Krankenwagen in Blaulichtfahrt

NIS2: Bundesrat verabschiedet Gesetz

Lange wurde diskutiert, Fristen wurden verschoben, doch nun ist es offiziell: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde am 21. November im Bundesrat verabschiedet. Für die IT-Sicherheit in Europa ist das ein Meilenstein, für deutsche Gesundheitseinrichtungen beginnt nun die Phase der akuten Umsetzung.

Doch was ändert sich konkret für Kliniken, Labore und Hersteller im Gesundheitssektor? Hier ist der Überblick.Image of digital cybersecurity in a modern hospital environment

1. Der Kreis der Betroffenen wird größer

Bisher lag der Fokus vor allem auf den klassischen „KRITIS“-Betreibern (z. B. große Krankenhäuser). Mit NIS2 ändert sich das drastisch. Die Richtlinie unterscheidet nun zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen.

Das bedeutet: Auch kleinere Krankenhäuser, medizinische Labore, Hersteller von Medizinprodukten und Pharmaunternehmen fallen nun fast ausnahmslos unter die Regulierung. Wer bisher dachte „Wir sind zu klein“, muss jetzt dringend umdenken.

2. Strengere Meldepflichten

Die Zeit drängt im Ernstfall. NIS2 verschärft die Meldewege bei Sicherheitsvorfällen erheblich:

  • 24 Stunden: Eine Frühwarnung an das BSI muss innerhalb eines Tages nach Kenntnisnahme eines erheblichen Vorfalls erfolgen.
  • 72 Stunden: Ein ausführlicherer Bericht muss folgen.
  • 1 Monat: Ein Abschlussbericht ist fällig.

3. Die Geschäftsführung haftet persönlich

Das ist wohl der brisanteste Punkt des Gesetzes. Cybersicherheit ist keine reine IT-Abteilung-Aufgabe mehr, sondern Chefsache. Die Geschäftsleitung ist verpflichtet, Risikomanagementmaßnahmen zu billigen und deren Umsetzung zu überwachen.

Achtung: Bei Verstößen drohen nicht nur empfindliche Bußgelder gegen die Einrichtung, sondern unter Umständen auch eine persönliche Haftung der Geschäftsleiter.

4. Sicherheit entlang der Lieferkette

Es reicht nicht mehr, nur die eigene „Firewall“ hochzuziehen. Gesundheitseinrichtungen müssen nun auch die Sicherheit ihrer Lieferanten (Supply Chain Security) im Blick haben. Das betrifft Softwareanbieter für Krankenhausinformationssysteme (KIS) ebenso wie Dienstleister für medizinische Geräte.

Fazit: Handeln statt Panik

Das Gesetz ist da, und die Übergangsfristen sind knapp. Für Gesundheitseinrichtungen bedeutet dies:

  1. Betroffenheit prüfen: Fallen wir unter NIS2?
  2. Gap-Analyse: Wo stehen wir im Vergleich zu den neuen Anforderungen?
  3. Schulung: Die Geschäftsführung muss bezüglich ihrer neuen Verantwortung geschult werden.

Die Patientensicherheit hängt heute mehr denn je von der digitalen Sicherheit ab. NIS2 ist der Hebel, um dies sicherzustellen.

getaggt in:

Jonas Hanfland