23.04.2024

Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Director Informationssicherheit

Der regulatorische Rahmen ist komplex und setzt sich aus einer Vielzahl europäischer und nationaler Vorgaben zusammen. Mit der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) und dem entsprechenden Umsetzungsgesetz, das für Herbst 2024 erwartet wird, gibt es nun ein weiteres europäisches Regelwerk, das das Niveau der Cybersicherheit im Gesundheitswesen erhöhen soll. Mit der neuen Richtlinie werden Informationssicherheitsmaßnahmen für viele Organisationen verpflichtend, die bisher nicht zum klassischen KRITIS-Bereich zählten; auch Krankenhäuser sehen sich mit neuen Umsetzungsanforderungen konfrontiert. Darüber hinaus ist vor Kurzem ein weiteres Gesetz in Kraft getreten, das sich besonders an Akteure im Gesundheitswesen richtet: das Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen – kurz Digital-Gesetz (DigiG) .

Dieser Artikel gibt zunächst einen kurzen Überblick über die bestehenden Rahmenbedingungen und stellt dann die relevanten neuen Regeln vor.

Lernen Sie unsere Expertise in der Informationssicherheit kennen

Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.

Jetzt Kennenlerntermin vereinbaren

Überblick über den regulatorischen Rahmen

Für die Informationssicherheit im Gesundheitswesen ist eine Vielzahl europäischer und nationaler Vorgaben und Standards relevant. Zum europäischen Rechtsrahmen zählen insbesondere die Datenschutz-Grundverordnung (DSGVO), der Cyber Security Act (CSA), die Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie), die KI-Verordnung und die spezifisch für die Gesundheitsbranche geltende Medizinprodukteverordnung (MDR). Dieser Rahmen wird in Kürze durch den Cyber Resilience Act (CRA) noch erweitert. Die nationale Gesetzgebung umfasst unter anderem das Bundesdatenschutzgesetz (BDSG) sowie das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Darüber hinaus verpflichtet der 2020 durch das Patientendaten-Schutz-Gesetz (PDSG) eingeführte § 75c des Fünften Sozialgesetzbuchs (SGB V) seit 2022 alle Krankenhäuser in Deutschland zur Umsetzung angemessener Sicherheitsmaßnahmen. Dabei verweist das Gesetz direkt auf den branchenspezifischen Sicherheitsstandard der deutschen Krankenhausgesellschaft (B3S) als geeignete Grundlage für die Verbesserung der Informationssicherheit.

Dieser komplexe Rechtsrahmen wird nun durch die NIS-2 Richtlinie und das DigiG noch ergänzt.

NIS2-Richtlinie

Die NIS2-Richtlinie ist seit dem 16.01.2023 in Kraft; in Deutschland soll die Umsetzung bis Oktober 2024 durch das NIS2-Umsetzungs- und Cybersicherheits-Stärkungsgesetz (NIS2UmsuCG) erfolgen. Ziel der NIS2-Richtlinie ist es, die Anforderungen an Cybersicherheitsmaßnahmen auf in der EU zu vereinheitlichen und damit ein hohes Sicherheitsniveau für gesellschaftlich relevante Organisationen zu gewährleisten. Die Richtlinie baut inhaltlich auf der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS Richtlinie) auf, erweitert jedoch den persönlichen Anwendungsbereich und verschärft an verschiedenen Stellen die Anforderungen an die Informationssicherheit. So muss bei einem erheblichen Sicherheitsvorfall innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls eine Erstanzeige an die zuständige Behörde erfolgen und nach einem Monat ein Abschlussbericht vorgelegt werden.

Wesentliche und wichtige Einrichtungen müssen angemessene technische und organisatorische Maßnahmen (TOM) ergreifen. Hierzu schlägt die Richtlinie in Art. 21 Abs. 2 NIS2-RL unter anderem Maßnahmen wie Risikoanalyse, Krisenmanagement und den Einsatz von Kryptografie und Verschlüsselung vor. Eine besondere Verantwortung kommt dabei der Unternehmensleitung zu. Sie ist verpflichtet, Risikomanagementmaßnahmen zur Cybersicherheit zu genehmigen und deren Umsetzung zu überwachen.

DigiG

Das DigiG ist Teil der nationalen Digitalisierungsstrategie für das Gesundheitswesen und der Pflege. Mit dem DigiG soll die digitale Transformation des Gesundheitswesens und der Pflege konsequent weiterentwickelt und beschleunigt werden. Es ist am 26.03.2024 in Kraft getreten.  Ziel des Gesetzes ist es insbesondere

  • die Potenziale der elektronischen Patientenakte (ePA) zu nutzen, indem diese flächendeckend in die Versorgung integriert wird,
  • das E-Rezept weiterzuentwickeln und verbindlich einzuführen,
  • digitale Gesundheitsanwendungen (DiGA) besser nutzbar zu machen und
  • Videosprechstunden und Telekonsultationen weiterzuentwickeln.

Darüber hinaus soll auch die Cybersicherheit erhöht werden. Hierzu überführt das DigiG die bisherigen §§ 75b und 75c SGB V in die neuen §§ 390, 391 SGB V, die nunmehr auch  verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Praxispersonal und Krankenhausmitarbeiter:innen vorsehen. Ein neu eingefügter § 392 SGB V verpflichtet Krankenkassen dazu, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der jeweiligen Krankenkasse und für die Sicherheit der verarbeiteten Versichertendaten maßgeblich sind, zu vermeiden. Außerdem erlaubt der neue § 393 SGB V, dass Sozial- und Gesundheitsdaten auch im Rahmen von Cloud Computing Diensten verarbeitet werden dürfen, wenn diese den Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamt für Sicherheit in der Informationstechnik (BSI) erfüllen.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 3 plus 7.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Professionelle Unterstützung bei der Umsetzung der neuen Anforderungen

Die NIS2-Richtlinie und das DigiG enthalten eine Reihe von Neuerungen, um den Gesundheitssektor auf die gestiegenen Anforderungen im Bereich der Cybersicherheit vorzubereiten. Betroffene sind gut beraten, in geeignete Maßnahmen, Einrichtungen und gegebenenfalls externe Dienstleister zu investieren, um den gesetzlichen Anforderungen an die Informationssicherheit gerecht zu werden. Als auf Informationssicherheit im Gesundheitswesen spezialisierte Beratung bieten wir Ihnen umfassende Unterstützung bei der Umsetzung dieser neuen Regelungen. Wir helfen Ihnen, die Anforderungen zu verstehen, Risiken zu minimieren und alle notwendigen Maßnahmen effektiv umzusetzen. Gerne beraten wir Sie zu Fragen des Datenschutzes und der Informationssicherheit, um Ihr Unternehmen oder Ihre Einrichtung optimal auf die aktuellen Änderungen vorzubereiten.

Weitere Neuigkeiten

10.09.2024

Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern

Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.

Weiterlesen …