NIS2 und NEN 7510 im Gesundheitswesen: 4 Fragen und Antworten

NIS2 im Gesundheitswesen: 4 Fragen und Antworten

Sind Sie ein CISO im Gesundheitswesen? Dann wissen Sie, dass eine der größten Herausforderungen darin besteht, den Spagat zwischen guter und schneller Versorgung und optimaler Sicherheit zu schaffen. Ein Gesundheitsdienstleister, der jemanden dringend behandeln muss, möchte sich nicht mit MFA anmelden müssen", sagt Niels van der Meij, Principal Security Consultant und IT-Auditor (RE) bei Bureau Veritas Cybersecurity. Er arbeitet viel für den öffentlichen Sektor, einschließlich des Gesundheitswesens.

Van der Meij rechnet mit mehr Diskussionen über das Spannungsverhältnis zwischen Gesundheitswesen und Sicherheit, wenn NIS2, die neue europäische Cybersicherheitsrichtlinie, eintrifft. Ich erwarte, dass die Standards aus NEN 7510 stärker gewichtet und formalisiert werden, da sie nun auch durch NIS2 verbindlich werden.

Was genau bedeutet NIS2 für das Gesundheitswesen? Wie hängt NIS2 mit NEN 7510 zusammen? Van der Meij und sein Kollege Mario Sleegers, NIS2-Experte, beantworten 4 Fragen zu NIS2 für das Gesundheitswesen.

1. Was ist der Hauptunterschied zwischen NEN 7510 und NIS2?

NEN 7510 ist ein sektorbezogener Normenrahmen, der sich auf Organisationen im Gesundheitswesen konzentriert. NIS2 ist eine EU-Richtlinie, die darauf abzielt, kritische Organisationen widerstandsfähiger gegen Cyberangriffe zu machen, sagt RE-Auditor Van der Meij. Er kennt den Normenrahmen NEN 7510 gut.

Ein Krankenhaus, um ein Beispiel zu nennen, erfüllt die Anforderungen von NIS2, indem es NEN 7510-konform wird. Sie erfüllen die NIS2 noch nicht vollständig, wenn Sie NEN 7510-konform sind. Aber wenn Sie nachweisen können, dass Sie nach diesen NEN-Standards arbeiten, ist zumindest die Grundlage für die NIS2-Konformität gegeben.' Eine NEN 7510-Zertifizierung ist unter NIS2 nicht zwingend erforderlich.

Es gibt keine Zertifizierung für NIS2", fügt NIS2-Berater Mario Sleegers hinzu. Ich gehe auch nicht davon aus, dass es eine geben wird, da wir bereits beim Vorgänger von NIS2 - dem WBNI - gesehen haben, dass die Kapazität zur Überprüfung begrenzt ist. Die Einhaltung der NIS2-Vorgaben im Gesundheitswesen wird daher größtenteils anhand der bereits bestehenden NEN-Standards gemessen werden.

Der NEN-Standard wird geändert, um ihn besser auf NIS2 abzustimmen. In der ursprünglichen Planung war eine Aktualisierung des Standards NEN-7510 für Mitte 2024 vorgesehen", sagt Sleegers. Ich erwarte aber, dass die NIS2-Aktualisierung eine gewisse Verzögerung verursachen wird.

2. Wir arbeiten auf die Zertifizierung nach NEN 7510 hin. Was müssen wir tun, um dafür bereit zu sein?

Der Normenrahmen NEN 7510 besteht - wie viele andere Rahmenwerke auch - aus zwei Teilen, erklärt Van der Meij: 'Die Basis beschreibt in groben Zügen, wie Ihre Organisation aussehen sollte, zum Beispiel in den Bereichen Governance, Risikomanagement und Informationssicherheitsmanagementsystem (ISMS). Darüber hinaus enthält der Rahmen spezifische Standards, die Sie als Organisation in konkrete Maßnahmen umsetzen müssen.'

Die Standards müssen nicht für jede Organisation auf die gleiche Weise ausgefüllt werden, sagt Sleegers. Das liegt daran, dass ein Standard sowohl für eineOrganisation mit 10 als auch für ein Unternehmen mit 1.000 Mitarbeitern gelten muss. Die Organisationen wählen also die konkreten Maßnahmen, die sie zur Einhaltung eines Standards ergreifen, je nachdem, was angemessen ist.

