Eine sehr erhebliche Ergänzung besteht darin, dass unter den Begriffen „wichtige“ und „besonders wichtige Einrichtungen“ und der Senkung der Kennzahlen-Schwellwerte auf „mindestens 50 Mitarbeitende“ und eines Jahresumsatzes von mindestens 10 Mio. EUR der Geltungsbereich des BSI-Gesetzes deutlich erweitert wird.
Welche Gründe gibt es für diese gesetzgeberische Maßnahme?
Die Anzahl der Cyberangriffe nimmt ständig zu - auch Krankenhäuser sind immer mehr betroffen. Der jährlich ermittelte finanzielle Schaden liegt in Deutschland seit einigen Jahren jeweils weit über 200 Mrd. EUR. Auf Cyber-Angriffe spezialisierte Experten agieren professionell und businessorientiert. Die technische Vielfalt der Angriffe ist groß und wächst. Zudem trägt die veränderte politische Situation zur Verschärfung der Situation bei. Alles das sind Gründe, die die Gesetzgeber auf europäischer und nationaler Ebene auf den Plan rufen.
Wie sind die Auswirkungen auf Krankenhäuser?
Die Senkung der oben genannten Kennzahlen-Schwellwerte gilt auch für Krankenhäuser. Damit werden bis auf wenige Ausnahmen alle Einrichtungen verpflichtet, die entsprechenden technischen und organisatorischen Maßnahmen zur Steigerung der Informationssicherheit umzusetzen.
Obwohl damit ein gewisser bürokratischer und personeller Aufwand einhergeht, ist der Nutzen für jedes Krankenhaus groß, ganz besonders auch im Falle eines Cyberangriffs – hier einige Beispiele:
- Schnelle und zielführende Aktivitäten durch präventive Planung
- Routinierte Bewältigung von Sicherheitsvorfällen
- Geordnete und zügigere Rückkehr in den Normalbetrieb
- Geringerer finanzieller Schaden
- Positive Innen- und Außenwirkung durch kontrollierte, souveräne Vorgehensweise
In den meisten Krankenhäusern übernehmen die IT-Leitungen bzw. die IT-Mitarbeitenden die Realisierung der rein technischen Maßnahmen. Die KRITIS-Häuser waren 2018 direkt aufgefordert, die Funktion des Informationssicherheitsbeauftragten (ISB) zu besetzen.
Mit dem Inkrafttreten der NIS 2.0 müssen auch mittlere und kleine Krankenhäuser personelle Lösungen finden, um die notwendige Einführung eines Informationssicherheits-Management-Systems (ISMS) zu begleiten. Hier ist es in jedem Fall sinnvoll, zur Vorbereitung auf die NIS 2.0 externe personelle Ressourcen hinzuzuziehen.
Gerne unterstützen wir Sie beratend und setzen mit Ihnen gemeinsam die notwendigen Maßnahmen operativ um. Informieren Sie sich unverbindlich und lassen uns gemeinsam besprechen, wie wir Ihnen bei NIS 2.0 behilflich sein können.