{"id":6566,"date":"2024-11-26T06:30:53","date_gmt":"2024-11-26T06:30:53","guid":{"rendered":"https:\/\/www.forenova.com\/blog\/nis2-compliance-requirements-for-the-healthcare-industry-in-germany\/"},"modified":"2024-12-17T12:52:18","modified_gmt":"2024-12-17T12:52:18","slug":"nis2-compliance-requirements-for-the-healthcare-industry-in-germany","status":"publish","type":"post","link":"https:\/\/www.forenova.com\/de\/blog\/nis2-compliance-requirements-for-the-healthcare-industry-in-germany\/","title":{"rendered":"NIS2-Compliance-Anforderungen f\u00fcr die Gesundheitsbranche in Deutschland"},"content":{"rendered":"

<\/p>\n

Organisationen des Gesundheitswesens in Deutschland m\u00fcssen mehrere Compliance-Vorschriften befolgen, um Ihre kritische Infrastruktur zu sch\u00fctzen. HIPAA f\u00fcr Deutschland, GDPR und das deutsche Bundesdatenschutzgesetz.<\/p>\n

Organisationen des Gesundheitswesens, die nach M\u00f6glichkeiten suchen, ihre Kosten f\u00fcr den Sicherheitsbetrieb zu senken, sind mit den Compliance-Vorgaben \u00fcberfordert. Um diese Anforderungen zu erf\u00fcllen, wenden sich die Organisationen an ForeNovas Managed Detection and Response (MDR<\/a>) Services.<\/p>\n

Warum ist NIS2 f\u00fcr alle Gesundheitsdienstleister in Deutschland notwendig?<\/strong><\/h2>\n

Gesundheitsdienstleister befinden sich noch mitten in der digitalen Transformation, modernisieren ihre verschiedenen medizinischen Anwendungen, r\u00fcsten Ger\u00e4te auf und erweitern den Zugriff auf elektronische Krankenakten. Sie m\u00fcssen den Anforderungen von\u00a0NIS2<\/a>\u00a0Rechnung tragen, indem sie die erforderlichen Sicherheitsma\u00dfnahmen und Notfallpl\u00e4ne w\u00e4hrend oder nach den Transformationsprojekten einf\u00fchren.<\/p>\n

NIS2 schreibt vor, dass alle Gesundheitsdienstleister die Compliance-Anforderungen erf\u00fcllen und \u00fcbertreffen m\u00fcssen.<\/p>\n

Im Folgenden finden Sie eine Liste der wichtigsten NIS2-Mandate, die alle in Deutschland ans\u00e4ssigen Gesundheitsdienstleister aktivieren oder ausf\u00fchren m\u00fcssen:<\/p>\n

    \n
  1. F\u00fchren Sie vor und nach Abschluss des Modernisierungsprojekts eine Risikoanalyse aller Anwendungen im Gesundheitswesen, der aktuellen Cybersicherheitspraktiken und der Ger\u00e4te durch, um besser bestimmen zu k\u00f6nnen, welche Abhilfema\u00dfnahmen zur Erf\u00fcllung der NIS2 erforderlich sind.<\/li>\n
  2. Die Einbettung automatisierter Funktionen zur Reaktion auf Vorf\u00e4lle und zur Behebung von Problemen in den normalen Gesch\u00e4ftsbetrieb tr\u00e4gt dazu bei, die Risiken im Bereich der Cybersicherheit zu verringern. Der Versuch, auf jeden Cyberangriff mit manuellen Ressourcen zu reagieren, ist nicht l\u00e4nger eine valide Option. Hacker, die k\u00fcnstliche Intelligenz (KI) und maschinelles Lernen (ML) einsetzen, erh\u00f6hen die Geschwindigkeit ihrer Angriffe, sodass Gesundheitsdienstleister dieser Bedrohung mit automatisierten Reaktionsfunktionen begegnen m\u00fcssen. Anbieter von Managed Detection and Response (MDR) wie ForeNova unterst\u00fctzen Kunden im Gesundheitswesen bei der Bew\u00e4ltigung dieser Herausforderung.<\/li>\n
  3. Alle Gesundheitsdienstleister m\u00fcssen Sicherungs- und Wiederherstellungsfunktionen bereithalten, um sicherzustellen, dass alle relevanten Gesundheitsdaten bei einem Ransomware-Angriff zug\u00e4nglich und abrufbar sind.<\/li>\n
  4. Gesundheitsdienstleister sind zunehmend von globalen Lieferketten f\u00fcr Medikamente, medizinische Ger\u00e4te, OP-Ausr\u00fcstung und Krankenhausbedarf abh\u00e4ngig. Jeder Anbieter muss alle notwendigen Cyber-Kontrollen implementieren, um Angriffe zu verhindern, die medizinische Daten stehlen, andere \u00d6kosystem-Parteien innerhalb der Lieferkette verletzen und den Krankenhausbetrieb st\u00f6ren.<\/li>\n
  5. Entwicklung und Umsetzung eines Programms zur Verwaltung von Schwachstellen, das eine kontinuierliche Bewertung, Berichterstattung und Empfehlungen zur Behebung umfasst.<\/li>\n
  6. Ein wesentlicher Teil des NIS2-Mandats f\u00fcr das Gesundheitswesen konzentriert sich auf die physische Sicherheit. Krankenh\u00e4user, Kliniken und abgelegene Standorte m\u00fcssen angemessene physische Sicherheitskontrollen einf\u00fchren und aufrechterhalten, einschlie\u00dflich biometrischem Zugang zu sensiblen Krankenhausbereichen, Ausweislesern, \u00dcberwachungskameras und geschultem Sicherheitspersonal.<\/li>\n
  7. Der Zugriff auf Anwendungen, Systeme, Netzwerkger\u00e4te und Workstations muss durch eine Multi-Faktor-Authentifizierung (MFA) gesch\u00fctzt werden, die f\u00fcr die Erf\u00fcllung der NIS2 unerl\u00e4sslich ist. Verst\u00f6\u00dfe gegen den Schutz von Krankenakten treten auf, sobald der Hacker die urspr\u00fcnglichen Anmeldedaten f\u00fcr Benutzernamen und Kennwort des medizinischen Personals gestohlen hat. Ohne MFA, die eine zweite Authentifizierungsebene bietet, haben Hacker leichten Zugang zu medizinischen Daten.<\/li>\n
  8. Im Rahmen von NIS2 m\u00fcssen Gesundheitsdienstleister die Verschl\u00fcsselung in allen Bereichen aktivieren, in denen sich personenbezogene Daten befinden, einschlie\u00dflich gehosteter Anwendungen, E-Mail-Systeme und Datenbanken. Alle Daten, ob bei der \u00dcbertragung oder im Ruhezustand, m\u00fcssen verschl\u00fcsselt werden.<\/li>\n
  9. Alle Gesundheitsdienstleister in Deutschland und den \u00fcbrigen EU-Mitgliedsstaaten m\u00fcssen sicherstellen, dass alle Mitarbeiter eine Schulung zum Thema Cybersicherheit absolvieren, um die NIS2 zu erf\u00fcllen.<\/li>\n
  10. Ein weiterer Bereich, der im NIS2-Mandat angesprochen wird, ist die Notwendigkeit f\u00fcr alle Gesundheitsdienstleister, alle Telefonate, E-Mails und Textnachrichten zu verschl\u00fcsseln.<\/li>\n<\/ol>\n

    Die Erf\u00fcllung und \u00dcbererf\u00fcllung dieser zehn Anforderungen der NIS2 ist f\u00fcr alle Gesundheitsdienstleister in Deutschland von entscheidender Bedeutung. Die Nichteinhaltung dieser zehn Richtlinien wird von der deutschen Beh\u00f6rde mit mehreren Geldbu\u00dfen und Strafen geahndet.<\/p>\n

    Verantwortlichkeit des Unternehmens<\/strong><\/h2>\n

    Vor den \u00c4nderungen im Rahmen von NIS2 haftete die Gesch\u00e4ftsleitung nicht pers\u00f6nlich f\u00fcr Fahrl\u00e4ssigkeit und vors\u00e4tzliches Fehlverhalten, wenn sie die Mittel f\u00fcr Cybersecurity-Kontrollen und die Erneuerung von Managed-Services-Vertr\u00e4gen k\u00fcrzte oder die Ressourcen f\u00fcr Sicherheitsma\u00dfnahmen reduzierte.<\/p>\n

    <\/strong><\/div>\n

    Die NIS2 in Deutschland besagt: \u201eDas Management eines Gesundheitsdienstleisters haftet f\u00fcr alle Sch\u00e4den, die durch die Organisation bei einer Datenverletzung oder einem anderen Cyberangriff verursacht werden. Die Geldbu\u00dfen k\u00f6nnen bis zu 10.000.000 \u20ac oder bis zu 2 % des Jahresumsatzes und die Aussetzung von Dienstleistungen betragen.\u201c<\/p>\n

    Die Beh\u00f6rden k\u00f6nnten zus\u00e4tzliche Geldstrafen gegen die deutsche Gesundheitsorganisation verh\u00e4ngen, wenn sie sie nicht innerhalb von 24 Stunden nach der Sicherheitsverletzung benachrichtigt. Die Gesundheitsorganisation muss au\u00dferdem innerhalb von 72 Stunden nach der ersten Benachrichtigung einen formellen Bericht \u00fcber den Vorfall einreichen, der auch eine Ursachenanalyse und andere wichtige Informationen enth\u00e4lt.<\/p>\n

    Neben den finanziellen Folgen drohen deutschen Gesundheitsorganisationen auch Auswirkungen auf ihren Ruf als vertrauensw\u00fcrdige Gesundheitsdienstleister. Die Organisation wird mit zahlreichen Klagen wegen Nichteinhaltung der Vorschriften konfrontiert werden.<\/p>\n

    Wie sollten deutsche Gesundheitsdienstleister mit nationalen Beh\u00f6rden im Zusammenhang mit NIS2 zusammenarbeiten?<\/strong><\/h2>\n

    NIS2 ist ein EU-weites Cybersicherheitsgesetz. Die Mitgliedsstaaten, darunter auch Deutschland, haben das Recht, weitere Anforderungen innerhalb des NIS2-Rahmens zu erlassen, die speziell f\u00fcr Gesundheitseinrichtungen gelten, die innerhalb ihrer Grenzen t\u00e4tig sind.<\/p>\n

    Die deutsche Regierung plant, ihre NIS2-Richtlinie zu aktualisieren, um die sich ver\u00e4ndernde globale Bedrohungslandschaft und ihre Auswirkungen auf die pers\u00f6nlichen Daten der B\u00fcrger zu ber\u00fccksichtigen. In den aktuellen Entw\u00fcrfen f\u00fcgte die Regierung Cybersecurity-Zertifizierungen f\u00fcr kritische Einrichtungen hinzu, die dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik alle drei Jahre aktualisierte Artefakte bez\u00fcglich ihrer technischen und betrieblichen Cybersecurity vorlegen m\u00fcssen.<\/p>\n

    Deutsche Gesundheitseinrichtungen der dritten Kategorie m\u00fcssen sicherstellen, dass sie dieses zus\u00e4tzliche NIS2-Mandat einhalten. NIS2 kann f\u00fcr einige Einrichtungen nicht gelten, da sie aufgrund ihrer Gr\u00f6\u00dfe oder anderer Faktoren nicht als wesentlich oder notwendig eingestuft werden k\u00f6nnen. Deutschland hat dies erkannt und eine dritte Kategorie entworfen.<\/p>\n

    Diese dritte Kategorie wird als kritische Einrichtungen bezeichnet.<\/p>\n

    Diese Erg\u00e4nzung befindet sich zwar noch im Entwurfsstadium, zeigt aber, dass jeder Mitgliedstaat, auch Deutschland, die M\u00f6glichkeit hat, zus\u00e4tzliche Anforderungen an Gesundheitsdienstleister zu stellen, die \u00fcber den urspr\u00fcnglichen Umfang der NIS2-Konformit\u00e4t hinausgehen.<\/p>\n

    Welche Rolle spielen MDR-Dienste bei der Einhaltung von NIS2?<\/strong><\/h2>\n

    Mit der Einf\u00fchrung von NIS2 m\u00fcssen Gesundheitsdienstleister in Deutschland einen proaktiveren Ansatz f\u00fcr die Sicherheitsabl\u00e4ufe verfolgen und sich st\u00e4rker auf einen risikobasierten Ansatz zum Schutz ihrer regulierten Daten konzentrieren.<\/p>\n

    Dieser ver\u00e4nderte Fokus auf Sicherheitsabl\u00e4ufe und Risikomanagement ver\u00e4ndert die Art und Weise, wie die Organisation auf Vorf\u00e4lle reagieren, Bedrohungen aufsp\u00fcren, auf Bedrohungsdaten zugreifen und Verschl\u00fcsselungsrichtlinien aktualisieren und implementieren muss. Diese \u00c4nderungen in der Art und Weise, wie die Organisation proaktiver und risikobasierter wird, spiegeln direkt wider, dass das Management weitaus st\u00e4rker als in den vergangenen Jahren f\u00fcr Sicherheitsverletzungen haftbar gemacht werden wird.<\/p>\n