Mit der Veröffentlichung des 5. Referentenentwurf des NIS-2 Umsetzungsgesetzes und dem in Kraft setzen des Digitalgesetzes haben sich erneut die Anforderungen erhöht.
Der neue Referentenentwurf des NIS-2 UmsuCG wurde mit Datum von 7. Mai diesen Jahres veröffentlicht. Neben den schon bekannten Anforderungen wurden auch neue Aspekte berücksichtigt. Unter anderem ist vorgesehen, den Anwendungsbereich auf mehr Unternehmen in mehr Sektoren zu erweitern. Auch soll der Katalog der Mindestsicherheitsanforderungen nach Artikels 21 Absatz 2 der NIS-2-Richtlinie in das BSI-Gesetz übernommen werden. Statt der bislang einstufige Meldepflicht bei Vorfällen, eine dreistufiges Meldesystems etabliert werden, um den bürokratischen Aufwand für die Einrichtungen zu minimieren. Zusätzlich soll das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf die von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen ausgeweitet werden.
Diese Änderungen zielen darauf ab, die Cybersicherheit in Deutschland zu stärken und die Anforderungen der europäischen NIS-2-Richtlinie in das deutsche Rechtssystem zu übertragen.
Weitere signifikante Änderungen resultieren aus dem Digitalgesetz, welches am 25. März 2024 veröffentlicht wurde und am 26. März 2024 in Kraft trat. Es zielt darauf ab, den Behandlungsalltag für Ärzte sowie Patienten mit digitalen Lösungen zu vereinfachen und den Aufbau einer moderne medizinische Digitalinfrastruktur in Deutschland zu beschleunigen. Es wird als wichtiger Schritt gesehen, um die Effizienz und Qualität der Gesundheitsversorgung zu steigern und gleichzeitig die Sicherheit und den Datenschutz der Patienten zu gewährleisten. Kernpunkte sind unter anderem:
- die Anlage einer elektronische Patientenakte (ePA) für alle Versicherten,
- die Förderung des Austauschs und der Nutzung von Gesundheitsdaten,
- die Einführung des E-Rezeptes als verbindlicher Standard,
- die Vereinfachung und Verbesserung der Arzneimittelversorgung, sowie
- die tiefe Integration digitaler Gesundheitsanwendungen (DiGA) in die Versorgungsprozesse.
Aber das Digitalgesetz impliziert auch eine Erhöhung der Sicherheitsanforderungen von IT-Anwendungen im Gesundheitswesen, sofern diese Cloud-basiert sind. Einrichtungen im Gesundheitssektor, wie Krankenhäuser und andere Leistungserbringer dürfen nunmehr Cloud-basierte Dienste zur Verarbeitung sensibler Gesundheitsdaten ausschließlich dann einsetzen, wenn für diese Dienste ein Prüfbericht gemäß des BSI C5-Kriterienkatalogs (Cloud Computing Compliance Criteria Catalogue – C5:2020) vorliegt. Dies bedeutet, dass gewisse Sicherheitsanforderungen erfüllt sein müssen.
Dieser C5-Kriterienkatalog definiert ein bestimmtes Niveau an Informationssicherheit für den Betrieb von Cloud-Diensten. Cloud-Anbieter müssen sich nach diesem Standard prüfen lassen, um einen entsprechenden Prüfbericht zu erhalten. Dadurch soll ein einheitlich hohes Niveau an Informationssicherheit hinsichtlich der Verarbeitung von Gesundheitsdaten in einer Cloud gewährleistet werden.
Es ist allerdings zu beachten, dass sich die Anforderungen aus dem NIS-2 UmsuCG im Laufe des Gesetzgebungsprozesses noch weiter ändern können. Unabhängig davon sollte zukünftig darauf geachtet werden, dass ihre Cloud-Dienstleister entsprechende C5-Prüfberichte vorlegen können.
Sollten Sie Fragen zu den neuen EU-Regelungen haben, kommen Sie sehr gerne auf uns zu. Unsere Expert:innen stehen Ihnen gerne zur verfügung. Jetzt Kontakt aufnehmen!