NIS-2 in der medizinischen & pflegerischen Versorgung
Was bedeutet NIS-2?
NIS steht für „Network and Information Security“.
Es ist eine verpflichtende EU-Richtlinie (2022/2555).
Sie definiert für die betroffenen Einrichtungen, Organisationen und Unternehmen strenge verpflichtende Regelungen für Cyberschutz und Informationssicherheit.
Für wen ist NIS-2 verpflichtend?
Die NIS-2-Richtlinie richtet sich an Betreiber kritischer Infrastrukturen und an „wesentliche“ und „wichtige“ Einrichtungen. Wichtige Einrichtungen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von 10 Millionen Euro sind zum Beispiel Gesundheitsdienstleister wie Krankenhäuser und Sozialeinrichtungen.
Wer ist von NIS-2 im Gesundheits- und Sozialwesen betroffen?
Etwa 40.000 Geschäftsführer, Vorstände, Prokuristen und andere verantwortliche Führungspersonen sind durch die strengen Verpflichtungen der EU-RL 2022/2555, kurz NIS-2 genannt, betroffen.
Organisationen
Anz. