Cybersicherheit: Apotheken in der Pflicht
Im Oktober hatte sich der Bundestag mit dem Gesetzentwurf zur Umsetzung der sogenannten NIS-2-Richtlinie der EU befasst. Ein Entwurf wurde bereits im Mai vorgelegt. Das Ziel: Die Anforderungen an die Cybersicherheit in Europa zu harmonisieren und zu erhöhen. Doch mit dem Ampel-Aus liegt das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ auf Eis. Apotheken sollten dennoch vorbereitet sein.
Ende 2022 wurde die NIS-2-Richtlinie verabschiedet. Demnach sind Unternehmen ab einer festgelegten Größe und in bestimmten Wirtschaftsbereichen verpflichtet, Maßnahmen zur Gewährleistung von Cybersicherheit zu ergreifen. Die Umsetzung der EU-Richtlinie soll über das Cybersicherheitsstärkungsgesetz geregelt werden. Zwar stehen noch keine Einzelheiten fest, da eine Verabschiedung des Gesetzes noch aussteht, dennoch sind Mindestanforderungen für die Unternehmen absehbar. Ohnehin lässt die EU-Richtlinie nicht viele Freiheiten.
Auch Apotheken fallen unter Umständen unter den Anwendungsbereich der NIS-2-Richtlinie, nämlich dann, wenn sie nach den Vorgaben als „wichtige Einrichtung“ oder „besonders wichtige Einrichtung“ einzuordnen sind. Dies ist der Fall, wenn mindestens 50 Mitarbeiter:innen beschäftigt sind oder mindestens zehn Millionen Euro Umsatz pro Jahr erzielt werden. Ob ein Unternehmen in den Anwendungsbereich fällt, kann über eine Betroffenheitsprüfung des Bundesamtes für Sicherheit und Informationstechnik (BSI) herausgefunden werden.
Ist dies der Fall, gelten verschiedene Pflichten und Maßnahmen:
- proaktives Risikomanagement
- Melde- und Dokumentationspflichten
- Registrierungspflicht beim BSI
- Bereitstellung von Kundeninformationen
Die Datenverarbeitungsanlagen unterliegen den Bestimmungen zum Incident-Management, Backup-/Recovery Management, Vulnerability-Management, Kryptographie und Zugriffskontrolle. Aber auch Billigungs-, Überwachungs- und Schulungspflicht sind zu beachten.
Sicherheitsvorfälle müssen gemeldet werden. Auch hierzu gibt es Vorgaben: Die Erstmeldung muss binnen 24 Stunden erfolgen. Außerdem sind ein Update binnen 72 Stunden und ein Abschlussbericht innerhalb eines Monats vorgeschrieben.
Den betroffenen Apotheken bleibt bis zu einer Prüfung der umgesetzten Maßnahmen noch Zeit – drei Jahre nach Inkrafttreten des Gesetzes.
Mehr aus dieser Kategorie
Bis zu 602 Euro/Monat: Minijobgrenze steigt
Maximal 556 Euro pro Monat dürfen Minijobber:innen hierzulande aktuell verdienen, um als geringfügig Beschäftigte zu gelten. Ab 1. Januar 2026 …
Arbeitszeitkonten: Beschäftigte haben 473 Millionen Plusstunden
Erstmals hat das Forschungsinstitut IAB ermittelt, wie viel die Arbeitnehmer:innen in Deutschland auf Arbeitszeitkonten liegen haben. Es sind Millionen von …
Gleiche Arbeit, ungleiche Bezahlung: Lohnunterschiede dürfen nicht willkürlich sein
Auch wenn hierzulande der Grundsatz „gleicher Lohn für gleiche Arbeit“ gilt, gibt es dennoch häufig Unterschiede beim Gehalt – trotz …