Was ist NIS-2?
Die Richtlinie über Netzwerk- und Informationssicherheit (NIS) ist eine EU-Rechtsvorschrift, die 2016 in Kraft getreten ist und die Sicherheit von kritischen Infrastrukturen und digitalen Diensten verbessern soll. Die NIS-Richtlinie verpflichtet die Mitgliedstaaten, nationale Strategien und Behörden für die Cybersicherheit zu schaffen, die Sicherheitsanforderungen für Betreiber wesentlicher Dienste (OWD) und Anbieter digitaler Dienste (ADD) festzulegen und einen Mechanismus für die Zusammenarbeit und den Informationsaustausch auf EU-Ebene zu etablieren.
Im Dezember 2020 hat die Europäische Kommission einen Vorschlag für eine überarbeitete NIS-Richtlinie (NIS-2) vorgelegt, die den Geltungsbereich und die Reichweite der bestehenden Richtlinie erweitern soll. NIS-2 zielt darauf ab, die Resilienz der EU gegenüber Cyberbedrohungen zu erhöhen, die durch die digitale Transformation, die COVID-19-Pandemie und die wachsende Abhängigkeit von ausländischen Anbietern entstanden sind. NIS 2 soll auch die Kohärenz und Konvergenz der nationalen Regelungen verbessern und die Rolle der EU-Agentur für Cybersicherheit (ENISA) stärken.
Warum ist NIS-2 wichtig für das Gesundheitswesen?
Das Gesundheitswesen ist einer der am stärksten von NIS-2 betroffenen Sektoren, da es als wesentlicher Dienst für die öffentliche Gesundheit und Sicherheit gilt. Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, die die Verfügbarkeit und Integrität von medizinischen Geräten, Daten und Diensten beeinträchtigen können. Die COVID-19-Pandemie hat die Dringlichkeit erhöht, die Cybersicherheit im Gesundheitswesen zu verbessern, da die Abhängigkeit von digitalen Lösungen wie Telemedizin, Kontaktverfolgung und Impfzertifikaten zugenommen hat.
NIS-2 sieht vor, dass die Mitgliedstaaten die Sicherheitsanforderungen für OWD im Gesundheitswesen harmonisieren und aktualisieren, um die Risiken von Cyberangriffen zu verringern und die Widerstandsfähigkeit zu erhöhen. Zu den OWD im Gesundheitswesen gehören Krankenhäuser, Gesundheitszentren, Labore, Apotheken, Gesundheitsbehörden und andere Einrichtungen, die medizinische Versorgung oder öffentliche Gesundheitsdienste anbieten. NIS-2 verlangt auch, dass die OWD im Gesundheitswesen Sicherheitsvorfälle an die zuständigen nationalen Behörden melden und regelmäßige Sicherheitsaudits durchführen.
Wie kann NIS-2 im Gesundheitswesen umgesetzt werden?
Die Umsetzung von NIS-2 im Gesundheitswesen erfordert eine enge Zusammenarbeit zwischen den verschiedenen Akteuren, die an der Bereitstellung und dem Schutz von Gesundheitsdiensten und -daten beteiligt sind. Dazu gehören die OWD im Gesundheitswesen, die ADD, die IT-Anbieter, die nationalen Behörden, die ENISA und die EU-Kommission. Einige der wichtigsten Schritte, die zur Umsetzung von NIS-2 im Gesundheitswesen erforderlich sind, sind:
- Die Anpassung der nationalen Rechtsrahmen an die Vorgaben von NIS-2, einschließlich der Definition der OWD im Gesundheitswesen, der Festlegung von Sicherheitsanforderungen und Sanktionen, der Einrichtung von zuständigen Behörden und Meldesystemen sowie der Sicherstellung der Zusammenarbeit auf nationaler und EU-Ebene.
- Die Sensibilisierung und Schulung der OWD im Gesundheitswesen für die Bedeutung der Cybersicherheit, die Identifizierung der wichtigsten Risiken und Schwachstellen, die Anwendung bewährter Verfahren und Standards, die Entwicklung und Umsetzung von Sicherheitsrichtlinien und -verfahren, die Durchführung von Sicherheitsaudits und die Meldung von Sicherheitsvorfällen.
- Die Förderung der Innovation und des Einsatzes sicherer und vertrauenswürdiger digitaler Lösungen im Gesundheitswesen, die die Sicherheit und den Datenschutz von medizinischen Geräten, Daten und Diensten gewährleisten, die Interoperabilität und Kompatibilität mit den EU-Rahmenbedingungen unterstützen und die Abhängigkeit von ausländischen Anbietern verringern.
- Die Unterstützung und Finanzierung von Forschungs- und Entwicklungsprojekten zur Verbesserung der Cybersicherheit im Gesundheitswesen, zur Erhöhung der Widerstandsfähigkeit gegenüber Cyberangriffen, zur Verbesserung der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle und zur Förderung der Zusammenarbeit und des Informationsaustauschs zwischen den verschiedenen Akteuren.
Wie Sie mit E-Learning von Relias die Richtlinie NIS-2 erfüllen?
Die E-Learning-Kurse von Relias leisten einen positiven Beitrag zur Erfüllung der Anforderungen der NIS-2-Richtlinie, indem sie Folgendes ermöglichen:
- eine flexible, effiziente und kosteneffektive Schulung von Mitarbeitenden im Gesundheitswesen zu den Themen Datenschutz und Informationssicherheit, die für die Einhaltung gesetzlicher und behördlicher Vorschriften sowie für die Vermeidung von Sicherheitsverletzungen und -risiken von entscheidender Bedeutung sind.
- eine qualitativ hochwertige und standardisierte Wissensvermittlung, die die Kompetenzen und Fähigkeiten der Beschäftigten im Gesundheitswesen in Bezug auf die sichere und vertrauenswürdige Nutzung digitaler Lösungen im Gesundheitswesen verbessert und fördert.
- die Sensibilisierung und das Bewusstsein der Beschäftigten im Gesundheitswesen für die Bedeutung und die Herausforderungen der Cybersicherheit im Gesundheitswesen, insbesondere angesichts der zunehmenden Digitalisierung, Vernetzung und Abhängigkeit von medizinischen Geräten, Daten und Dienstleistungen.
- die kontinuierliche Aktualisierung und Anpassung der Lerninhalte an die sich ständig ändernden Bedürfnisse und Anforderungen des Gesundheitswesens sowie an die neuesten Erkenntnisse und Entwicklungen im Bereich der Cybersicherheit.
- die Überprüfung und Bewertung des Lernerfolgs und der Lernfortschritte des Personals im Gesundheitswesen, die als Nachweis für die Einhaltung der NIS-2-Richtlinie dienen können.
Quellen
Europäische Kommission. (2020). Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der Union.
ENISA. (2021). ENISA unterstützt die Gesundheitssektoren bei der Verbesserung ihrer Cybersicherheitskapazität.
