Mit einer neuen EU-Richtlinie in Sachen Cybersicherheit kommt einiges auf Österreichs Spitäler zu. Die Umsetzungsfrist für die meisten Krankenhäuser endet am 17. Oktober 2024.
Nach Angaben des Weltwirtschaftsforums kam es im ersten Quartal 2023 weltweit zu rund 1.700 Angriffen auf Krankenhäuser und andere Gesundheitseinrichtungen – pro Woche. Das entspricht einem Anstieg von 22 Prozent im Vergleich zum Vorjahr. Krankenhäuser treffen Sicherheitsvorkehrungen, um sich vor Cyberbedrohungen zu schützen.
Welche konkreten Maßnahmen sie setzen, ist ihnen nicht selbst überlassen. Krankenhäuser sind Teil der kritischen Infrastruktur, deren Ausfall oder Beeinträchtigung dramatische Folgen für das Gemeinwesen hätte. Für sie gelten spezielle gesetzliche Regelungen. Das Netz- und Informationssystemsicherheitsgesetz (NISG) basiert auf einer EU-Richtlinie aus dem Jahr 2016 namens Network and Information Security Directive (NIS-1). Diese Direktive erfährt jetzt ein Update: Im Jänner dieses Jahres ist eine weitere EU-Richtlinie in Kraft getreten: die Network and Information Security Directive 2.0 (NIS-2), die bis 17. Oktober 2024 umgesetzt werden muss.
IT-Sicherheit für alle. Eine EU-Richtlinie verordnet den Spitälern die Einführung dokumentierter Cybersicherheits-Maßnahmen. Der Zeitrahmen ist knapp: Kommenden Herbst muss das Sicherheitssystem stehen.
Umfassende Richtlinie
NIS-2 ist umfassender als die erstgeborene Schwester NIS-1. Zum einen betrifft sie eine deutlich höhere Zahl an Einrichtungen. Bisher wurden in Österreich rund 100 Unternehmen zur kritischen Infrastruktur gezählt – Krankenhäuser, aber auch Energieunternehmen, Wasserversorger oder Banken. Unter der neuen Richtlinie wächst die Zahl der betroffenen Unternehmen auf 3.000 bis 5.000 an. Zum anderen sind auch die technischen und organisatorischen Maßnahmen, die umgesetzt werden müssen, deutlich weitreichender als unter der derzeitigen Gesetzeslage. „Die Umsetzung der NIS-2-Richtlinie wird eine echte Herausforderung für Österreichs Spitäler“, ist sich die Cybersicherheits-Expertin Viktoria Hauser sicher. Sie ist bei TÜV TRUST IT für Information Security Management Systeme (ISMS) zuständig, einem Tochterunternehmen der TÜV Austria.
Die NIS-2-Richtlinie verpflichtet Krankenhäuser, ein angemessenes Risikomanagement für ihre IT-Systeme und -Netzwerke zu implementieren. Das bedeutet die Identifizierung von Risiken und Schwachstellen, die Implementierung von technischen und organisatorischen Maßnahmen zur Risikominderung und die kontinuierliche Überwachung der Risiken. Die To-do-Liste ist lang: Zu den konkreten technischen Maßnahmen, die gefordert werden, zählen Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung bzw. kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation, gesicherte Notfallkommunikationssysteme, die Verschlüsselung sensibler Daten, Backup-Management und die regelmäßige Aktualisierung des Systems, um sich gegen neu auftretende Sicherheitsrisiken zu schützen. Das ist nicht alles: Spitäler müssen sich regelmäßigen Sicherheitsaudits unterziehen, kontinuierliche Schulungen der Mitarbeiter in Sachen Cybersicherheit durchführen und einen Notfallplan für den Fall eines Sicherheitsvorfalls einrichten. Neu ist auch, dass die Lieferkette in das Sicherheitsnetz miteinbezogen wird. Das heißt: Nicht nur das Krankenhaus selbst muss den Vorgaben der NIS-2-Richtline genügen, sondern auch alle externen Unternehmen, die mit der Krankenhaus-IT zu tun haben – also etwa Software-Entwickler, Gerätehändler oder Firmen, die technische Wartungsarbeiten durchführen.
Noch kein Gesetz
Wie die geforderten Sicherheitsmaßnahmen im Detail aussehen und welche Fristen den Krankenhäusern zur Implementierung gesetzt werden, ist allerdings noch völlig unklar. Denn die NIS-2-Richtlinie wurde noch nicht in ein entsprechendes Gesetz gegossen.
