hinaus werden die Berichtspflichten verschärft, was bedeutet, dass Krankenhäuser Sicherheitsvorfälle schneller und detaillierter melden müssen. Die Nichteinhaltung dieser Vorschriften kann zu erheblichen Bußgeldern und Reputationsschäden führen.
 

Haftung der Geschäftsführung 

Ein zentrales Thema ist die persönliche Haftung der Geschäftsführung. Geschäftsführer können haftbar gemacht werden, wenn sie nachweislich ihre Sorgfaltspflichten vernachlässigen. Um rechtliche Risiken zu minimieren, ist es entscheidend, klare Verantwortlichkeiten innerhalb der Organisation zu definieren und regelmäßig Schulungen für Mitarbeitende durchzuführen. Die Sicherheitskultur ist von zentraler Bedeutung. 

Zu den konkreten Maßnahmen zählen die regelmäßige Aktualisierung und Wartung der IT-Infrastruktur, die Durchführung von Penetrationstests, die Schulung des Personals im Umgang mit Phishing-Angriffen sowie die Zusammenarbeit mit externen Cybersicherheitsdienstleistern. Krankenhäuser sollten zudem in Verschlüsselungstechnologien und Zugangskontrollen investieren, um unbefugten Zugriff zu verhindern. Ein Krisenreaktionsplan sollte erarbeitet werden, der neben technischen auch kommunikative Maßnahmen umfasst, um im Ernstfall handlungsfähig zu bleiben.

Strategisch ist es ratsam, eine enge Zusammenarbeit mit Behörden und Branchenexperten zu suchen, um auf dem neuesten Stand regulatorischer und technischer Entwicklungen zu bleiben. Compliance-Audits helfen dabei, Schwachstellen zu identifizieren und kontinuierlich Verbesserungen umzusetzen. Mit einem proaktiven Ansatz können Krankenhäuser nicht nur den gesetzlichen Anforderungen gerecht werden, sondern auch das Vertrauen von Patienten und Partnern stärken.


Autor: Wolf-Dietrich Lorenz                                   Bild: Adobestock / Sahraya


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Gesundheitsbranche kontinuierlich im Visier von Cyberkriminellen
IT-Sicherheit & Kritis
Itsec

Gesundheitsbranche kontinuierlich im Visier von Cyberkriminellen

Hybride Bedrohungen verschärfen Cyberattacken
IT-Sicherheit & Kritis
Security

Hybride Bedrohungen verschärfen Cyberattacken

ATHENE-Whitepaper zur technischen Umsetzung des Cyber Resilience Acts
IT-Sicherheit & Kritis
Whitepaper

ATHENE-Whitepaper zur technischen Umsetzung des Cyber Resilience Acts

Quantenverschlüsselung für kritische Infrastrukturen und IT-Sicherheit an der Hochschule Nordhausen
IT-Sicherheit & Kritis
Security

Quantenverschlüsselung für kritische Infrastrukturen und IT-Sicherheit an der Hochschule Nordhausen

CRA verabschiedet – BSI sieht Cybersicherheit signifikant gestärkt
IT-Sicherheit & Kritis
BSI

CRA verabschiedet – BSI sieht Cybersicherheit signifikant gestärkt

UPDATE zum Cyberangriff auf die Johannesstift Diakonie
IT-Sicherheit & Kritis
Hacker

UPDATE zum Cyberangriff auf die Johannesstift Diakonie

Lesen Sie hier die neuesten Beiträge

Krankenhauszukunftsgesetz (KHZG) – Das Ende ist nah
IT-Management
KHZG

Krankenhauszukunftsgesetz (KHZG) – Das Ende ist nah

Erstmals 1000 „da Vinci“-Operationen in einem Jahr
Klinik-News
UKL

Erstmals 1000 „da Vinci“-Operationen in einem Jahr

Der Medizinexperte als Change-Agent: Neue Rollen für Führungskräfte im digitalen Gesundheitswesen
IT-Management
Change

Der Medizinexperte als Change-Agent: Neue Rollen für Führungskräfte im digitalen Gesundheitswesen

Diese Webseite verwendet Cookies.   Mehr Info.      oder