Cybersicherheit: Apotheken in der Pflicht
Im Oktober hatte sich der Bundestag mit dem Gesetzentwurf zur Umsetzung der sogenannten NIS-2-Richtlinie der EU befasst. Ein Entwurf wurde bereits im Mai vorgelegt. Das Ziel: Die Anforderungen an die Cybersicherheit in Europa zu harmonisieren und zu erhöhen. Doch mit dem Ampel-Aus liegt das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ auf Eis. Apotheken sollten dennoch vorbereitet sein.
Ende 2022 wurde die NIS-2-Richtlinie verabschiedet. Demnach sind Unternehmen ab einer festgelegten Größe und in bestimmten Wirtschaftsbereichen verpflichtet, Maßnahmen zur Gewährleistung von Cybersicherheit zu ergreifen. Die Umsetzung der EU-Richtlinie soll über das Cybersicherheitsstärkungsgesetz geregelt werden. Zwar stehen noch keine Einzelheiten fest, da eine Verabschiedung des Gesetzes noch aussteht, dennoch sind Mindestanforderungen für die Unternehmen absehbar. Ohnehin lässt die EU-Richtlinie nicht viele Freiheiten.
Auch Apotheken fallen unter Umständen unter den Anwendungsbereich der NIS-2-Richtlinie, nämlich dann, wenn sie nach den Vorgaben als „wichtige Einrichtung“ oder „besonders wichtige Einrichtung“ einzuordnen sind. Dies ist der Fall, wenn mindestens 50 Mitarbeiter:innen beschäftigt sind oder mindestens zehn Millionen Euro Umsatz pro Jahr erzielt werden. Ob ein Unternehmen in den Anwendungsbereich fällt, kann über eine Betroffenheitsprüfung des Bundesamtes für Sicherheit und Informationstechnik (BSI) herausgefunden werden.
Ist dies der Fall, gelten verschiedene Pflichten und Maßnahmen:
- proaktives Risikomanagement
- Melde- und Dokumentationspflichten
- Registrierungspflicht beim BSI
- Bereitstellung von Kundeninformationen
Die Datenverarbeitungsanlagen unterliegen den Bestimmungen zum Incident-Management, Backup-/Recovery Management, Vulnerability-Management, Kryptographie und Zugriffskontrolle. Aber auch Billigungs-, Überwachungs- und Schulungspflicht sind zu beachten.
Sicherheitsvorfälle müssen gemeldet werden. Auch hierzu gibt es Vorgaben: Die Erstmeldung muss binnen 24 Stunden erfolgen. Außerdem sind ein Update binnen 72 Stunden und ein Abschlussbericht innerhalb eines Monats vorgeschrieben.
Den betroffenen Apotheken bleibt bis zu einer Prüfung der umgesetzten Maßnahmen noch Zeit – drei Jahre nach Inkrafttreten des Gesetzes.
Mehr aus dieser Kategorie
Impf-„Beifang“ für Apotheken
„Die beste Krankheit für die Krankenkassen ist die, die nicht entsteht“, so Anne-Kathrin Klemm. Für die Vorsitzende des BKK-Dachverbandes muss …
PTA fällt nachträglich durch Abschlussprüfung
In Thüringen durchlebte eine PTA-Auszubildende den reinen Horror: Ihre bereits bestandene schriftliche Abschlussprüfung wurde nachträglich aberkannt, daher musste sie ihr …
ePA: Kaum Widerspruch gegen Nutzung
Befunde, Medikamente, Laborwerte – gespeichert in einer elektronischen Patientenakte, auf die Praxen, Kliniken und Apotheken zugreifen können. Das kommt nach …