Ein Beispiel: Für kleine Gesundheitseinrichtungen mit einer geringen Anzahl von Mitarbeitern kann die Verwaltung der Zugriffsrechte mit einer übersichtlichen Autorisierungsmatrix und einer begrenzten Trennung von Rollen und Rechten abgeschlossen werden. Eine große Einrichtung mit Tausenden von Mitarbeitern wird eine detaillierte Übersicht über Konten, Rollen und Rechte für jedes System führen müssen.

Die Prämisse des NEN-Standards, dass ein Mitarbeiter eine Betreuungsbeziehung zum Patienten oder Kunden haben muss, wird daher bei einer großen Einrichtung zu umfangreicheren und spezifischeren Maßnahmen führen als bei einer kleinen Einrichtung.

Da jede Organisation die Standards der NEN 7510 selbst interpretiert, ist es daher schwierig, allgemein zu sagen, wann eine Organisation für eine Zertifizierung bereit ist. Dennoch gibt es Punkte, auf die man achten sollte, sagt Van der Meij: 'Während eines NEN 7510-Implementierungsprozesses stellen wir oft fest, dass ein ISMS nicht ganz vollständig ist. Es kommt auch vor, dass die Standards nicht immer richtig in konkrete Maßnahmen umgesetzt werden.'

3. Wir folgen der NEN 7510. Was müssen wir für NIS2 noch tun?

Diejenigen, die die NEN 7510 nachweislich einhalten, zum Beispiel mit einer Zertifizierung oder einem Auditbericht, sind bereits weitgehend auf dem Weg zur NIS2-Konformität, sagen Sleegers und Van der Meij. Dennoch gibt es ein paar Bereiche, in denen zusätzliche Maßnahmen erforderlich sind, um die NIS2 zu erfüllen:

1 Das Management ist verantwortlich und muss sich schulen lassen. NIS2 macht das Management ausdrücklich für die Cybersicherheit verantwortlich. Dies ist bemerkenswert, sagt Sleegers: "Diese Verantwortung der Geschäftsleitung gibt es in fast keinem Rahmenwerk. In NIS2 sehen wir, dass sie sich wirklich von der IT-Abteilung auf die Geschäftsleitung verlagert hat: Von der Geschäftsleitung wird erwartet, dass sie die Cyberrisiken des Unternehmens versteht und in der Lage ist, entsprechende Maßnahmen zu genehmigen.

Das ist in der Praxis natürlich kompliziert, denn die meisten Mitglieder des Vorstands eines Krankenhauses sind keine Experten auf diesem Gebiet. Daher erfordert die NIS2 eine Schulung und Ausbildung des Vorstands.

2 Das Risikomanagement erhält mehr Gewicht. Eine der wichtigsten Säulen der NIS2 ist das Risikomanagement. Sie sehen das Risikomanagement natürlich auch in der NEN 7510, aber in der NIS2 hat es ein viel größeres Gewicht", sagt Van der Meij.

'Gesundheitseinrichtungen müssen ihre Risikoanalysen genauer unter die Lupe nehmen. Interne Audits sollten dann nicht nur bewerten, ob die Maßnahmen aus NEN 7510 umgesetzt wurden, sondern auch, ob in einer Risikoanalyse bewertet wurde, ob neue Bedrohungen, z. B. Ransomware-Angriffe, ausreichend kontrolliert werden. Wenn dies nicht der Fall ist, müssen zusätzliche oder strengere Maßnahmen ergriffen werden, um die Anforderungen der NIS2 zu erfüllen. Das Ankreuzen eines Kästchens wird nicht mehr ausreichen. Ich erwarte, dass dies ein echtes Problem werden wird, denn NIS2 erzwingt es.'

3 Das Sicherheitsmanagement von Lieferanten wird immer wichtiger. NIS2 verlangt von Unternehmen, die Sicherheit ihrer Lieferanten zu überwachen. Das ist eine relativ neue Entwicklung, die Sie zum Beispiel auch in der Automobilindustrie beobachten können", sagt Sleegers. Aber um die gesamte Lieferkette sicherer zu machen, bedarf es großer Anstrengungen und ist eine langfristige Angelegenheit.

