Wer sollte das lesen: IT-Führungskräfte im Gesundheitswesen, Compliance-Beauftragte, CISO für Pharmazeutika, Hersteller medizinischer Geräte
Die Gesundheitssysteme in ganz Europa sind gleichzeitig kritische Infrastrukturen, Hüter sensibler personenbezogener Daten und Betriebsumgebungen, in denen Cybersicherheitslücken unmittelbar Menschenleben gefährden können. Die NIS2-Richtlinie trägt diesem erhöhten Risikoprofil Rechnung, indem das Gesundheitswesen als kritischer Sektor eingestuft wird, der umfassenden Cybersicherheitsverpflichtungen unterliegt, die über den Datenschutz allein hinausgehen.
In Anhang I, Sektor 5 von NIS2 wird der Anwendungsbereich des Gesundheitswesens spezifisch definiert: Die Bezeichnung gilt für Gesundheitsdienstleister (Krankenhäuser, Kliniken, Pflegeeinrichtungen) und Gesundheitsdienstleister. Die Richtlinie erstreckt sich ausdrücklich auf Hersteller von Arzneimitteln und Medizinprodukten, allerdings mit wichtigen Nuancen in Bezug auf ihre Rolle in der Lieferkette im Vergleich zur direkten Erbringung von Dienstleistungen.
Für Organisationen im Gesundheitswesen sieht NIS2 Verpflichtungen vor, die dem lebenswichtigen Charakter der IT im Gesundheitswesen Rechnung tragen: Umsetzung angemessener technischer und organisatorischer Maßnahmen zur Bewältigung von Cybersicherheitsrisiken, Einrichtung von Führungsstrukturen, die Rechenschaftspflicht auf Vorstandsebene beinhalten, Durchführung von Risikobewertungen, Verwaltung von Drittanbietern und Aufrechterhaltung von Verfahren zur Reaktion auf Vorfälle und Berichterstattung. In diesem Beitrag werden diese Verpflichtungen dargelegt, der Anwendungsbereich von Sektor 5 verdeutlicht und praktische Leitlinien für Einrichtungen im Gesundheitswesen, die sich auf die Einführung von NIS2 vorbereiten, gegeben.
Definition des Gesundheitssektors unter NIS2
In Anhang I, Sektor 5, ist der Gesundheitssektor als umfassend aufgeführt: Einrichtungen wie Krankenhäuser und spezialisierte Behandlungseinrichtungen, die stationäre Patienten medizinisch versorgen. Die Bezeichnung ist eher funktionell als kategorisch: Jeder Anbieter, der stationäre medizinische Versorgung anbietet, fällt in den Geltungsbereich, unabhängig von Branche (öffentlich, privat oder gemeinnützig) oder Größe.
In der Richtlinie wird anerkannt, dass Einrichtungen des Gesundheitswesens auf miteinander verbundene Netzwerke angewiesen sind: elektronische Patientendatensysteme (EHR), Netzwerke für diagnostische Bildgebung, Apothekensysteme, Patientenmonitore und Verwaltungssysteme. Eine Sicherheitsverletzung, ein Ransomware-Angriff oder ein Denial-of-Service-Vorfall, der eines dieser Systeme betrifft, kann den klinischen Betrieb stören und die Patientensicherheit gefährden.
Pharmahersteller und Hersteller von Medizinprodukten werden ausdrücklich als wesentliche Dienstleister aufgeführt, wenn ihre Aktivitäten zur Versorgung und Kontinuität von Medikamenten und Medizinprodukten beitragen. Diese Einstufung ist enger gefasst als eine pauschale Bezeichnung: Ein Pharmaunternehmen ist ein wichtiger NIS2-Dienstleister, weil seine Herstellungs- und Vertriebsnetze für die Kontinuität des Gesundheitswesens von entscheidender Bedeutung sind, und nicht nur, weil es Gesundheitsdaten verarbeitet.
Für Hersteller von Medizinprodukten hängt die Bezeichnung von der Rolle des Geräts in der Intensivpflege ab. Ein Hersteller von implantierbaren Herzgeräten oder Beatmungsgeräten käme in Frage, ein Hersteller von allgemeinen Wellness-Wearables dagegen nicht. Es wird geprüft, ob die Geschäftstätigkeit des Herstellers für die Erbringung von Gesundheitsdienstleistungen unerlässlich ist.
