Gesundheit

Im Sektor Gesundheit versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit vier kritischen Dienstleistungen – der stationären medizinischen Versorgung, der Versorgung mit lebenserhaltenden Medizinprodukten, der Versorgung mit Arzneien und Blut/Plasma sowie der Diagnostik in medizinischen Laboren. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

Pflichten
KRITIS-Anlagen
NIS2-Einrichtungen
Sektorgesetze

KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2025 um viele neue Einrichtungen, die als Unternehmen reguliert werden, wenn sie Umsatz und Mitarbeiterzahlen überschreiten.

Nr.	Unternehmen	Scope
	Betreiber kritischer Anlagen	Anlage über Schwellenwert (KRITIS)
	KRITIS-Sektordefinition Gesundheit: Stationäre medizinische Versorgung: Krankenhäuser Versorgung mit lebenserhaltenden Medizinprodukten: Produktion und Abgabe Versorgung mit Arzneien und Blut/Plasma: Herstellung, Vertrieb und Abgabe Laboratoriumsdiagnostik: Labore und Analytik
	Besonders wichtige Einrichtung	Unternehmen (NIS2) ≥250 Mitarbeiter oder >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz
	Wichtige Einrichtung	Unternehmen (NIS2) ≥50 Mitarbeiter oder >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
	NIS2-Sektordefinition Gesundheit: Gesundheit: Gesundheitsdienstleistungen, EU-Referenzlaboratorien, F&E Arzneimittel, Herstellung Pharmazeutika sowie Medizinprodukten

Regulierte Pflichten

NIS2 und KRITIS

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung. Die Gesetze werden wohl etwas verspätet 2025 in Kraft treten. Für Betreiber kritischer Anlagen, ehemals KRITIS, und die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Regierungsentwurf Oktober 2024
Thema	Betreiber kritischer Anlagen (KRITIS)		Einrichtungen
Gesetz	NIS2-Umsetzung	KRITIS-Dachgesetz	NIS2-Umsetzung
Fristen	ab 2025	ab 2026	ab 2025
Scope	Kritische Anlage	Kritische Anlage	Unternehmen
Pflichten	Registrierung Vorfallsmeldungen Sanktionen Prüfungen	Registrierung Vorfallsmeldungen Sanktionen	Registrierung Vorfallsmeldungen Sanktionen
Maßnahmen	Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Angriffserkennung SzA Personal	Resilienz Risikomanagement Physische Sicherheit Personal	Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Personal
Nachweise	Prüfungen	Teil von Audits	Stichproben
Regulator	BSI	BBK	BSI

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

KRITIS

Kritische Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Gesundheit in der KRITIS-Verordnung definiert. Betreiben Unternehmen diese kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie zu KRITIS-Betreibern mit vielen regulierten Pflichten.

