Stand des Gesetzgebungsverfahrens
Sowohl das BSIG 3.0 als auch die BSI-KritisV befindet sich derzeit noch im finalen Abstimmungsprozess. Sie werden voraussichtlich noch in diesem Jahr verabschiedet. Beide Regelungen bringen verschärfte Anforderungen an die IT-Sicherheit und den Schutz kritischer Infrastrukturen mit sich und haben zum Ziel, die Cybersicherheit in Europa zu stärken sowie Ausfälle essenzieller Dienstleistungen zu verhindern. Sollten Organisationen als kritische Infrastruktur einzustufen sein, kommen umfangreiche Pflichten auf sie zu. Dazu gehören u. a. die Einhaltung von Meldepflichten bei bestimmten Sicherheitsvorfällen gegenüber dem Bundesamt für die Sicherheit in der Informationstechnik (BSI), Mindeststandards in der Informationssicherheit sowie die Durchführung von Auditierungen und bestimmte Nachweispflichten.
Wer ist betroffen?
Eine Einrichtung ist betroffen, wenn sie die vorgegebenen Schwellwerte zur Anzahl der Beschäftigten, das heißt mehr als 50 Mitarbeitende, oder des Jahresumsatzes, konkret mehr als 10 Millionen Euro, überschreitet und in einem bestimmten Sektor tätig ist. Während die konkreten Zahlen vergleichsweise einfach zu bestimmen sind, ist demgegenüber die Feststellung der Sektorzugehörigkeit nicht ganz trivial.
Grundsätzlich fallen Gesundheitsdienstleister unter die NIS2-Richtlinie, werden aber dort nicht näher definiert. Hierzu wird auf die Richtlinie 2011/24/EU verwiesen, deren Erwägungsgrund 14 eine Negativ-Definition enthält. Er legt fest, dass Dienstleistungen mit dem primären Ziel der Förderung „routinemäßiger alltäglicher Verrichtungen“ zur Ermöglichung eines „selbstbestimmten Lebens“ grundsätzlich ausgenommen sein sollten. Hier nennt die Richtlinie konkret die Langzeitpflege der (teil-)stationären Heime, ambulante Pflegedienste und das Betreute Wohnen. Aus dem Umkehrschluss dieser Negativ-Definition heraus ließe sich argumentieren, dass etwa Einrichtungen der medizinischen Intensivpflege und -Betreuung – außerhalb von Krankenhäusern – sehr wohl in den Anwendungsbereich der NIS2-Richtlinie fallen, nicht aber solche von Hospizdiensten. Hierbei handelt es sich jedoch um eine komplexe juristische Fragestellung, welche erst durch eine exaktere Definition bzw. entsprechende Rechtsprechung beantwortet werden kann. Diese liegt bislang noch nicht vor.
Cybersicherheit und intensivmedizinische Betreuung
Eine Auslegungshilfe für eine genauere Einordnung liefert beispielsweise auch die im Auftrag des BSI durchgeführte KRITIS-Sektorstudie zum Thema Gesundheit. Sie dient unter anderem der Bewertung, welche Branchen und Versorgungsleistungen in den KRITIS-Sektor fallen. Einrichtungen sind demnach kritisch, wenn sie intensivmedizinisch tätig sind und eng mit Krankenhäusern und medizinischen Einrichtungen zusammenarbeiten. Demgegenüber gelten Einrichtungen für Menschen mit Behinderung nicht grundsätzlich als primär kritisch, es sei denn, sie bieten spezialisierte Versorgung für schwerwiegende Behinderungen an.
Indirekte Betroffenheit im Bereich (Alten- und Intensiv-)Pflegeeinrichtungen
Auch wenn eine Einrichtung nicht direkt von den neuen gesetzlichen Regelungen betroffen ist, kann es zu einer indirekten Betroffenheit über ihre Stellung im Rahmen der sogenannten Lieferkette kommen. Diese kann sich daraus ergeben, dass Dienstleister von direkt betroffenen Einrichtungen in den Anwendungsbereich einbezogen werden und gewisse Anforderungen erfüllen müssen.
Der aktuelle Entwurf des BSIG 3.0 verpflichtet als kritische Infrastruktur eingestufte Krankenhäuser, sicherzustellen, dass alle ihre Partner, die für sie Dienste erbringen, also u.U. auch Pflegeleistungen, höhere IT-Sicherheitsstandards einzuhalten, u.a. Sicherheitsüberprüfungen. Relevant könnte dies in Fällen sein, in denen Dienstleister regelmäßig Daten mit kritischen Infrastrukturen austauschen oder in das Notfall- und Krisenmanagement ihrer Partner eingebunden werden.
Daneben sind aber auch Fälle denkbar, in denen eine Kooperation oder andersartige Zusammenarbeit mit Pflege-Einrichtungen „auf Augenhöhe“ stattfindet, z. B. im Rahmen von ambulanten Hospizdiensten. Das Bedürfnis, auch in diesem Zusammenhang gemeinsam an dem Ziel IT-Sicherheit zu arbeiten, liegt hier auf der Hand. Allerdings ist zu beachten, dass das Gesetz dazu auf „Zulieferer“ und „Dienstleister“ der kritischen Einrichtungen abstellt. Daher bleibt abzuwarten, ob auch die Zusammenarbeit zwischen Krankenhäusern und Pflegeeinrichtungen, beispielsweise Altenheime, hierunter fallen wird.
Fazit
Es bleibt abzuwarten, in welchem Umfang und in welchem Konkretisierungsgrad die finale KRITIS-V die oben genannten Zusammenhänge adressiert. Altenpflegeheime, ambulante Pflege und betreutes Wohnen scheinen jedenfalls nicht unmittelbar von den Neuregelungen betroffen zu sein. Hingegen sind Pflegeeinrichtungen, die eine intensivmedizinische Versorgung anbieten, potenziell von der NIS2-Richtlinie betroffen. Zudem könnte sich aus einer engen Zusammenarbeit mit Krankenhäusern eine indirekte Betroffenheit von Pflegeeinrichtungen ergeben.
Wir empfehlen Verantwortungsträgern, die weiteren Entwicklungen aufmerksam zu verfolgen, um eine Betroffenheit rechtzeitig feststellen zu können bzw. eine reibungslose Zusammenarbeit mit kritischen Infrastrukturen sicherzustellen.
