Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.

Der regulatorische Rahmen ist komplex und setzt sich aus einer Vielzahl europäischer und nationaler Vorgaben zusammen. Mit der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) und dem entsprechenden Umsetzungsgesetz, das für Herbst 2024 erwartet wird, gibt es nun ein weiteres europäisches Regelwerk, das das Niveau der Cybersicherheit im Gesundheitswesen erhöhen soll. Mit der neuen Richtlinie werden Informationssicherheitsmaßnahmen für viele Organisationen verpflichtend, die bisher nicht zum klassischen KRITIS-Bereich zählten; auch Krankenhäuser sehen sich mit neuen Umsetzungsanforderungen konfrontiert. Darüber hinaus ist vor Kurzem ein weiteres Gesetz in Kraft getreten, das sich besonders an Akteure im Gesundheitswesen richtet: das Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen – kurz Digital-Gesetz (DigiG) .

Dieser Artikel gibt zunächst einen kurzen Überblick über die bestehenden Rahmenbedingungen und stellt dann die relevanten neuen Regeln vor. 

Überblick über den regulatorischen Rahmen

Für die Informationssicherheit im Gesundheitswesen ist eine Vielzahl europäischer und nationaler Vorgaben und Standards relevant. Zum europäischen Rehtsrahmen zählen insbesondere die Datenschutzgrundverordnung (DSGVO), der Cyber Security Act (CSA), die Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie), die KI-Verordnung und die spezifisch für die Gesundheitsbranche geltende Medizinprodukteverordnung (MDR). Dieser Rahmen wird in Kürze durch den Cyber Resilience Act (CRA) noch erweitert. Die nationale Gesetzgebung umfasst unter anderem das Bundesdatenschutzgesetz (BDSG) sowie das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Darüber hinaus verpflichtet der 2020 durch das Patientendaten-Schutz-Gesetz (PDSG) eingeführte § 75c des Fünften Sozialgesetzbuchs (SGB V) seit 2022 alle Krankenhäuser in Deutschland zur Umsetzung angemessener Sicherheitsmaßnahmen. Dabei verweist das Gesetz direkt auf den branchenspezifischen Sicherheitsstandard der deutschen Krankenhausgesellschaft (B3S) als geeignete Grundlage für die Verbesserung der Informationssicherheit.

Dieser komplexe Rechtsrahmen wird nun durch die NIS-2 Richtlinie und das DigiG noch ergänzt:

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

NIS2-Richtlinie

Die NIS2-Richtlinie ist seit dem 16.01.2023 in Kraft; in Deutschland soll die Umsetzung bis Oktober 2024 durch das NIS2-Umsetzungs- und Cybersicherheits-Stärkungsgesetz (NIS2UmsuCG) erfolgen. Ziel der NIS2-Richtlinie ist es, die Anforderungen an Cybersicherheitsmaßnahmen auf in der EU zu vereinheitlichen und damit ein hohes Sicherheitsniveau für gesellschaftlich relevante Organisationen zu gewährleisten. Die Richtlinie baut inhaltlich auf der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS Richtlinie) auf, erweitert jedoch den persönlichen Anwendungsbereich und verschärft an verschiedenen Stellen die Anforderungen an die Informationssicherheit. So muss bei einem erheblichen Sicherheitsvorfall innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls eine Erstanzeige an die zuständige Behörde erfolgen und nach einem Monat ein Abschlussbericht vorgelegt werden.   Wesentliche und wichtige Einrichtungen müssen angemessene technische und organisatorische Maßnahmen (TOM) ergreifen. Hierzu schlägt die Richtlinie in Art. 21 Abs. 2 NIS2-RL unter anderem Maßnahmen wie Risikoanalyse, Krisenmanagement und den Einsatz von Kryptografie und Verschlüsselung vor. Eine besondere Verantwortung kommt dabei der Unternehmensleitung zu. Sie ist verpflichtet, Risikomanagementmaßnahmen zur Cybersicherheit zu genehmigen und deren Umsetzung zu überwachen.

DigiG

Das DigiG ist Teil der nationalen Digitalisierungsstrategie für das Gesundheitswesen und der Pflege. Mit dem DigiG soll die digitale Transformation des Gesundheitswesens und der Pflege konsequent weiterentwickelt und beschleunigt werden. Es ist am 26.03.2024 in Kraft getreten.  Ziel des Gesetzes ist es insbesondere

  • die Potenziale der elektronischen Patientenakte (ePA) zu nutzen, indem diese flächendeckend in die Versorgung integriert wird,
  • das E-Rezept weiterzuentwickeln und verbindlich einzuführen,
  • digitale Gesundheitsanwendungen (DiGA) besser nutzbar zu machen und
  • Videosprechstunden und Telekonsultationen weiterzuentwickeln.

Darüber hinaus soll auch die Cybersicherheit erhöht werden. Hierzu überführt das DigiG die bisherigen §§ 75b und 75c SGB V in die neuen §§ 390, 391 SGB V, die nunmehr auch  verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Praxispersonal und Krankenhausmitarbeiter:innen vorsehen. Ein neu eingefügter § 392 SGB V verpflichtet Krankenkassen dazu, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der jeweiligen Krankenkasse und für die Sicherheit der verarbeiteten Versichertendaten maßgeblich sind, zu vermeiden. Außerdem erlaubt der neue § 393 SGB V, dass Sozial- und Gesundheitsdaten auch im Rahmen von Cloud Computing Diensten verarbeitet werden dürfen, wenn diese den Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamt für Sicherheit in der Informationstechnik (BSI) erfüllen.

Professionelle Unterstützung bei der Umsetzung der neuen Anforderungen

Die NIS2-Richtlinie und das DigiG enthalten eine Reihe von Neuerungen, um den Gesundheitssektor auf die gestiegenen Anforderungen im Bereich der Cybersicherheit vorzubereiten. Betroffene sind gut beraten, in geeignete Maßnahmen, Einrichtungen und gegebenenfalls externe Dienstleister zu investieren, um den gesetzlichen Anforderungen an die Informationssicherheit gerecht zu werden. Als auf Informationssicherheit im Gesundheitswesen spezialisierte Beratung bieten wir Ihnen umfassende Unterstützung bei der Umsetzung dieser neuen Regelungen. Wir helfen Ihnen, die Anforderungen zu verstehen, Risiken zu minimieren und alle notwendigen Maßnahmen effektiv umzusetzen. Gerne beraten wir Sie zu Fragen des Datenschutzes und der Informationssicherheit, um Ihr Unternehmen oder Ihre Einrichtung optimal auf die aktuellen Änderungen vorzubereiten.

Mehr zum Thema

  • Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

    Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.

    Weiterlesen

  • NIS 2 Richtlinie

    Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

    Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.

    Weiterlesen

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen