Cybersicherheit: Apotheken in der Pflicht
Im Oktober hatte sich der Bundestag mit dem Gesetzentwurf zur Umsetzung der sogenannten NIS-2-Richtlinie der EU befasst. Ein Entwurf wurde bereits im Mai vorgelegt. Das Ziel: Die Anforderungen an die Cybersicherheit in Europa zu harmonisieren und zu erhöhen. Doch mit dem Ampel-Aus liegt das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ auf Eis. Apotheken sollten dennoch vorbereitet sein.
Ende 2022 wurde die NIS-2-Richtlinie verabschiedet. Demnach sind Unternehmen ab einer festgelegten Größe und in bestimmten Wirtschaftsbereichen verpflichtet, Maßnahmen zur Gewährleistung von Cybersicherheit zu ergreifen. Die Umsetzung der EU-Richtlinie soll über das Cybersicherheitsstärkungsgesetz geregelt werden. Zwar stehen noch keine Einzelheiten fest, da eine Verabschiedung des Gesetzes noch aussteht, dennoch sind Mindestanforderungen für die Unternehmen absehbar. Ohnehin lässt die EU-Richtlinie nicht viele Freiheiten.
Auch Apotheken fallen unter Umständen unter den Anwendungsbereich der NIS-2-Richtlinie, nämlich dann, wenn sie nach den Vorgaben als „wichtige Einrichtung“ oder „besonders wichtige Einrichtung“ einzuordnen sind. Dies ist der Fall, wenn mindestens 50 Mitarbeiter:innen beschäftigt sind oder mindestens zehn Millionen Euro Umsatz pro Jahr erzielt werden. Ob ein Unternehmen in den Anwendungsbereich fällt, kann über eine Betroffenheitsprüfung des Bundesamtes für Sicherheit und Informationstechnik (BSI) herausgefunden werden.
Ist dies der Fall, gelten verschiedene Pflichten und Maßnahmen:
- proaktives Risikomanagement
- Melde- und Dokumentationspflichten
- Registrierungspflicht beim BSI
- Bereitstellung von Kundeninformationen
Die Datenverarbeitungsanlagen unterliegen den Bestimmungen zum Incident-Management, Backup-/Recovery Management, Vulnerability-Management, Kryptographie und Zugriffskontrolle. Aber auch Billigungs-, Überwachungs- und Schulungspflicht sind zu beachten.
Sicherheitsvorfälle müssen gemeldet werden. Auch hierzu gibt es Vorgaben: Die Erstmeldung muss binnen 24 Stunden erfolgen. Außerdem sind ein Update binnen 72 Stunden und ein Abschlussbericht innerhalb eines Monats vorgeschrieben.
Den betroffenen Apotheken bleibt bis zu einer Prüfung der umgesetzten Maßnahmen noch Zeit – drei Jahre nach Inkrafttreten des Gesetzes.
Mehr aus dieser Kategorie
Heilberufe-Papier: Nachhaltige Finanzierung, weniger Bürokratie
Die Gesundheitspolitik der Ampel-Regierung wird scharf kritisiert und ein konsequenter „Politikwechsel in der Gesundheitspolitik“ gefordert. Die wichtigsten Player stehen für …
„PTA sind Universaltalente.“
Impfen in der Apotheke kann ein Gamechanger sein. Denn das niedrigschwellige Angebot kann dazu beitragen, die Impfquoten zu steigern. Aber …
Arbeitszeugnis verweigert: Haftstrafe für Chef:innen?
Steht für Angestellte ein Jobwechsel an, haben sie Anspruch auf ein Arbeitszeugnis, und zwar in wohlwollender Form. Das gilt sowohl …
