05.08.2024
Keine klare Linie
IT-Sicherheit und Resilienz im Tauziehen der Gesetzgebung
Robert Konschak
Dr. med. Michael Müller
Die sich zuspitzende IT-Bedrohungslage auf das Gesundheitswesen zwingt die Betreiber und den Gesetzgeber zum Handeln. Eine klare regulatorische Linie zur Umsetzung der dafür notwendigen Maßnahmen existiert indes noch nicht.
Während sich bisher nur größere medizinische Einrichtungen wie Krankenhäuser, große Medizinische Versorgungszentren und Labore mit den regulatorischen Anforderungen zu IT-Sicherheitsthemen und Resilienz auseinandersetzen mussten, wird die zukünftige Gesetzgebung zehntausende auch kleinere Einrichtungen dazu verpflichten, diese teils sehr anspruchsvollen Standards umzusetzen. Daraus resultieren unweigerlich die Fragen, wie dieser Prozess ablaufen soll und woher die dafür notwendigen Ressourcen stammen.
Bedrohungslage zwingt zum Handeln
Claudia Plattner, die aktuelle Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), warnte bereits im letzten Bericht zur Lage der IT-Sicherheit, dass „die aktuelle Cybersicherheitslage besorgniserregend sei“. Mit rund 206 Milliarden Euro ist der volkswirtschaftliche Schaden durch Cyberkriminalität auf einem Rekordhoch. Dass dabei medizinische Einrichtungen besonders im Fokus stehen, untermauern die vorgelegten Zahlen: Gut ein Viertel der offiziell beim BSI gemeldeten Vorfälle (132 von 490) stammen von Unternehmen der Gesundheitsbranche, so der Lagebericht. Zusätzlich sei davon auszugehen, dass nicht alle IT-Sicherheitsvorfälle gemeldet wurden und zudem Vorfälle in nicht Kritis-Einrichtungen gänzlich fehlen (Kritische Infrastrukturen = Kritis).
Dass ein erhöhter Handlungsbedarf zur Stärkung der IT-Sicherheit und zur Sicherstellung der Resilienz der Gesundheitsunternehmen notwendig ist, steht demnach außer Frage. Ebenfalls unumstritten ist, dass eine sinnvolle und zielgerichtete Planung und Umsetzung der dafür notwendigen Maßnahmen in den Unternehmen nur über einheitliche und pragmatisch formulierte gesetzliche Regelungen erfolgen kann. Und genau an diesem Punkt herrscht aktuell noch große Unklarheit in Bezug auf inhaltliche Ausgestaltung, Geltungsbereich und behördliche Zuständigkeit.
Kritis oder nicht Kritis, das ist hier die Frage
Mit der Zentralisierung des Datenschutzes auf EU-Ebene durch die Datenschutz-Grundverordnung (DSGV) 2018 wurde die Standardisierung der Anforderungen an datenschutzrelevante Themen als Grundstein und Grundvoraussetzung von IT-Sicherheitsstrategien gelegt. Parallel dazu wurden diese Strategien auf nationaler Ebene durch die BSI-Kritisverordnung (BSI-KritisV) und das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) technisch konkretisiert und mit definierten Anforderungen versehen. In diesem Kontext ist es für die Unternehmen klar geregelt, ob sie als kritische Infrastruktur im Sinne der genannten Rechtsgrundlagen deklariert sind, oder nicht. Damit liegt ein transparentes Vorgehen zur Definition der umzusetzenden Maßnahmen und Vorgaben, die branchenspezifisch den Unternehmen auferlegt werden, vor.
Mit der aktuellen Entwicklung der Gesetzgebung stellt sich diese Situation unlängst schwieriger dar. Mit dem durch die Europäische Union (EU) entwickelten Aktionsplan für Cybersicherheitsstrategie für die Jahre 2020-2025 wird das Ziel verfolgt, Gesetze und Richtlinien so abzustimmen und zu harmonisieren, dass die digitale Umgebung der Unternehmen sicher und resilient aufgebaut bzw. transformiert werden kann. Eines der Hauptprodukte aus diesem Aktionsplan ist die durch den europäischen Gesetzgeber im Dezember 2022 verabschiedete Richtlinie „Network and Information Security 2.0“ (NIS-2-Richtlinie), welche formell als „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) bis Oktober 2024 in nationales Recht umgesetzt wird. Parallel dazu wird auf Bundesebene mit dem Kritis Dachgesetz (Kritis-DachG) die Umsetzung der CER-Richtlinie und die Stärkung der Resilienz kritischer Anlagen forciert. Beide Gesetze befinden sich zwar aktuell noch in der Entwurfsphase, führen allerdings bereits jetzt vermehrt zu Fragen und Ungewissheiten bei den Betreibern.
So ist die zentrale Frage nach der Definition kritischer Infrastrukturen in den Gesetzentwürfen nicht einheitlich geregelt. Zum einen werden durch die Neuregelungen zehntausende Unternehmen (darunter auch größere Arztpraxen) zu einer kritischen Infrastruktur, und zum anderen entstehen durch unterschiedliche Gesetzesauslegungen Doppelstrukturen mit erheblichem Bürokratieaufwand für die Betreiber. Dieser Umstand kann unter Umständen sogar soweit führen, dass Unternehmen zwar als kritische Infrastruktur im Bereich IT-Sicherheit, nicht aber im Bereich Resilienz deklariert werden. Dem Umstand, dass eine Trennung von IT-Sicherheit und Resilienz aus Sicht der Betreiber nur wenig Sinn macht und demnach eine Harmonisierung beider Gesetze zwingend anzustreben ist, wurde trotz großer Anstrengungen der Fachverbände im bisherigen Bearbeitungsverfahren leider nur wenig Beachtung geschenkt.
Beteiligung statt staatliche Überregulierung
Neben der klaren und eindeutigen Zuordnung kritischer Infrastrukturen muss eine transparente Zuständigkeitsstruktur der involvierten Behörden als ein zentraler Aspekt einer erfolgreichen Umsetzung der regulatorischen Anforderungen angesehen werden. Während die Zuständigkeit bisher eindeutig geklärt ist – das BSI ist zuständige Behörde für die Überwachung der Umsetzung der Kritis-Verordnung –, geben sowohl das NIS2UmsuCG, als auch das Kritis-DachG Interpretationsspielraum bei der Zuordnung der Zuständigkeiten. Zwar spielt das BSI weiterhin eine tragende Rolle im Bereich der IT-Sicherheit, hat allerdings in seiner Zuständigkeit eine große Schnittmenge mit dem Zuständigkeitsbereich des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK), welches vor allem im Bereich Resilienz verantwortlich ist. Zur Vermeidung von potenziellen inhaltlichen Abstimmungsproblemen zwischen BBK, BSI und im Falle des Gesundheitswesens mit dem hierfür zuständigen Bundesministerium für Gesundheit sollten klarere und einfachere Zuständigkeiten festgelegt werden, da sonst die Betreiber von kritischen Anlagen unter Umständen erst sehr spät erfahren, welche Rahmenbedingungen und Detailvorgaben für sie gelten. Weitere negative Auswirkungen solch unklarer Zuständigkeitsstrukturen zeigen sich für die Betreiber kritischer Infrastrukturen in den Bereichen Meldewesen und Auditprozess. Trotz inhaltlicher Nähe und Abhängigkeit von IT-Sicherheit und Resilienz sind nach aktueller Rechtslage eine getrennte Auditierung und ein separates Meldewesen nicht ausgeschlossen. Diese potenzielle staatliche Überregulierung würde unweigerlich bei den Betreibern zu einem stark steigendem Finanz- und Ressourcenaufwand führen und der angestrebten Entbürokratisierung widersprechen.
Hier gilt es vor allem die Betreiber zu beteiligen und die bereits seit mehreren Jahren gemachten positiven Erfahrungen bei der Umsetzung des BSIG und der daraus entstandenen Rechtsverordnung (KritisV) zu berücksichtigen. Die Betreiber der kritischen Anlagen und Dienstleistungen in der Anlagenkategorie Laboratoriumsdiagnostik (Labore, Laborinformationsverbund) im Sektor Gesundheit haben bereits mindestens zwei Prüfzyklen nach den Vorgaben des BSI durchlaufen und im Falle der fachärztlichen Laboruntersuchungen zudem einen branchenspezifischen Standard entwickelt, dessen Fortentwicklung aktuell wegen der noch unklaren Gesetzeslage stockt. Das ist jedoch nicht im Sinne der Betreiber, die ein eigenes hohes Interesse an bestmöglicher IT-Sicherheit sowie auch an bestmöglichem Schutz im Sinne von BCM für ihre Einrichtungen bzw. Anlagen haben. Gleichzeitig sollte es ähnlich eines integrativen Ansatzes möglich sein, dass ein branchenspezifischer Standard sowohl die Resilienz als auch die IT-Sicherheit adressieren kann. Damit könnte eine Überregulierung und Doppelarbeit vermieden werden, was sowohl die Betreiber als auch das BSI und BBK in der Erfüllung ihrer Aufgaben entlasten würde.
