Mit der zunehmenden Digitalisierung, durch die eine moderne Patientenversorgung und Effizienzverbesserungen vieler Abläufe in Krankenhäusern erst ermöglicht wird, steigt leider auch das Schadens- und Ausfallrisiko der Krankenhäuser bei zunehmenden Cyberangriffen. Eine Zunahme derartiger Angriffe, auch auf Einrichtungen des Gesundheitswesens, spiegelt das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Cyber-Sicherheitsbehörde des Bundes in seinem jährlichen „Bericht zur Lage der IT-Sicherheit in Deutschland 2022“ wider.
Um dieser permanenten Bedrohung ein möglichst hohes Maß an Cybersicherheit entgegenzustellen, wird die Gesetzgebung zur Cybersicherheit regelmäßig erweitert und verschärft.
So gelten für Betreiber von Kritischen Infrastrukturen (KRITIS) in Deutschland, im Gesundheitswesen Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr, bereits umfängliche Verpflichtungen des Bundes zur Gewährleistung der Cybersicherheit. Auf EU-Ebene ist am 16. Januar 2023 die überarbeitete Richtlinie zur Netz- und Informationssicherheit (NIS-2) in Kraft getreten. Die hierin enthaltenen verschärften Vorgaben zur Cybersicherheit sind bis Oktober 2024 im nationalen Recht umzusetzen und werden Einfluss auf das Gesundheitswesen haben.
Die Richtlinie NIS-2 umfasst, als einen von 18 Sektoren, den Sektor Gesundheit, unter den nicht nur KRITIS-Häuser fallen, sondern unter anderem auch Gesundheitsdienstleister, Labore und Unternehmen der Pharmazeutik.
Da die Anforderungen der NIS-2 über die Bestimmungen des aktuell geltenden IT-Sicherheitsgesetzes 2.0 (IT-SiG) hinausgehen, ist anzunehmen, dass diese Anforderungen im IT-Sicherheitsgesetz 3.0 im laufenden Jahr etabliert werden. Um die heutigen Anforderungen des IT-SiG 2.0 zu erfüllen, empfiehlt es sich, ein Informationssicherheitsmanagementsystems (ISMS) zur
- Planung,
- Umsetzung und
- Überwachung der technischen und organisatorischen Maßnahmen zur Cybersicherheit
einzuführen.
Im Rahmen einer Risikoanalyse als Bestandteil einer ISMS-Implementierung werden die Informationssicherheitsrisiken und die besonders schützenswerten Informationen identifiziert und die erforderlichen Maßnahmen zur Reduzierung der Risiken und zur Erfüllung der Cybersicherheitsziele entwickelt und umgesetzt. Die Cybersicherheit muss in den Strukturen und Prozessen des Unternehmens verankert werden und die Wirksamkeit der Maßnahmen zur Cybersicherheit regelmäßig geprüft und kontinuierlich verbessert werden.
Mit Hilfe eines derartig konzipierten ISMS kann auf die zunehmende Bedrohungslage reagiert und die Cybersicherheit im Unternehmen gewährleistet werden.
Der Aufbau eines ISMS und die damit verbundene Umsetzung der Anforderungen für die Cybersicherheit sind ein langwieriger Prozess. Daher ist es sehr ratsam, sich diesem wichtigen Thema zeitnah zuzuwenden.
Sollten Sie und Ihr Unternehmen Unterstützung bei der Umsetzung der Cybersicherheit benötigen, kontaktieren Sie uns gerne. Wir stehen Ihnen mit unserem ganzheitlichen Beratungsangebot zur Verfügung. Jetzt Kontakt aufnehmen!