EU-Aktionsplan zur Stärkung der Cybersicherheit von Krankenhäusern und anderen Gesundheitseinrichtungen

Im Januar 2025 hat die EU-Kommission ihren bereits angekündigten Aktionsplan zur Stärkung der Cybersicherheit im Gesundheitswesen vorgestellt. Damit will sie sensible Patientendaten sowie die Funktionsfähigkeit von Einrichtungen zum Schutz der Bevölkerung vor Cyberangriffen noch stärker schützen.

Hintergrund des Aktionsplans

Die Kommission begründet ihren Entwurf damit, dass der Gesundheitssektor der von Sicherheitsvorfällen am meisten gefährdete Sektor aller kritischen Dienstleistungen ist. Für das Jahr 2023 seien etwa 309 gravierende Sicherheitsvorfälle aus den Mitgliedstaaten gemeldet worden. Diese Feststellung deckt sich annährend mit dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland, das mit 141 Meldungen aus dem Sektor Gesundheit die zweitmeisten Meldungen aller Kritis-Sektoren erreicht hat. Nur der Sektor „Transport und Verkehr“ konnte noch höhere Zahlen erreichen.

Neue Rolle der ENISA

Die ENISA, die EU-Agentur für Cybersicherheit, soll zum gesamteuropäischen Zentrum zur Unterstützung der Cybersicherheit für Krankenhäuser und Gesundheitsdienstleister werden. Zu diesem Aufgabenbereich zählt dann die Erstellung von auf das Gesundheitswesen maßgeschneiderten Leitlinien, Instrumenten, Diensten und Schulungen. Während also bislang das BSI in Deutschland federführend Hilfestellungen für sämtliche Wirtschaftszweige gibt, soll in Zukunft an dessen Seite zumindest für das Gesundheitswesen die ENISA treten.

Die „Vier Prioritäten“ des Aktionsplans

Neben dieser Stärkung der Rolle der ENISA sieht der Aktionsplan vier Prioritäten vor.

Die erste Priorität liegt in der verstärkten Prävention vor Cybersicherheitsvorfällen. Durch die bereits angesprochenen Leitlinien zur Umsetzung kritischer Cybersicherheitspraktiken sollen die Kapazitäten der Gesundheitseinrichtungen im Umgang mit Cyber Incidents gestärkt werden. Außerdem sollen sogenannte Cybersicherheits-Gutscheine an kleine und mittlere Gesundheitseinrichtungen verteilt werden, mit denen finanzielle Unterstützung gewährt werden kann. Nach dem Krankenhauszukunftsgesetz (KHZG) aus dem Jahr 2020 können sich Gesundheitseinrichtungen also auf erneute Förderungen einstellen, wobei sich noch nicht abschätzen lässt, nach welchen Kriterien diese Gutscheine vergeben werden sollen.

Die zweite Priorität stellen die bessere Erkennung und Identifizierung von Bedrohungen dar. Durch ein europäisches Frühwarnsystem sollen die Einrichtungen nahezu in Echtzeit vor Bedrohungen gewarnt werden.

Als dritte Priorität soll die Reaktion auf Cyberangriffe zur Minimierung der Auswirkungen verbessert werden. Mit dem bereits in Kraft getretenen Cyber Solidarity Act wurde eine EU-Cybersicherheitsreserve eingerichtet. Vertrauenswürdige Dienstleister können hier Incident-Response-Dienste anbieten. Für den Gesundheitssektor soll aus dieser Reserve ein Krisenreaktionsdienst aufgebaut werden. Diese Priorität umfasst auch die Durchführung von nationalen Cybersicherheitsübungen oder eine Meldepflicht bei Lösegeldzahlungen.

Zuletzt will die vierte Priorität der Abschreckung Einfluss auf die Cyberbedrohungsakteure nehmen. Hier verspricht man sich Abhilfe durch die Nutzung sogenannter Cyber-Diplomatie.

Einbettung in rechtlichen Regelungen zur Cybersicherheit

Dieser Aktionsplan wird zu einer Zeit vorgestellt, in der in Deutschland immer noch auf die Umsetzung der sogenannten NIS-2-Richtlinie („Zweite Netzwerk- und Informationssicherheits-Richtlinie“) gewartet wird. Die Umsetzungsfrist ist seit Oktober 2024 abgelaufen, mit dem Umsetzungsgesetz wird frühestens Ende 2025 gerechnet. Das Gesetz wird das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) maßgeblich überarbeiten.

Nach der Umsetzung werden nahezu alle deutschen Krankenhäuser dem Anwendungsbereich des BSIG angehören, hier gelten strenge IT-Sicherheitsvorschriften, die auch die Geschäftsleitungen der Einrichtungen explizit in ihre Pflicht nehmen werden. Sind Krankenhäuser nicht erfasst, verpflichtet sie das Fünfte Sozialgesetzbuch zu Sicherheitsmaßnahmen. Außerdem müssen aufgrund der Datenschutz-Grundverordnung durch die Krankenhäuser Datensicherheitsmaßnahmen zum Schutz der sensiblen Patientendaten ergriffen werden.

Während sich also die Gesundheitseinrichtungen aktuell auf die Umsetzung der Richtlinie vorbereiten, kommen schon neue Vorgaben auf die Gesundheitseinrichtungen am „Regulierungshorizont“ zu. Die spezifischen Maßnahmen des Aktionsplans sollen schrittweise in den Jahren 2025 und 2026 eingeführt werden. In den Umsetzungsprojekten zur NIS-2-Richtlinie sollten diese Erwägungen in den Krankenhäusern bereits Eingang finden.

Compliance und Cybersicherheit in Gesundheitseinrichtungen

Sowohl aus dem BSIG als auch der DSGVO drohen Gesundheitseinrichtungen bei mangelhaften IT-Sicherheitsmaßnahmen oder Verletzungen der Meldepflichten hohe Bußgelder. Zudem sind strafrechtliche Folgen für die Geschäftsleitung möglich, wenn es aufgrund von unterschrittenen IT-Sicherheitsstandards zu Gesundheitsschäden kommt. Hier helfen präventive Compliance-Maßnahmen, um Haftungsrisiken für Unternehmen und Leitungspersonen zu vermeiden. Gerade die Orientierung an den Branchenspezifischen Sicherheitsstandards (B3S) aus den jeweiligen Teilsektoren des BSIG konkretisieren den Sorgfaltsmaßstab. Die künftig durch die ENISA herausgegebenen Leitlinien werden ebenfalls auf den Sorgfaltsmaßstab, der an die Krankenhäuser gerichtet wird, ausstrahlen. Die durch die ENISA maßgeschneiderten Schulungen können den Sicherheitsfaktor Mensch im Gesundheitswesen verringern sowie die Fachkenntnisse aller Beteiligten erhöhen, was ebenfalls Auswirkungen bei Rechtsverstößen haben kann. Interne Richtlinien und ein durch die Geschäftsleitung überwachtes Risikomanagement runden eine Cybersicherheits-Compliance ab.