Hauser jedenfalls rät allen betroffenen Unternehmen, bereits jetzt mit den Vorbereitungen auf NIS-2 zu beginnen, auch wenn es noch keine konkreten gesetzlichen Vorgaben gibt. Sie empfiehlt, sich dabei an die bereits von der NIS-1-Richtlinie geforderten Maßnahmen sowie an andere gängige Cybersecurity-Standards, wie etwa die internationale Norm ISO 27001, zu halten. „Wenn man sich bei der Maßnahmensetzung daran orientiert, wird man sicherlich nicht in die falsche Richtung laufen“, unterstreicht die ISMS-Expertin. Immerhin mussten sich viele Krankenhäuser in den letzten Monaten intensiv mit der Implementierung von NIS-1 beschäftigen: „Dadurch gibt es sicher viele Maßnahmen aus NIS-2, die bereits im Zuge dieses ersten Durchlaufs umgesetzt oder zumindest geplant wurden.“ Auch ein Blick auf die bisherige Praxis der zuständigen Behörde könnte hilfreich sein. So wurde zum Beispiel bei den bislang stattgefundenen Überprüfungen der Umsetzung von NIS-1 festgestellt, dass noch nicht alle Betroffenen alle geforderten Maßnahmen umgesetzt hatten. „Wichtig ist, dass man als Betroffener eine Roadmap vorweisen kann, wie man die offenen Maßnahmen zukünftig zu etablieren gedenkt“, betont Hauser.
Ins Tun kommen. TÜV-Trust-Spezialistin Viktoria Hauser verweist auf die Absicherung der Logistikkette. Auch externe Unternehmen, die mit der Krankenhaus-IT zu tun haben, müssen NIS-2 genügen.
Was sagen die Betreiber?
Die ÖKZ hat sich unter Österreichs öffentlichen Krankenhausbetreibern umgehört, ob und inwieweit sie sich bereits auf die Anforderungen der NIS-2-Richtlinie vorbereiten. Die meisten halten sich ziemlich bedeckt. Andere Betreiber wollen zu Themen der Sicherheit gar keine öffentliche Stellungnahme abgeben.
Die Kärntner Landeskrankenanstalten-Betriebsgesellschaft (KABEG) lässt lediglich wissen, dass sie mit der Anpassung der Gesetzeslage an NIS-2 ihre Netz- und Informationssystemsicherheitsmaßnahmen prüfen und gegebenenfalls anpassen bzw. gesetzeskonform erweitern werde. Der Wiener Gesundheitsverbund hat nach eigenen Angaben bereits begonnen, die entsprechenden Vorgaben zu durchleuchten und dadurch entstehende Anforderungen zu definieren. Mit der Umsetzung von NIS-1 seien bereits die Grunderfordernisse erfüllt, heißt es auf Anfrage. Den größten Unterschied zur geltenden Gesetzeslage sieht man im Fokus auf die externen EDV-Dienste, die für die Leistungserbringung zwingend erforderlich sind.
Auch die Oberösterreichische Gesundheitsholding (OÖG) hat sich nach eigenen Angaben bereits mit den neuen Anforderungen auseinandergesetzt. Ihr Hauptaugenmerk bei der Vorbereitung auf die kommende NIS-2-Richtlinie liegt auf der Verbesserung der Lieferkettensicherheit und in der Verbesserung der Erkennung von Vorfällen. Entsprechende Projekte seien bereits geplant. OÖG-Geschäftsführer Franz Harnoncourt verweist darauf, dass das IT-Sicherheitsmanagementsystem des Unternehmens nach ISO 27001 zertifiziert ist: „Dementsprechend hoch ist der Reifegrad unseres Unternehmens, aber auch die Awareness unserer Mitarbeiter in Bezug auf die Informationssicherheit.“ Eine besondere Herausforderung im ohnehin ausgelasteten Spitals- und IT-Betrieb sieht er in den geforderten regelmäßigen Testläufen von Notfallplänen.
Die Salzburger Landeskliniken (SALK) rechnen damit, dass die Gültigkeit der Richtlinie sich möglicherweise auf alle ihre Standorte ausweitet. Ob Anpassungen hinsichtlich NIS-2 notwendig werden, könne erst nach Inkrafttreten der nationalen Gesetze und Verordnungen bewertet werden. „Die SALK und deren Eigentümerin haben sowohl in budgetärer wie auch in personeller Hinsicht die notwendigen Vorkehrungen getroffen“, bekräftigt Unternehmenssprecher Wolfgang Fürweger. Die technischen und organisatorischen Vorsorgemaßnahmen müssten ohnehin kontinuierlich an den sich ständig weiterentwickelnden Stand der Technik angepasst werden: „Informationssicherheit ist ein kontinuierlicher Verbesserungsprozess und kein Projekt, welches man abschließen kann.“
Quelle und Link:
