Suche

Login

PTA IN LOVE-Quiz Refluxwissen mit Refluthin® Website-Header
Adventskalender Bewerbung
PTA IN LOVE-Quiz Refluxwissen mit Refluthin® Website-Header
NICHT DEAKTIVIEREN / LÖSCHEN!!! - Ad-Zone für Kundenbanner
PTA IN LOVE-week, Header
20211109_PIL-AVK_2021_headergrafik_3200x800
previous arrow
next arrow

Cybersicherheit: Apotheken in der Pflicht

Vom 2. März 2025 NadineNadine
Foto: deagreez/stock.adobe.com
Politik

Im Oktober hatte sich der Bundestag mit dem Gesetzentwurf zur Umsetzung der sogenannten NIS-2-Richtlinie der EU befasst. Ein Entwurf wurde bereits im Mai vorgelegt. Das Ziel: Die Anforderungen an die Cybersicherheit in Europa zu harmonisieren und zu erhöhen. Doch mit dem Ampel-Aus liegt das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ auf Eis. Apotheken sollten dennoch vorbereitet sein.

Ende 2022 wurde die NIS-2-Richtlinie verabschiedet. Demnach sind Unternehmen ab einer festgelegten Größe und in bestimmten Wirtschaftsbereichen verpflichtet, Maßnahmen zur Gewährleistung von Cybersicherheit zu ergreifen. Die Umsetzung der EU-Richtlinie soll über das Cybersicherheitsstärkungsgesetz geregelt werden. Zwar stehen noch keine Einzelheiten fest, da eine Verabschiedung des Gesetzes noch aussteht, dennoch sind Mindestanforderungen für die Unternehmen absehbar. Ohnehin lässt die EU-Richtlinie nicht viele Freiheiten.

Auch Apotheken fallen unter Umständen unter den Anwendungsbereich der NIS-2-Richtlinie, nämlich dann, wenn sie nach den Vorgaben als „wichtige Einrichtung“ oder „besonders wichtige Einrichtung“ einzuordnen sind. Dies ist der Fall, wenn mindestens 50 Mitarbeiter:innen beschäftigt sind oder mindestens zehn Millionen Euro Umsatz pro Jahr erzielt werden. Ob ein Unternehmen in den Anwendungsbereich fällt, kann über eine Betroffenheitsprüfung des Bundesamtes für Sicherheit und Informationstechnik (BSI) herausgefunden werden.

Ist dies der Fall, gelten verschiedene Pflichten und Maßnahmen:

  • proaktives Risikomanagement
  • Melde- und Dokumentationspflichten
  • Registrierungspflicht beim BSI
  • Bereitstellung von Kundeninformationen

Die Datenverarbeitungsanlagen unterliegen den Bestimmungen zum Incident-Management, Backup-/Recovery Management, Vulnerability-Management, Kryptographie und Zugriffskontrolle. Aber auch Billigungs-, Überwachungs- und Schulungspflicht sind zu beachten.

Sicherheitsvorfälle müssen gemeldet werden. Auch hierzu gibt es Vorgaben: Die Erstmeldung muss binnen 24 Stunden erfolgen. Außerdem sind ein Update binnen 72 Stunden und ein Abschlussbericht innerhalb eines Monats vorgeschrieben.

Den betroffenen Apotheken bleibt bis zu einer Prüfung der umgesetzten Maßnahmen noch Zeit – drei Jahre nach Inkrafttreten des Gesetzes.


Nadine
Post vom

Nadine

Nadine Tröbitscher ist PTA. Nach Jahren in der Apotheke und einem Abstecher in den Außendienst hat sie Offizin und Rezeptur gegen die Redaktion getauscht und gehört seit 2016 zum Team von APOTHEKE ADHOC. Von dort wechselte Nadine 2019 zur Redaktion von PTA IN LOVE und ist seit 2020 Chefredakteurin – und seit 2023 gemeinsam mit Patrick Hollstein von APOTHEKE ADHOC. Der Apotheke hat sie nie ganz den Rücken gekehrt und steht noch immer im Handverkauf.





Share

Share stories you like to your friends