Verhältnismäßiges Risikomanagement gemäß NIS2
Ein Eckpfeiler von NIS2 ist die Verhältnismäßigkeit: Die Richtlinie verpflichtet Unternehmen, „angemessene“ technische und organisatorische Maßnahmen zu ergreifen, um Cybersicherheitsrisiken in einem angemessenen Verhältnis zu dem Risiko zu bewältigen, dem sie ausgesetzt sind (Artikel 21). Für das Gesundheitswesen bedeutet dieser Grundsatz keinen minimalistischen Ansatz, sondern bedeutet, dass die Verpflichtungen je nach Größe, Komplexität und Sensibilität der verwalteten Vermögenswerte der Organisation variieren.
Eine kleine ländliche Klinik und ein großes städtisches Lehrkrankenhaus werden proportional unterschiedliche Risikomanagement-Rahmenbedingungen haben. Die Klinik kann eine optimierte Risikobewertung, einen optimierten Lieferantenmanagementprozess und ein Verfahren zur Reaktion auf Zwischenfälle einführen. Das Lehrkrankenhaus muss umfassende Verwaltungsstrukturen einrichten, regelmäßige Risikobewertungen in seinem komplexen Netzwerk durchführen, eine fortschrittliche Bedrohungserkennung implementieren und detaillierte Pläne zur Reaktion auf Vorfälle und zur Geschäftskontinuität erstellen.
NIS2 spezifiziert keine Technologien. Es schreibt nicht vor, dass Einrichtungen des Gesundheitswesens bestimmte Systeme zur Erkennung von Eindringlingen, Verschlüsselungsstandards oder Authentifizierungsmechanismen einsetzen. Stattdessen werden die Unternehmen verpflichtet, ihren Risikomanagementansatz zu dokumentieren, ihrem Risikoprofil angemessene Kontrollen einzuführen und diese Kontrollen regelmäßig zu überprüfen und zu aktualisieren.
Das Gesundheitswesen ist jedoch mit grundlegenden Erwartungen konfrontiert. Patientensicherheit und Datenintegrität sind nicht verhandelbar. Die Kontrollen sollten die spezifischen Schwachstellen der IT im Gesundheitswesen berücksichtigen: Altsysteme, die nicht aktualisiert werden können, medizinische Geräte mit festen Softwarekonfigurationen, Anforderungen an die Netzwerksegmentierung zwischen klinischen und administrativen Systemen und Abhängigkeiten der Lieferkette von Geräten und Softwareanbietern.
Unternehmensführung, Rechenschaftspflicht und Aufsicht durch den Vorstand
Gemäß Artikel 21 von NIS2 müssen Unternehmen Führungsstrukturen einrichten, in denen die Geschäftsleitung, einschließlich des Vorstands, eine klare Rechenschaftspflicht für Cybersicherheitsrisiken trägt. Für Organisationen im Gesundheitswesen ist dies kein Anspruch, sondern eine Pflicht.
Die Cybersicherheitssteuerung im Gesundheitswesen auf Vorstandsebene sollte sich mit folgenden Themen befassen:
Risikobewertung und Priorisierung: Der Vorstand sollte verstehen, welche Systeme für die Patientensicherheit am wichtigsten sind und welche Anlagen dem größten Cyberrisiko ausgesetzt sind. Bildgebungsnetzwerke, Apothekensysteme und Geräte zur Patientenüberwachung sollten unterschiedliche Risikoprofile aufweisen.
Ressourcenzuweisung: Budgets für Cybersicherheit stehen im Wettbewerb mit klinischer Ausrüstung, Personal und Wartung von Einrichtungen. Der Vorstand sollte explizite Entscheidungen über die Höhe der Investitionen in Cybersicherheit treffen und dabei berücksichtigen, dass eine Unterfinanzierung die Organisation regulatorischen Risiken und Risiken für die Patientensicherheit aussetzt.
Risikomanagement durch Dritte: Einrichtungen des Gesundheitswesens sind auf Anbieter elektronischer Patientenakten, Hersteller medizinischer Geräte, Cloud-Dienstleister und Anbieter von IT-Support angewiesen. Der Vorstand sollte diese Abhängigkeiten verstehen, Bescheinigungen über die Cybersicherheitspraktiken der Anbieter verlangen und vertragliche Rahmenbedingungen für die Reaktion auf Vorfälle festlegen.
Reaktion auf Vorfälle und Berichterstattung: Der Vorstand sollte ein klares Eskalationsverfahren einrichten, damit schwerwiegende Cybersicherheitsvorfälle die Geschäftsleitung erreichen und eine entsprechende behördliche Meldung auslösen (siehe unten).
Für Pharmahersteller und Hersteller von Medizinprodukten muss die Unternehmensführung ebenfalls die Bedeutung ihrer Geschäftstätigkeit berücksichtigen. Ein durch Ransomware verursachter Produktionsausfall beeinträchtigt die Arzneimittelversorgung in der gesamten EU. Gerätehersteller müssen sicherstellen, dass Cybersicherheit in das Produktdesign integriert wird und dass Cybersicherheitspatches nach der Markteinführung umgehend bereitgestellt werden.
Risikobewertung und angemessene Kontrollen
Artikel 21 verpflichtet Unternehmen zur Durchführung von Risikobewertungen, um Bedrohungen, Sicherheitslücken und die Auswirkungen potenzieller Verstöße zu ermitteln. Im Gesundheitswesen sollten bei dieser Bewertung die klinischen Arbeitsabläufe den IT-Abhängigkeiten zugeordnet werden. Wo ist das EHR-System in die Pharmazie integriert? Wie funktioniert die Schnittstelle zwischen dem Bildarchivierungs- und Kommunikationssystem (PACS) und der klinischen Entscheidungsunterstützung? Wo gibt es einzelne Fehlerquellen?
Risikobewertungen sollten dann als Grundlage für die Kontrollauswahl dienen. Für eine kleine Klinik könnte das bedeuten:
Grundlegende Zugriffskontrollen: eindeutige Benutzerauthentifizierung mit Passwort oder Multifaktor-Authentifizierung für alle Systeme.
Patch-Management: ein definierter Prozess für die Installation von Sicherheitsupdates von Anbietern, bei dem kritische Patches und Patches mit hohem Schweregrad priorisiert werden.
Reaktion auf Vorfälle: eine benannte Person oder ein Team, das für die Reaktion auf Cybersicherheitsvorfälle verantwortlich ist, mit Verfahren zur Benachrichtigung der zuständigen Behörden, wenn Vorfälle den Schwellenwert für „signifikant“ erreichen.
Für ein großes Gesundheitssystem werden die verhältnismäßigen Kontrollen umfangreicher sein:
Erweiterte Zugriffskontrollen: rollenbasierte Zugriffskontrolle, Verwaltung privilegierter Zugriffe und Überwachung der administrativen Aktivitäten.
Netzwerksegmentierung: Trennung klinischer Netzwerke von Verwaltungsnetzwerken, Isolierung von Medizinprodukten von der allgemeinen IT-Infrastruktur und kontrollierte Schnittstellen zwischen Systemen.
Kontinuierliche Überwachung: SIEM-Systeme (Security Information and Event Management) zur Erkennung anomalen Verhaltens, Erkennung von Eindringlingen in Netzwerksegmenten und Endpoint Detection and Response (EDR) auf klinischen Workstations und Servern.
Sicherheit in der Lieferkette: Risikobewertungen von Anbietern, vertragliche Anforderungen für die Meldung von Sicherheitsvorfällen und Verfahren zur Verwaltung der vom Anbieter bereitgestellten Patches und Updates.
Das Management durch Dritte ist für das Gesundheitswesen besonders wichtig. Krankenhäuser entwickeln keine eigenen EHR-Systeme; sie beziehen sie von Anbietern wie Epic, Cerner oder Medidata. Hersteller medizinischer Geräte wie Philips und GE bieten Diagnose- und Überwachungsgeräte an. Cloud-Anbieter wie AWS und Microsoft hosten Patientendaten. NIS2 verlangt, dass diese Beziehungen zu Drittanbietern verwaltet werden, wobei die Verpflichtungen zur Cybersicherheit vertraglich eindeutig festgelegt sind.
Reaktion auf Vorfälle, Berichterstattung und Schwellenwert für signifikante Vorfälle
Gemäß Artikel 23 von NIS2 müssen Anbieter wesentlicher Dienstleistungen (einschließlich des Gesundheitswesens) Vorfälle unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Feststellung eines schwerwiegenden Vorfalls den zuständigen Behörden und CSIRTs melden. Wichtig ist, dass NIS2 den Begriff „signifikant“ nicht anhand einer klaren Regel definiert, sondern in Artikel 23 Absatz 3 Kriterien festlegt.
Ein Vorfall ist „signifikant“, wenn:
Dies hat zu einer weitreichenden Unterbrechung der Erbringung der grundlegenden Dienstleistungen geführt (im Gesundheitswesen schließt dies eindeutig die Unterbrechung des klinischen Betriebs ein).
Es hat die Verfügbarkeit, Integrität oder Vertraulichkeit der Netzwerke oder Informationssysteme, die zur Erbringung der grundlegenden Dienste verwendet werden, erheblich beeinträchtigt.
Es hatte erhebliche Auswirkungen auf kritische Funktionen oder hatte erhebliche betriebliche oder sicherheitsrelevante Auswirkungen.
Für das Gesundheitswesen ist die Signifikanzschwelle entsprechend hoch. Ein Ransomware-Angriff, der die elektronische Patientenakte verschlüsselt und Krankenhäuser dazu zwingt, zu Papierakten zurückzukehren, würde den Schwellenwert erreichen. Eine Datenschutzverletzung, die sich auf Patientenakten auswirkt, würde diesen Wert wahrscheinlich erfüllen. Ein verteilter Denial-of-Service-Angriff, der ein unkritisches Verwaltungssystem vorübergehend verlangsamt, würde das nicht tun.
Sobald ein Vorfall festgestellt wird, der den Schwellenwert erreicht, müssen Gesundheitseinrichtungen ihre nationale zuständige Behörde und das nationale CSIRT innerhalb von 24 Stunden benachrichtigen. Die Meldung sollte wichtige Informationen enthalten: was passiert ist, wann es entdeckt wurde, die geschätzten Auswirkungen und sofortige Eindämmungsmaßnahmen. Die Berichterstattung über Folgemaßnahmen kann im Verlauf der Untersuchung zusätzliche Einzelheiten liefern.
Gesundheitsorganisationen sollten klare Verfahren zur Reaktion auf Vorfälle einrichten, in denen festgelegt wird, wer entscheidet, ob ein Vorfall schwerwiegend ist, wer die Meldung veranlasst und welche Informationen den Behörden zur Verfügung gestellt werden. Diese Entscheidung sollte nicht auf eine vollständige forensische Untersuchung warten; die erste Meldung sollte umgehend erfolgen und im Verlauf der Ermittlungen weitere Einzelheiten zur Verfügung gestellt werden.
Spezifische Überlegungen für Pharmahersteller und Hersteller von Medizinprodukten
Pharmazeutische Hersteller und Hersteller von Medizinprodukten sehen sich mit zusätzlichen Überlegungen konfrontiert. Ihre Rolle ist Teil der Lieferkette im Gesundheitswesen: Ein Cybersicherheitsvorfall, der ihren Betrieb beeinträchtigt, wirkt sich auf Krankenhäuser und Patienten aus.
Für Pharmahersteller konzentrieren sich die NIS2-Verpflichtungen auf die Kontinuität der Produktion und die Integrität der Lieferkette. Ein Ransomware-Angriff, der eine Produktionslinie für ein kritisches Medikament zum Erliegen bringt, wirkt sich auf Gesundheitsdienstleister und Patienten in der gesamten EU aus. Angemessene Kontrollen sollten Folgendes umfassen:
Sicherheit von Produktionssystemen: Industrielle Steuerungssysteme (ICS) zur Sicherung von Rezepten, Chargenprotokollen und Produktionsanlagen erfordern Luftabstände, Zugangskontrollen und Überwachung.
Widerstandsfähigkeit der Lieferkette: Verträge mit Rohstofflieferanten, Drittherstellern (Vertragsherstellern) und Logistikdienstleistern sollten Cybersicherheitserwartungen und Anforderungen zur Meldung von Vorfällen beinhalten.
Integrität des Vertriebssystems: Sicherstellung, dass Arzneimittel nicht gefälscht sind und dass die Vertriebskanäle sicher sind.
Für Hersteller von Medizinprodukten stehen die NIS2-Verpflichtungen im Zusammenhang mit den umfassenderen Produktsicherheitsanforderungen gemäß dem Cyber Resilience Act (CER) und den bestehenden Produktsicherheitsvorschriften (MDR, IVDR). Ein Gerätehersteller muss sicherstellen, dass:
Geräte sind standardmäßig mit Sicherheitsfunktionen ausgestattet und verfügen über sicheren Start, Authentifizierung und Verschlüsselung, die der Funktion des Geräts entsprechen.
Bekannte Sicherheitslücken werden durch Firmware-Updates behoben, und es werden Mechanismen eingerichtet, um Patches auf Geräten im klinischen Einsatz bereitzustellen.
Die Überwachung nach der Markteinführung deckt Sicherheitslücken auf, und die Behebung erfolgt schnell.
Klinische Integrationen (z. B. ein Gerät, das an eine EHR angeschlossen wird) werden dokumentiert und getestet.
Ermessen der Mitgliedstaaten und sektorspezifische Leitlinien
Wichtig ist, dass NIS2 den Mitgliedstaaten einen Ermessensspielraum bei der Festlegung des Schwellenwerts für die Benennung von Einrichtungen als Anbieter wesentlicher Dienstleistungen einräumt. Einige Mitgliedstaaten können einen Schwellenwert für die Mindestgröße festlegen (z. B. Krankenhäuser mit mehr als 50 Betten), während andere alle Gesundheitsdienstleister einbeziehen können. Die Compliance-Beauftragten sollten die Umsetzung in ihren Mitgliedstaaten überwachen, um zu ermitteln, welche Stellen innerhalb ihrer Organisation in den Geltungsbereich fallen.
Einige Mitgliedstaaten veröffentlichen möglicherweise sektorspezifische Leitlinien, in denen die Erwartungen an die Cybersicherheit im Gesundheitswesen geklärt werden. In Leitlinien könnte beispielsweise festgelegt werden, dass die Netzwerksegmentierung zwischen klinischen und administrativen Systemen eine angemessene Kontrolle für alle Krankenhäuser darstellt oder dass mindestens einmal jährlich Schwachstellenanalysen durchgeführt werden sollten.
Die Mitgliedstaaten können auch spezielle Kommunikationskanäle oder Plattformen zur Meldung von Vorfällen einrichten. Anstatt eine allgemein zuständige Behörde zu benachrichtigen, könnten Gesundheitseinrichtungen einer gesundheitsspezifischen Behörde oder einem CSIRT mit technischem Fachwissen im Bereich der Gesundheitssysteme Bericht erstatten.
Wichtige Erkenntnisse
- Das Gesundheitswesen wird gemäß NIS2 (Anhang I, Sektor 5) zusammen mit Pharmaherstellern und bestimmten Herstellern medizinischer Geräte als kritische Infrastruktur ausgewiesen. Je nach Unternehmensgröße und Risikoprofil gelten angemessene Cybersicherheitsverpflichtungen.
- Die Unternehmensführung muss auf Vorstandsebene und explizit erfolgen und eine klare Rechenschaftspflicht für das Cybersicherheitsrisikomanagement, die Ressourcenzuweisung, die Beaufsichtigung durch Dritte und die Reaktion auf Vorfälle vorsehen.
- Risikobewertungen sollten klinische Arbeitsabläufe den IT-Abhängigkeiten zuordnen, einzelne Fehlerquellen identifizieren und Kontrollen zum Schutz der Patientensicherheit und Datenintegrität priorisieren.
- Bei „erheblichen“ Vorfällen (solche, die Dienste erheblich stören, die Systemintegrität gefährden oder erhebliche betriebliche Auswirkungen haben) ist die Meldung von Vorfällen innerhalb von 24 Stunden an die zuständigen Behörden und nationalen CSIRTs vorgeschrieben.
- Das Management durch Dritte ist von entscheidender Bedeutung: Verträge mit Anbietern, Geräteherstellern und Cloud-Anbietern sollten die Verantwortlichkeiten für Cybersicherheit klar festlegen und eine Benachrichtigung über Vorfälle vorschreiben.
- Hersteller von Pharmazeutika und Medizinprodukten sind wichtige Dienstleister, deren Cybersicherheitspraktiken sich direkt auf die Kontinuität der Gesundheitsversorgung auswirken; die Sicherheit der Lieferkette und das Schwachstellenmanagement nach dem Inverkehrbringen sind verhältnismäßige Verpflichtungen.