Wie können Sie als Gesundheitsdienstleister sicherstellen, dass beispielsweise die Anbieter von Gesundheitsanwendungen der Sicherheit genügend Aufmerksamkeit schenken? Sleegers: "Der naheliegendste Weg, dies zu tun, sind die Verträge mit diesen Parteien. Um den Stand der Sicherheit eines Anbieters zu erfassen, kann ein Vendor Assessment hilfreich sein.

4 Die Anforderungen an die Meldung von Zwischenfällen werden erweitert. NIS2 legt zusätzliche Anforderungen für die Meldung von Vorfällen fest. Sleegers: 'Kurz gesagt: Organisationen müssen mehr und schneller berichten. Vor allem letzteres ist mühsam, denn einer Meldung gehen viele Schritte voraus.'

Laden Sie das NIS2-Flussdiagramm für Vorfälle herunter

Was verlangt NIS2 von Gesundheitseinrichtungen, wenn es um die Meldung von Cyber-Vorfällen geht? Was müssen Sie melden? Wie sieht der Zeitplan aus? Mario Sleegers und seine Kollegen haben die NIS2-Meldeanforderungen in einem übersichtlichen Flussdiagramm aufgelistet.

4. Was ist, wenn unsere Organisation zwar NEN 7510-, aber nicht NIS2-konform ist?

NIS2 unterscheidet zwischen 'wesentlichen' und 'wichtigen' Einrichtungen, sagt Mario Sleegers. Für 'wesentliche' Organisationen wird die Überwachung der Einhaltung strenger sein: die meisten Gesundheitseinrichtungen fallen in diese Kategorie. Wenn eine wichtige Organisation die NIS2 nicht einhält, können Geldstrafen folgen", erwartet er.

Van der Meij: 'Sie können die Folgen wahrscheinlich mit der Nichteinhaltung des Datenschutzgesetzes AVG vergleichen. Die Datenschutzbehörde hat das Haga-Krankenhaus 2019 mit einem Bußgeld belegt, weil es Patientendaten nicht angemessen geschützt hat. Aber ich erwarte nicht, dass eine Hausarztpraxis in nächster Zeit mit einem Bußgeld belegt wird.'

Die Artikel 32 bis 34 der NIS2 befassen sich mit der Überwachung und möglichen Geldbußen bei Nichteinhaltung der Richtlinie. Die maximale Geldstrafe für wesentliche Unternehmen beträgt 10 Millionen Euro oder 2% des Jahresumsatzes. Für bedeutende Unternehmen liegt der Höchstbetrag bei 7 Millionen oder 1,4% des Jahresumsatzes.

Die Aufsichtsbehörde für Gesundheit und Jugend (IGJ) wird die Einhaltung der NIS2 im Gesundheitssektor überwachen.

In der Praxis wird die NIS2 wahrscheinlich dazu führen, dass die Einhaltung der Sicherheitsvorschriften mehr Gewicht erhält, erwartet Van der Meij. Das Spannungsverhältnis zwischen der Bereitstellung von Pflege und der Gewährleistung von Sicherheit wird also nur noch größer. Wie können Organisationen dieses Problem lösen? Sleegers rät: 'Beginnen Sie mit der Schulung des Vorstands, damit dieser mehr Einblick in das Spannungsfeld erhält. So können sie aktiv dazu beitragen, das Spannungsfeld zu lösen.'

Van der Meij hat auch einen praktischen Rat: 'Keine Panik! Aber werden Sie aktiv. Beginnen Sie zum Beispiel mit einer Risikoanalyse, wie von der Zentralregierung vorgeschlagen. Unsere Berater können Ihnen dabei helfen.'

Wie wir Ihnen helfen können

Secura verfügt über umfassendes Fachwissen zu NIS2 und NEN 7510. Sie können sich an unsere Experten wenden, um Ihren Vorstand mit dem NIS2 Boardroom Training zu schulen. Wir können Ihnen auch bei der Durchführung einer NIS2-Gap-Assessment und Implementierungsunterstützung helfen. Lesen Sie mehr über unsere NIS2-Dienste in der untenstehenden Broschüre.