aus BSI-KritisV August 2021, Anhang 5
Nr.	Anlage	Beschreibung	Schwellenwert
1.	Stationäre medizinische Versorgung (Dienstleistung)
1.1	Krankenhaus	nach §108 SGB 5	30 Tsd./Jahr	vollstationäre Fallzahl
2.	Versorgung mit lebenserhaltenden Medizinprodukten (Dienstleistung)
2.1.1	Produktionsstätte	von Medizinprodukten für Beatmung/Tracheostomie, parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes Typ 1	90,68 Mio. EUR/Jahr	Umsatz
2.2.1	Abgabestelle	von Medizinprodukten für Beatmung/Tracheostomie, parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes Typ 1	90,68 Mio. EUR/Jahr	Umsatz
3.	Versorgung mit Arzneien und Blut/Plasma (Dienstleistung)
3.1.1	Produktionsstätte	mit Herstellungserlaubnis nach §13 AMG, für Hilfsstoffe, -materialien, Wirkstoffe zu verschreibungspflichtigen Arzneimitteln zur Anwendung im oder am menschlichen Körper nach §48 AMG	4,65 Mio/Jahr	in Verkehr gebrachte Packungen
3.1.2	Blut- oder Plasmaspendensteuerung	zentrales IT-System zur Steuerung und Verwaltung von Blutspende-Einrichtungen oder Herstellungs-Einheiten	34 Tsd./Jahr	hergestellte oder in Verkehr gebrachte Produkte
3.2.1	Betriebs- und Lagerraum	zur kurzzeitigen Lagerung verschreibungspflichtiger Arzneimittel, Blutspenden, Blut- und Plasmaderivate; sowie zur Weiterverarbeitung oder Aufbereitung von Blut/Plasma zur Anwendung im/am menschlichen Körper	4,65 Mio/Jahr	umgeschlagene Packungen
3.2.2	Vertrieb verschreibungspflichtiger Arzneimitteln	zentrales Logistikmanagementsystem für Vertrieb, Disposition verschreibungspflichtiger Arzneimitteln zur Anwendung im/am menschlichen Körper.	4,65 Mio/Jahr	transportierte Packungen
3.3.1	Apotheke	zur Bereitstellung von verschreibungspflichtigen Arzneimitteln für Patienten im Sinne des ersten Abschnitts ApoG	4,65 Mio/Jahr	abgegebene Packungen
4.	Laboratoriumsdiagnostik (Dienstleistung)
4.1	Labor	für medizinische labordiagnostische Verfahren für Diagnose und Therapiekontrolle in der Humanmedizin und fachärztliche Befundung	1,5 Mio/Jahr	Aufträge
4.2	Laborinformationsverbund	Verbund von Anlagen, Systemen für IT-Dienstleistungen für Labore, insb. Steuerung Probentransport, Auftragseingang, Befundübermittlung, Laborinformationssystem (LIS)	1,5 Mio/Jahr	Kumulierte Aufträge im Verbund

Schwellenwerte

Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.

Stationäre medizinische Versorgung

Der Schwellenwert für Krankenhäuser (1.1) ist die vollstationäre Fallzahl:

30 Tsd./Jahr vollstationäre Fallzahl

Medizinprodukte

Der Schwellenwert für die Produktion und Abgabe (2.1.1 und 2.2.1) berechnet sich aus der angenommenen durchschnittlichen Ausgabe von 181,36 EUR Medizinprodukte pro Person pro Jahr für 500.000 versorgte Personen:

90,68 Mio. EUR Umsatz pro Jahr

Arzneien und Blut/Plasma

Der Schwellenwert für die Produktion, Weiterverarbeitung, Lagerung, Vertrieb und Apotheken (3.1.1 bis 3.3.1) berechnet sich aus dem angenommenen Durchschnittsverbrauch von 9,3 Packungen verschreibungspflichtiger Arzneimitteln und 0,068 Einheiten hergestellten Erythrozyten-Konzentrats, Thrombozyten-Konzentrats und Plasmas zur Transfusion pro Person pro Jahr für 500.000 versorgte Personen:

4,65 Mio. Packungen verschreibungspflichtige Arzneimittel pro Jahr
34 Tsd. Einheiten Erythrozytenkonzentrats, Thrombozytenkonzentrats und Plasmas Jahr

Labormedizin

Der Schwellenwert für den Transport, Kommunikation und Labore (4.1 bis 4.2) berechnet sich aus durchschnittlich angenommenen drei labormedizinischen Untersuchungen pro Person pro Jahr für 500.000 versorgte Personen:

1,5 Mio. Aufträge für labormedizinische Untersuchungen pro Jahr

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

NIS2

Einrichtungen

Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.

aus NIS2-Umsetzungsgesetz, Entwurf Mai 2024
^ - gemeint sind immer ganze Unternehmen
Nr.	Einrichtungsart^	Besonderheit
Gesundheit (Sektor, Anlage 1)
4.1.1	Erbringer Gesundheitsdienstleistungen	im Sinne der Richtlinie (EU) 2011/24
4.1.2	EU-Referenzlaboratorien	im Sinne Art. 15 (EU) 2022/2371
4.1.3	Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel	im Sinne §2 AMG
4.1.4	Herstellung pharmazeutische Erzeugnisse (NACE C 21)	21.1: Pharmazeutische Grundstoffe Antibiotika, Vitamine, Acetylsalicylsäure, Verarbeitung von Blut, chemisch reiner Zucker u.v.m. 21.2: Pharmazeutische Spezialitäten und sonstige pharmazeutische Erzeugnisse Antisera und Blutbestandteile, Impfstoffe, Arzneiwaren, Watte, Gaze, Verbandszeug u.v.m.
4.1.5	Herstellung von Medizinprodukten Medizinprodukte für Notlagen kritisch	im Sinne Art. 22 (EU) 2022/123 Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit

Regulierung und Standards

Gesetze im Gesundheitssektor

Für Betreiber von Krankenhäusern bestehen neben KRITIS und NIS2 weitere Vorgaben, die die IT-Sicherheit regeln.

Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG)

Folgt

SGB V

Der bisher gültige §75c zur IT-Sicherheit in Krankenh¨sern wurden durch das DigiG in §391 SGB V verschoben.

§391 "IT-Sicherheit in Krankenhäusern": gilt für Krankenhäuser aller Größen – unabhängig davon, ob das Krankenhaus als KRITIS gilt. Der Paragraf verpflichtet Krankenhäuser, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind. Im Fokus liegen auch Maßnahmen zur Steigerung der Security-Awareness.

KHZG

Durch das Krankenhauszukunftsgesetz wird seit Ende 2021 das Zukunftsprogramm Krankenhäuser vom Bund umgesetzt, mit dem durch den Krankenhauszukunftsfonds (KHZF) Investitionen von Krankenhäusern in Digitalisierung gefördert werden. Die Förderung betrifft unter anderem Cyber Security in Krankenhäusern in folgenden Themenfeldern:

Krankenhäuser, die Kritische Infrastrukturen nach der KritisV sind:
- KRITIS-Maßnahmen: Anpassung der IT von Krankenhäusern für die Vorgaben von §8a BSIG durch IT- und KT-Systeme, Anlagen und Prozesse
- Nach §12a (1) 4 Nr. 3 KHG i.V.m. §11 (1) Nr. 4 a KHSFV
Krankenhäuser, die nicht KRITIS sind:
- Prävention: Sicherheitsmanagement (ISMS), VPN, NAC, Firewalls, Zonierung, IPS etc.
- Detektion: SOC, SIEM, Logging, IDS, Malware-Schutz etc.
- Mitigation: Backup, lokaler Malware-Schutz etc.
- Awareness: Kampagnen, Risikoanalysen, Schulungen etc.
- Nach §19 (1) 10 KHSFV und Fördertatbestand 10 in der Förderrichtlinie nach §21 Abs. 2 KHSFV.

Weitere Informationen

Literatur

CSIRT Capabilities in Healthcare Sector, European Union Agency for Cybersecurity, November 2021
ENISA-Studie Cloud Security for Healthcare Services, European Union Agency for Cybersecurity, Januar 2021
ENISA-Procurement Guidelines for Cybersecurity in Hospitals, European Union Agency for Cybersecurity, Februar 2020
Krankenhauszukunftsgesetz für die Digitalisierung von Krankenhäusern, Bundesministerium für Gesundheit, 7.12.2020
Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens, Effiziente Versorgung im Gesundheitswesen, Bundesministerium für Gesundheit, 14.12.2023
Richtlinie zur Förderung von Vorhaben zur Digitalisierung der Prozesse und Strukturen, Bundesamt für soziale Sicherung, 03.05.2021

Quellen

BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung (Artikel 1 des Gesetzes vom 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt durch Artikel 2 des Gesetzes vom 23. Oktober 2020 (BGBl. I S. 2220) geändert worden ist
Gesetz über den Verkehr mit Arzneimitteln (Arzneimittelgesetz - AMG) in der Fassung der Bekanntmachung vom 12. Dezember 2005 (BGBl. I S. 3394), das zuletzt durch Artikel 2 Absatz 1 des Gesetzes vom 25. Juni 2020 (BGBl. I S. 1474) geändert worden ist
Gesetz über das Apothekenwesen (Apothekengesetz - ApoG) in der Fassung der Bekanntmachung vom 15. Oktober 1980 (BGBl. I S. 1993), das zuletzt durch Artikel 2 des Gesetzes vom 14. Oktober 2020 (BGBl. I S. 2115) geändert worden ist
Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz — DigiG) vom 22. März 2024