NIS-2 Check-up: Was neu betroffene Einrichtungen jetzt tun müssen

Langfristig zahlen sich entsprechende Maßnahmen aber aus – sie schützen Einrichtungen nachhaltig vor Cyberangriffen und sichern die Versorgung der Patient*innen.

Da sie essenziell für das Gemeinwohl und die medizinische Versorgung der Bevölkerung sind, stuft NIS-2 Kliniken und Krankenhäuser als „besonders wichtige Einrichtungen“ ein. Mit einer ganzheitlichen Strategie lassen sich die NIS-2-Anforderungen strukturiert und abgestimmt mit den verfügbaren finanziellen und personellen Ressourcen umsetzen.

Betroffenheit prüfen und Umsetzung strukturiert starten

Zunächst müssen Klinikbetreiber klären, ob ihre Einrichtung überhaupt von NIS-2 betroffen ist. Diese Betroffenheitsanalyse bildet die Grundlage für alle weiteren Schritte. Die Anforderungen sind komplex und teilweise schwer nachvollziehbar. Externe Dienstleister können Orientierung geben und schnell unterstützen – damit interne Ressourcen entlastet werden. Berater*innen analysieren dafür die aktuellen Gegebenheiten und individuellen Bedürfnisse der jeweiligen Einrichtung, um die Umsetzung Schritt für Schritt zu begleiten.

Ist eine Einrichtung betroffen, empfiehlt sich eine Gap-Analyse, um den aktuellen Stand der Informationssicherheit mit den regulatorischen Anforderungen zu vergleichen. Auf dieser Basis lässt sich ein Maßnahmenplan mit klaren Verantwortlichkeiten und Meilensteinen entwickeln. Zuletzt geht es in der Umsetzungsphase darum, Fortschritte kontinuierlich zu verfolgen und die Wirksamkeit der Maßnahmen regelmäßig zu überprüfen.

Unabhängig von individuellen Maßnahmen sollten „wichtige“ und „besonders wichtige Einrichtungen“ drei zentrale Pflichten priorisieren: Registrierung und Meldung von Sicherheitsvorfällen, Umsetzung eines Risikomanagements sowie Schulung der Geschäftsleitung. 

Diese Pflichten müssen Kliniken jetzt erfüllen 

Der Registrierungsprozess läuft zweistufig ab. Zunächst müssen sich Einrichtungen beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) anmelden. Dies ist nur mit einem gültigen Elster-Zertifikat möglich. Danach kann die Registrierung im BSI-Portal erfolgen. Betroffene Unternehmen sind verpflichtet, erhebliche Sicherheitsvorfälle über das Portal zu melden.

Ein weiterer Schwerpunkt ist das Risikomanagement. Viele KRITIS-Betreiber verfügen bereits über entsprechende Prozesse, die technische und organisatorische Maßnahmen beinhalten. Dazu zählen unter anderem eine Multi-Faktor-Authentifizierung sowie ein Notfall- und Krisenmanagement. Zudem müssen Einrichtungen die Informationssicherheit von Dienstleistern überprüfen, um Risiken in der Lieferkette zu reduzieren.

Damit Informationssicherheit fester Bestandteil der Unternehmensstrategie wird, nimmt NIS-2 auch die Geschäftsleitung stärker in die Pflicht. Diese ist künftig für das Informationssicherheits-Risikomanagement verantwortlich. Deshalb sollte sie ausgewählte Maßnahmen auch operativ übernehmen und regelmäßig an Schulungen zum Thema teilnehmen.

Für ein resilientes und nachhaltiges Gesundheitswesen braucht es neben den technischen und organisatorischen Maßnahmen verlässliche Partner und sichere Infrastrukturen.