Der VPKA Bayern unterrichtete seine Mitglieder im Rahmen einer digitalen Informationsveranstaltung über die Anforderungen aus der NIS 2-Richtlinie der EU. Referent Christoph Schultejans, IT-Revisor beim Datenschutzdienstleister Procedo, gab, unterstützt von Lukas Mempel, Konzerndatenschutzbeauftragter der SANA Kliniken, Tipps zum Umgang mit den Regulierungsvorschriften. Die meisten davon seien für die Häuser nichts Neues.

„Bei der EU-Richtlinie NIS 2 handelt es sich um eine Mittelstandsregulierung“, so Schultejans. „Sie betrifft viele kleine Häuser und Dienstleister im Gesundheitswesen, die bisher nicht im Fokus der IT-Sicherheitsregulierung erfasst wurden.“ Auch Rehabilitationseinrichtungen würden „mit ziemlicher Sicherheit“ betroffen sein. Sie sollten sich darum unbedingt an den Vorgaben orientieren, um auf der sicheren Seite zu sein.“

Die EU wolle mit der Richtlinie niemanden schikanieren, unterstrich er. „Der Fokus liegt vielmehr auf dem Schutz der Betreiber und Betroffenen. Es geht darum, die Cyberresilienz zu stärken und die eigene Leistungsfähigkeit sicherzustellen – was letztlich im Eigeninteresse der Einrichtungen ist.“ Es werde einen aktiven Austausch geben. „Sie müssen Sicherheitsvorfälle künftig innerhalb von 24 Stunden beim BSI melden. Umgekehrt erhalten Sie Ihrerseits vom BSI Informationen über bestehende Bedrohungslagen und mit welchen Maßnahmen Sie diesen begegnen können.“

Vieles ist bereits selbstverständlich

Viele Aspekte der NIS 2 seien zumindest für die Akutkrankenhäuser nichts Neues, beruhigte Schultejans. „Es gibt im Gesundheitsbereich ja bereits klare Regulierungen für die IT- und Informationssicherheit. NIS 2 überschneidet sich in vielen Punkten mit den IT-Sicherheitsanforderungen aus § 391 SGV an Krankenhäuser. Es aktualisiert das BSIG. Somit ist vieles, was gefordert wird, ohnehin bereits eine Selbstverständlichkeit. Der Handlungsbedarf besteht eher in der Dokumentation.“ Lukas Mempel, Konzerndatenschutzbeauftragter der Sana Kliniken, ergänzte: „Auch B3S geht weit über die Anforderungen aus NIS 2 hinaus. Die Anforderungen sind also machbar.“

Worauf kommt es jetzt an?

Wichtig sei für alle Betroffenen nun zunächst die Analyse und das Verständnis der eigenen IT- und Informationssicherheitsrisiken, der eigenen Fähigkeit, Sicherheitsrisiken überhaupt zu erkennen sowie ein daraus resultierender sinnvoller Maßnahmenplan. Cloudanwendungen ohne sichere Authentifikation (Multifaktor) seien beispielsweise ein No-Go.

Überdies müssten Lieferanten künftig stärker überwacht werden, „denn gegenwärtig sind Lieferantenkettenangriffe sehr häufig. Beispielsweise werden Fernzugriffskonzepte durch Hacker ausgenutzt.“ Ein weiterer wichtiger Punkt: IT-Dienstleister und Cloud-Provider von Krankenhausbetrieben müssen (bereits heute nach §393 SGB V) über ein C5-Testat vom Typ 2 verfügen, um weiterhin eingesetzt werden zu dürfen. ISO 27001 reicht nicht mehr aus. „Wo all die zertifizierten IT-Dienstleister herkommen sollen, ist mir ein Rätsel“, gab er zu. Eines der größten Sicherheitsrisiken sei zudem die mangelnde Personalausstattung und das mangelnde Knowhow. Hier schlage die Unterfinanzierung zu Buche. Schultejans riet zu Handeln mit Maß und Ziel. „Es macht keinen Sinn, jetzt alle möglichen Sicherheits-Features einzukaufen. Man muss abwägen, was Priorität hat und sinnvoll ist.“

Wann genau die NIS 2-Regelung der EU hierzulande in Kraft tritt, ist noch unklar. „Ursprünglich war März 2025 als Start vorgesehen. Aktuell ist es aber nicht abzusehen, was die Minderheitsregierung de facto noch verabschieden kann.“ Schultejans empfahl den Einrichtungen dringend, sich dennoch so bald wie möglich auf den Start vorzubereiten, „denn mit einer Übergangsfrist ist nicht zu rechnen.“

Über den Verband der Privatkrankenanstalten in Bayern e.V.

Der Verband der Privatkrankenanstalten in Bayern e. V. (VPKA) setzt sich als dynamischer und praxisnaher Verband seit mehr als 75 Jahren bayernweit für die inhaltlichen Belange der privaten Akut- und Rehakliniken ein. Er vertritt als größter Landesverband rund 170 Einrichtungen mit knapp 25.000 Betten. Sein Ziel ist eine qualitativ hochwertige, innovative und wirtschaftliche Patientenversorgung in Krankenhäusern und Rehabilitationskliniken. Neben der Beratung seiner Mitglieder vertritt er die Belange der Privatkrankenanstalten in gesellschaftlichen, sozialpolitischen und tariflichen Angelegenheiten.

Firmenkontakt und Herausgeber der Meldung:

Verband der Privatkrankenanstalten in Bayern e.V.
Kreillerstr. 24
81673 München
Telefon: +49 (89) 5730-99
Telefax: +49 (89) 5734-88
http://www.vpka-bayern.de

Ansprechpartner:
Ulrike Messenzehl
Telefon: 08319607290
E-Mail: info@denkstroeme.com
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel