Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Überblick über den regulatorischen Rahmen

Für die Informationssicherheit im Gesundheitswesen ist eine Vielzahl europäischer und nationaler Vorgaben und Standards relevant. Zum europäischen Rechtsrahmen zählen insbesondere

• die Datenschutz-Grundverordnung (DSGVO),
• der Cyber Security Act (CSA),
• die Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie),
• die KI-Verordnung und
• die spezifisch für die Gesundheitsbranche geltende Medizinprodukteverordnung (MDR).

Dieser Rahmen wird in Kürze durch den Cyber Resilience Act (CRA) noch erweitert.

Die nationale Gesetzgebung umfasst unter anderem das Bundesdatenschutzgesetz (BDSG) sowie das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Darüber hinaus verpflichtet der 2020 durch das Patientendaten-Schutz-Gesetz (PDSG) eingeführte § 75c des Fünften Sozialgesetzbuchs (SGB V) seit 2022 alle Krankenhäuser in Deutschland zur Umsetzung angemessener Sicherheitsmaßnahmen. Dabei verweist das Gesetz direkt auf den branchenspezifischen Sicherheitsstandard der deutschen Krankenhausgesellschaft (B3S) als geeignete Grundlage für die Verbesserung der Informationssicherheit.

Dieser komplexe Rechtsrahmen wird nun durch die NIS-2 Richtlinie und das DigiG noch ergänzt.

Mit der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) und dem entsprechenden Umsetzungsgesetz, das für Q1 2025 erwartet wird, gibt es nun ein weiteres europäisches Regelwerk, das das Niveau der Cybersicherheit im Gesundheitswesen erhöhen soll. Mit der neuen Richtlinie werden Informationssicherheitsmaßnahmen für viele Organisationen verpflichtend, die bisher nicht zum klassischen KRITIS-Bereich zählten; auch Krankenhäuser sehen sich mit neuen Umsetzungsanforderungen konfrontiert.

Darüber hinaus ist im März 2024 ein weiteres Gesetz in Kraft getreten, das sich besonders an Akteure im Gesundheitswesen richtet: das Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen – kurz Digital-Gesetz (DigiG) .

NIS2-Richtlinie

Die NIS2-Richtlinie ist seit dem 16.01.2023 in Kraft; in Deutschland soll die Umsetzung bis Oktober 2024 durch das NIS2-Umsetzungs- und Cybersicherheits-Stärkungsgesetz (NIS2UmsuCG) erfolgen. Ziel der NIS2-Richtlinie ist es, die Anforderungen an Cybersicherheitsmaßnahmen auf in der EU zu vereinheitlichen und damit ein hohes Sicherheitsniveau für gesellschaftlich relevante Organisationen zu gewährleisten.

Die Richtlinie baut inhaltlich auf der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS Richtlinie) auf, erweitert jedoch den persönlichen Anwendungsbereich und verschärft an verschiedenen Stellen die Anforderungen an die Informationssicherheit.

So muss bei einem erheblichen Sicherheitsvorfall innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls eine Erstanzeige an die zuständige Behörde erfolgen und nach einem Monat ein Abschlussbericht vorgelegt werden.

Wesentliche und wichtige Einrichtungen müssen angemessene technische und organisatorische Maßnahmen (TOM) ergreifen. Hierzu schlägt die Richtlinie in Art. 21 Abs. 2 NIS2-RL unter anderem Maßnahmen wie Risikoanalyse, Krisenmanagement und den Einsatz von Kryptografie und Verschlüsselung vor. Eine besondere Verantwortung kommt dabei der Unternehmensleitung zu. Sie ist verpflichtet, Risikomanagementmaßnahmen zur Cybersicherheit zu genehmigen und deren Umsetzung zu überwachen.

DigiG

Das DigiG ist Teil der nationalen Digitalisierungsstrategie für das Gesundheitswesen und der Pflege. Mit dem DigiG soll die digitale Transformation des Gesundheitswesens und der Pflege konsequent weiterentwickelt und beschleunigt werden. Es ist am 26.03.2024 in Kraft getreten. Ziel des Gesetzes ist es insbesondere

• die Potenziale der elektronischen Patientenakte (ePA) zu nutzen, indem diese flächendeckend in die Versorgung integriert wird,
• das E-Rezept weiterzuentwickeln und verbindlich einzuführen,
• digitale Gesundheitsanwendungen (DiGA) besser nutzbar zu machen und
• Videosprechstunden und Telekonsultationen weiterzuentwickeln.

Darüber hinaus soll auch die Cybersicherheit erhöht werden. Hierzu überführt das DigiG die bisherigen §§ 75b und 75c SGB V in die neuen §§ 390, 391 SGB V, die nunmehr auch  verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Praxispersonal und Krankenhausmitarbeiter:innen vorsehen.

Ein neu eingefügter § 392 SGB V verpflichtet Krankenkassen dazu, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der jeweiligen Krankenkasse und für die Sicherheit der verarbeiteten Versichertendaten maßgeblich sind, zu vermeiden.

Außerdem erlaubt der neue § 393 SGB V, dass Sozial- und Gesundheitsdaten auch im Rahmen von Cloud Computing Diensten verarbeitet werden dürfen, wenn diese den Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamt für Sicherheit in der Informationstechnik (BSI) erfüllen.

Professionelle Unterstützung bei der Umsetzung der neuen Anforderungen

Die NIS2-Richtlinie und das DigiG enthalten eine Reihe von Neuerungen, um den Gesundheitssektor auf die gestiegenen Anforderungen im Bereich der Cybersicherheit vorzubereiten. Betroffene sind gut beraten, in geeignete Maßnahmen, Einrichtungen und gegebenenfalls externe Dienstleister zu investieren, um den gesetzlichen Anforderungen an die Informationssicherheit gerecht zu werden.

Als auf Informationssicherheit im Gesundheitswesen spezialisierte Beratung bieten wir Ihnen umfassende Unterstützung bei der Umsetzung dieser neuen Regelungen. Wir helfen Ihnen, die Anforderungen zu verstehen, Risiken zu minimieren und alle notwendigen Maßnahmen effektiv umzusetzen. Gerne beraten wir Sie zu Fragen des Datenschutzes und der Informationssicherheit, um Ihr Unternehmen oder Ihre Einrichtung optimal auf die aktuellen Änderungen vorzubereiten.