1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. NIS2 in der Warteschleife

NIS2 in der Warteschleife

NIS2

Veröffentlicht 07.02.2025 09:10, Kim Wehrs

Durch die Umsetzung der NIS2-Maßnahmen können Krankenhäuser dazu beitragen, das Vertrauen in KI-gestützte medizinische Anwendungen zu stärken und die Patientensicherheit zu gewährleisten. Seit der ersten Lesung im Bundestag vom 11. Oktober 2024 und einer Expertenanhörung Anfang November hüllt sich die Bundesregierung in Bezug auf NIS-2 in Schweigen.  Aufgrund der anstehenden Neuwahlen und Schwierigkeiten bei der Regierungsbildung ist eine zeitnahe Umsetzung der NIS-2-Richtlinie eher unwahrscheinlich. 

Ab Februar 2025 verpflichtet der EU AI Act Krankenhäuser, die Künstliche Intelligenz (KI) einsetzen, spezifische personelle, organisatorische und technische Maßnahmen zu ergreifen. Ziel ist es, den sicheren, ethischen und rechtskonformen Einsatz von KI-Systemen im Gesundheitswesen sicherzustellen.

Personell müssen Krankenhäuser sicherstellen, dass alle Mitarbeitenden, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Dies umfasst technisches Wissen über die Funktionsweise von KI, Kenntnisse der rechtlichen Rahmenbedingungen, insbesondere des Datenschutzes, sowie ein Bewusstsein für ethische Fragestellungen. Regelmäßige Schulungen sind erforderlich, um das Personal auf dem neuesten Stand zu halten und den sachkundigen Umgang mit KI-Systemen zu gewährleisten.

 

Organisatorisch sind Krankenhäuser angehalten, interne Prozesse und Strukturen zu etablieren, die den verantwortungsvollen Einsatz von KI unterstützen. Dazu gehört die Implementierung von Risikomanagementsystemen, die potenzielle Gefahren identifizieren und bewerten, sowie die Festlegung klarer Verantwortlichkeiten für die Überwachung und Wartung der KI-Systeme. Zudem sollten transparente Entscheidungsprozesse geschaffen werden, um nachvollziehen zu können, wie und warum bestimmte KI-gestützte Entscheidungen getroffen wurden.


Anforderungen an KI-Kompetenz                                 

Laut Artikel 4 des AI Acts müssen Unternehmen sicherstellen, dass ihre Mitarbeitenden, die KI-Systeme nutzen oder betreiben, über ausreichend Kenntnisse verfügen. Dazu gehören: a) Technisches Wissen: Verständnis für die Funktionsweise von KI-Algorithmen, Datenverarbeitung und Softwareentwicklung. b) Regulatorisches Wissen: Kenntnis der gesetzlichen und ethischen Anforderungen im Umgang mit KI. c) Anwendungsspezifisches Wissen: Verständnis für die spezifischen Anforderungen und Risiken in den jeweiligen Einsatzbereichen. 

Technisch müssen Krankenhäuser sicherstellen, dass die eingesetzten KI-Systeme robust und zuverlässig sind. Es ist essenziell, die Qualität der Daten, mit denen die KI trainiert wird, zu gewährleisten, um Verzerrungen und Fehlinterpretationen zu vermeiden. Zudem sollten Mechanismen zur kontinuierlichen Überwachung der KI-Systeme implementiert werden, um deren Leistung zu bewerten und bei Bedarf Anpassungen vorzunehmen. Die Einhaltung von Datenschutzbestimmungen, insbesondere der DSGVO, ist dabei von zentraler Bedeutung, um die Privatsphäre der Patienten zu schützen.

Die Nichteinhaltung dieser Vorgaben kann zu erheblichen Strafen führen, die je nach Schwere des Verstoßes bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes betragen können. 

Kritik am aktuellen Entwurf sowie das bei Neuwahlen betreffende Diskontinuitätsprinzip (alle Gesetzentwürfe und andere Vorlagen, die vom alten Bundestag noch nicht beschlossen wurden, müssen neu eingebracht und verhandelt werden) lassen vermuten, dass das Gesetz noch einmal überarbeitet wird. Wann mit der finalen Umsetzung gerechnet werden kann, ist zu diesem Zeitpunkt daher nicht abzusehen.


Umsetzung in Unternehmen sofort erwartet

Das NIS2UmsuCG bzw. das darin neu gefasste BSI-Gesetz sehen nach Beschluss im Parlament keine weitere Umsetzungsfrist für die Unternehmen vor. Auch wenn – ähnlich wie nach Einführung der DSGVO –  nicht zu erwarten ist, dass am Tag nach dem Wirksamwerden Auditoren des BSI ausschwärmen und die Behörde danach Unternehmen mit Bußgeldern überzieht, so ist dennoch fraglich, ob die neuen, persönlichen Haftungsregeln für die Geschäftsleitung aus §38 BSIG nicht direkt angewandt und – in Schadensfällen – von Gesellschaftern bzw. Investoren auch eingefordert werden. 

 

Autor: Wolf-Dietrich Lorenz
Bild: Adobestock / Rawf8

 


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Schutz vor Cyberangriffen: Projekt setzt mit formaler Verifikation und Flexibilität neue Maßstäbe in der IT-Sicherheit
IT-Sicherheit & Kritis
PROTECT

Schutz vor Cyberangriffen: Projekt setzt mit formaler Verifikation und Flexibilität neue Maßstäbe in der IT-Sicherheit

„Köpfe der IT-Sicherheit“
IT-Sicherheit & Kritis
Podcast

„Köpfe der IT-Sicherheit“

CIA-Triade: Sicherheitsmodell in der Informationstechnologie
IT-Sicherheit & Kritis
ITSec

CIA-Triade: Sicherheitsmodell in der Informationstechnologie

Penetrationstest in der Krankenhaus-IT: Chancen und Risiken
IT-Sicherheit & Kritis
Pentest

Penetrationstest in der Krankenhaus-IT: Chancen und Risiken

Welche Risiken Unternehmen und Praxen bei der Einführung von KI-Tools drohen
IT-Sicherheit & Kritis
Daten

Welche Risiken Unternehmen und Praxen bei der Einführung von KI-Tools drohen

KI versus KI: Cyberangriffe der nächsten Generation abwehren
IT-Sicherheit & Kritis
ITSec

KI versus KI: Cyberangriffe der nächsten Generation abwehren

Lesen Sie hier die neuesten Beiträge

Vorschriften bremsen bei KI Investitionen und Implementierung
Künstliche Intelligenz
KI

Vorschriften bremsen bei KI Investitionen und Implementierung

LLM: Neue Datenarchitekturen für Komplexität medizinischer Daten
IT-Management
LLM

LLM: Neue Datenarchitekturen für Komplexität medizinischer Daten

15 Prozent der PCs im Gesundheitswesen fallen beim Security-Test durch
Aus dem Markt
Studie

15 Prozent der PCs im Gesundheitswesen fallen beim Security-Test durch

Diese Webseite verwendet Cookies.   Mehr Info.      oder