Grundsätzlich sollte der Rolle der Betreiber und Fachverbände an der Mitgestaltung gesetzlicher Grundlagen mehr Beachtung geschenkt werden. Auf der einen Seite ist der Gesetzgeber dazu verpflichtet, die von der Europäischen Union auferlegten gesetzlichen Vorgaben in nationales Recht zu transformieren. Auf der anderen Seite gibt es innerhalb dieses Prozesses Handlungs- und Interpretationsspielräume, welche es den nationalen Behörden ermöglichen, länderspezifische Anpassungen bzw. Konkretisierungen der übergeordneten Regelungen durchzuführen, um eine möglichst praxisnahe Umsetzung sicherzustellen. Diese Möglichkeit ist zwar in der Theorie innerhalb des Gesetzgebungsverfahrens vorgesehen, wird in der praktischen Ausgestaltung allerdings nur sehr eingeschränkt angewendet. Stellvertretend sei an dieser Stelle der Einsatz des ALM e.V. genannt, der sich als einer der Fachverbände des Gesundheitssektors und Vertreter der eigens für diesen Bereich geschaffenen Anlagenkategorie „Laboratoriumsmedizin“ seit dem ersten BSI-Gesetz und der Kritis-Verordnung intensiv mit der Thematik befasst. Daher beteiligt er sich neben der Etablierung eines eigenen branchenspezifischen Sicherheitsstandards aktiv am Kommentierungsverfahren sowohl des Kritis-DachG, als auch des NIS2UmsuCG. Ziel dieser aus Kritis-Vorerfahrungen stammenden fachlichen und inhaltlichen Beteiligung, welche sich nicht ausschließlich auf den medizinischen Sektor bezieht, sondern sich durchaus allgemeingültig auch auf die restlichen Kritis-Sektoren anwenden lässt, ist eben jene Möglichkeit der praxisnahen Umsetzung. Zudem wurde angeregt, die beiden Gesetzesentwürfe im Kern soweit zu harmonisieren, dass es den Sektoren möglich ist, einen branchenspezifischen Standard je Sektor für die Themen IT-Sicherheit und Resilienz als Grundlage für ein gemeinsames Auditverfahren zu erarbeiten. Leider sind diese Bestrebungen des ALM e.V., welche von anderen Fachverbänden mitgetragen und unterstützt werden, bis dato nicht oder nur in geringen Teilen berücksichtigt worden.
Mangel an Ressourcen als zentrale Herausforderung
Geht man davon aus, dass die zuvor beschriebenen Unklarheiten im Sinne einer guten und transparenten Zusammenarbeit von Behörden, Betreibern und Fachverbänden rechtssicher gelöst werden können, bleibt die Frage nach der praktischen Umsetzbarkeit der aus der Rechtsgrundlage resultierenden Maßnahmen. Die hohen Anforderungen einer integrierten und durchgängigen IT-Sicherheits- und Resilienzstrategie haben einen massiven Eingriff in den gewöhnlichen Betriebsablauf des Unternehmens zur Folge. Neben einschränken Maßnahmen auf die tägliche Arbeit (z.B. benutzerdefinierte Einschränkung der Verfügbarkeit spezieller Dienste) gehen Maßnahmen einher, welche dazu führen, dass Arbeitsabläufe nur verlängert bzw. verzögert durchgeführt werden können, was wiederum Einfluss auf die wichtigste Funktion des Gesundheitssektor, eine gute und zeitnahe Patientenversorgung sicherzustellen, haben kann. Diese Situation lässt sich nur dann bewältigen, wenn der Ressourceneinsatz (Maschinen, Personal, Verbrauchsmaterial, Finanzmittel) durch die Betreiber an die neue Situation angepasst wird. Unternehmen, die bereits nach KristisV als kritische Infrastruktur deklariert waren, kennen diesen Anpassungsprozess und haben im Laufe der Jahre kluge Strategien entwickelt, sich dieser Herausforderung immer aufs Neue erfolgreich zu stellen. Gerade in Hinblick auf die stark steigende Anzahl an kritischen Infrastrukturen, welche im Rahmen des NIS2UmsuCG und des Kritis-DachG entsteht, bleibt fraglich, ob diese teils kleineren Strukturen diesem rechtlichen Druck gewachsen sind.
Was in diesem Kontext erschwerend hinzukommt, ist der Umstand, dass speziell fachärztliche Labore wie alle anderen Einrichtungen im Gesundheitswesen im Vergleich zu den meisten anderen Wirtschaftsunternehmen, die in den Regelungsbereich des NIS2UmsuCG und des Kritis-DachG fallen, keine Möglichkeit haben, die mit der Umsetzung von gesetzlich vorgeschriebenen Rahmenbedingungen zur Resilienz gemäß KRITIS-DachG und auch zur IT-Sicherheit gemäß des laufenden Gesetzgebungsverfahrens des NIS2UmsuCG verbundenen erheblichen einmaligen und wiederkehrenden Investitions- und laufenden Betriebskosten über eine Anhebung der Preise zu refinanzieren. Da im Gesundheitswesen der Gesetzgeber unmittelbar (Gebührenordnung für Ärzte) und mittelbar (Ausgestaltung der Finanzierung der Gesetzlichen Krankenversicherung und damit der ambulanten und stationären Behandlung) die Einnahmen der fachärztlichen Labore bestimmt, ist es erforderlich, den erhöhten einmaligen, wiederkehrenden und laufenden Finanzbedarf hier entsprechend abzubilden.
Literatur:
Bericht zur Lage der IT-Sicherheit in Deutschland, Herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
Robert Konschak
Stellvertretender Leiter der AG IT ALM e.V. und Leitung IT-Abteilung MVZ Labor 28 GmbH
Dr. med. Michael Müller
1. Vorsitzender ALM e.V. und Geschäftsleitung MVZ Labor 28 GmbH, Berlin
Alle politischen Analysen ansehen