Home/Gesundheits- und Sozialwirtschaft/Assurance & IT für die Gesundheits- und Sozialwirtschaft​/NIS-2 Umsetzung

NIS-2 Umsetzung

Mit der NIS-2-Richtlinie stärkt die EU den Schutz „wichtiger“ oder „besonders wichtiger“ Einrichtungen vor Cyberangriffen und IT-Störungen. Die Richtlinie verpflichtet zahlreiche Organisationen dazu, ihre IT-Sicherheitsmaßnahmen deutlich zu erhöhen – auch im Gesundheits- und Forschungsbereich.​
Jonas Buckel
Manager
B.A. Wirtschaftsinformatik, IT-Auditor IDW, Zert. ITSiBe / CISO
T +49 911 9193 3627
Anfrage senden
Carina Richters
Associate Partner
Compliance Officer (TÜV), Rechtsanwältin
T +49 221 9499 09 206
Anfrage senden
Kontaktieren Sie uns:
Jetzt Kontakt aufnehmen

Betroffen sind unter anderem Krankenhäuser, medizinische Forschungseinrichtungen, Alten- und Pflegeheime größerer Träger sowie weitere Organisationen, die für die öffentliche Versorgung von besonderer Bedeutung sind. Entscheidend ist, ob eine Einrichtung als „wichtige“ oder „besonders wichtige“ Einrichtung im Sinne der Richtlinie eingestuft wird – etwa aufgrund ihrer Tätigkeit, ihrer Mitarbeiteranzahl, Umsatzerlöse pro Jahr oder Bilanzsumme.

Die Anforderungen sind umfassend: Es müssen wirksame Maßnahmen zum Risikomanagement, zur Angriffserkennung und zur Reaktion auf Sicherheitsvorfälle eingeführt werden. Auch die Meldepflichten bei IT-Störungen oder Cyberangriffen wurden deutlich verschärft.

Besonders relevant ist, dass nun auch die Verantwortung der Geschäftsleitung ausdrücklich betont wird. Die Einhaltung der Vorgaben ist verpflichtend – bei Verstößen drohen Bußgelder auf dem Niveau der DSGVO und Reputationsschäden.

Für Einrichtungen wie Krankenhäuser oder Forschungseinrichtungen, die stark auf digitale Systeme angewiesen sind, ist NIS-2 nicht nur eine rechtliche Vorgabe, sondern auch ein wichtiger Schritt zur langfristigen Sicherung ihrer Arbeitsfähigkeit und ihres Vertrauens. Wir empfehlen daher eine frühzeitige Auseinandersetzung mit den Anforderungen der Richtlinie.

Fallen Sie unter den Geltungsbereich des neuen BSIG?

Mit unserer ​​“NIS-2 ​Betroffenheitsanalyse für die Gesundheitswirtschaft und Forschung​“ finden Sie heraus, ob Ihr Unternehmen oder Ihre Forschungseinrichtung als „besonders wichtige“ oder „wichtige“ Einrichtung nach NIS-2 einges​tuft wird und ob Sie entsprechend handeln müssen.

Jetz​t​ pr​üfen​ »

NIS-2 Registrierungspflicht

Bisher mussten sich nur Betreiber kritischer Infrastrukturen („KRITIS“) gemäß IT-Sicherheitsgesetz (BSIG + KRITIS-Verordnung) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle benennen. Die Registrierung sowie Änderungen erfolgen derzeit über das Melde- und Informationsportal (MIP) des BSI.

Mit dem neuen Gesetzentwurf zur Umsetzung von NIS-2 (§ 33 BSIG) wird die Registrierungspflicht auf Betreiber wichtiger (wE) und besonders wichtiger Einrichtungen (bwE) ausgeweitet. Diese müssen sich künftig über ein gemeinsames Registrierungsportal von BSI und BBK anmelden. Die Registrierung hat innerhalb von drei Monaten zu erfolgen, nachdem die Einrichtung als betroffen gilt oder ihre Dienste erbringt.

Readiness-Check NIS-2

Eine verbindliche Prüfungsordnung zur Umsetzung von NIS-2 besteht derzeit nicht. Dennoch können Unternehmen bereits jetzt ihren Umsetzungsstand anhand der bekannten gesetzlichen Anforderungen analysieren – idealerweise unter Orientierung an branchenspezifischen Sicherheitsstandards (B3S) und den Veröffentlichungen des BSI zu NIS-2.

Zentrale Pflichten nach dem Gesetz zur Umsetzung von NIS-2 umfassen:

  • Durchführung von Risikoanalysen sowie Einführung geeigneter Sicherheitsmaßnahmen für Informationssysteme

  • Etablierung eines Notfall- und Vorfallmanagements (inkl. Wiederherstellung, Backup, Krisenplanung)

  • Aufbau eines Schwachstellen- und Lieferkettenmanagements sowie Prüfung der Cybersicherheitsmaßnahmen auf Wirksamkeit

  • Umsetzung von Zugriffs-, Personal- und Anlagen­sicherheitsmaßnahmen

  • Einführung einer Multi-Faktor-Authentisierung und sicherer Kommunikationswege

  • Regelmäßige Schulungen zur Cybersicherheit und Dokumentation eingesetzter Kryptografie- und Verschlüsselungssysteme

NIS-2 Meldepflicht

Gemäß Entwurf des § 32 BSIG müssen besonders wichtige, wichtige Einrichtungen und KRITIS-Betreiber erhebliche Sicherheitsvorfälle unverzüglich an das BSI melden – auch bei bloßem Verdacht. Ein erheblicher Vorfall liegt vor, wenn Betriebsstörungen, finanzielle Verluste oder Beeinträchtigungen Dritter eintreten oder drohen.

Das Meldeverfahren erfolgt dreistufig:

  1. Erstmeldung (innerhalb 24 Stunden): Erste Informationen und Einschätzung zum Vorfall

  2. Detailmeldung (innerhalb 72 Stunden): Schweregrad, Auswirkungen, Ursachen, Indikatoren

  3. Abschlussmeldung (innerhalb 30 Tagen): Endbewertung, Maßnahmen und ggf. Fortschrittsmeldung

Die Meldung muss Angaben zu Schweregrad, Auswirkungen, Ursachen, Kompromittierungsindikatoren, Reaktionsmaßnahmen sowie Kontaktdaten der zuständigen Stelle enthalten.

Eine ständige Erreichbarkeit der Kontaktstelle ist essenziell, um auf Rückfragen oder Zwischenmeldungen des BSI reagieren zu können. Gerne unterstützen wir Sie hier durch eine Rufbereitschaft, die auch am Wochenende verfügbar ist und alle Informationen zu Vorfällen aufbereitet, sodass Sie fristgerecht eine Meldung beim BSI einreichen können.

Newsletter

Mit unserem „Newsletter Gesundheits- und Sozialwirtschaft“ erhalten Sie monatlich aktuelle und praxisnahe Informationen zu den relevanten Themen aus den Bereichen Wirtschaft, Steuern, Recht und IT – speziell für die Gesundheits- und Sozialwirtschaft.

Zum Newsletter