​​ NIS2 im Gesundheitswesen

NIS2 - Anforderungen der Richtlinie effektiv umgesetzt

​​gesetzliche Hintergründe
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) stellt die Nachfolgerin der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz -und Informationssystemen in der Union (NIS-Richtlinie) dar.
Die grundlegende Zielsetzung der NIS-2-Richtlinie bleibt im Vergleich zur NIS-Richtlinie sinngemäß bestehen, nämlich in der Schaffung eines hohen gemeinsamen Niveaus der Cybersicherheit in der EU, dies aber in einem modernisierten Rechtsrahmen.

Die Umsetzung von NIS2 in deutsches Recht geschieht über das neue NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Kerninhalte der NIS2-Richtlinie
- die Pflicht für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden (Art. 7 NIS-2-RL)
- die Pflicht für alle Mitgliedstaaten, zuständige nationale Behörden (Art. 8 NIS-2-RL), Behörden für das Cyberkrisenmanagement (Art. 9 NIS-2-RL), zentrale Anlaufstellen für Cybersicherheit (Art. 8 NIS-2-RL) und Computer-Notfallteams (Art. 10 NIS-2-RL) zu benennen oder einzurichten
- Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (Art. 20 ff NIS-2-RL) sowie Berichtspflichten (Art. 23 NIS-2-RL) für betroffene Einrichtungen
- Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (Art. 29 f NIS-2-RL)
- Aufsichts- und Durchsetzungspflichten für die MS (Art. 31 ff NIS-2-RL)

​​​​Anwendungsbereiche der NIS2-Richtlinie
Die NIS-2-Richtlinie gilt für öffentliche oder private Einrichtungen der in den zugehörigen Anhängen I (Sektoren mit hoher Kritikalität) und II (Sonstige kritische Sektoren) genannten Art, die die in Art. 2 Abs. 1 des Anhangs der Empfehlung 2003/361/EG genannten Obergrenzen für mittlere Unternehmen erreichen oder überschreiten.
Im Unterschied zur NIS-Richtlinie kategorisiert die NIS-2-Richtlinie betroffene Einrichtungen nun in "wesentliche Einrichtungen", die einer strengeren ex-ante und ex-post Aufsicht (Art. 32 NIS-2-RL), sowie "wichtige Einrichtungen", die nur einer ex-post Aufsicht (Art. 33 NIS-2-RL) unterliegen sollen.

Wichtige Einrichtungen (NIS-2):
über 50 Mitarbeiter oder mehr als 10 Mio. EUR Umsatz und mehr als 10 Mio. EUR Bilanz

Besonders wichtige Einrichtungen (NIS-2):
über 250 Mitarbeitende oder über 50 Mio. EUR Umsatz und über 43 Mio. EUR Bilanz

Betreiber kritischer Anlagen (KRITIS):
bisherige KRITIS-Betreiber laut BSI-Gesetz (BSIG)
Krankenhäuser mit einer vollstationären Fallzahl von min. 30.000 im Jahr gelten gleichzeitig als besonders wichtige Einrichtungen.

Verantwortlichkeiten und Haftung
Die NIS2-Richtlinie schreibt für Unternehmen verschiedene Maßnahmen vor.
Geschäftsführer sind laut Artikel 20 der neuen NIS2-Richtlinie dazu verpflichtet, die Einhaltung der NIS2-Vorgaben persönlich zu überwachen. Der Gesetzgeber erwartet von der Geschäftsleitung unter anderem, aktiv zu handeln und ein solides Sicherheitsmanagement im Unternehmen zu etablieren. Neu ist die Vorgabe, dass die Geschäftsführung dazu verpflichtet ist, selbst an Sicherheitsschulungen teilzunehmen.

Risiken und Szenarien
sggg

Mögliche Konsequenzen
ggggg

Eigenmotivation
ggggs

​​Quellen
https://eur-lex.europa.eu/eli/dir/2022/2555/oj?locale=dehttps://eur-lex.europa.eu/eli/dir/2022/2555/oj?locale=de

https://digital-strategy.ec.europa.eu/de/policies/nis2-directive#:~:text=Die%20NIS2%2DRichtlinie%20ist%20die,der%20Cybersicherheit%20in%20der%20EU.&text=Die%202016%20eingef%C3%BChrten%20Cybersicherheitsvorschriften%20der,Kraft%20getretene%20NIS2%2DRichtlinie%20aktualisiert.https://digital-strategy.ec.europa.eu/de/policies/nis2-directive#:~:text=Die%20NIS2%2DRichtlinie%20ist%20die,der%20Cybersicherheit%20in%20der%20EU.&text=Die%202016%20eingef%C3%BChrten%20Cybersicherheitsvorschriften%20der,Kraft%20getretene%20NIS2%2DRichtlinie%20aktualisiert.

​​FAZIT: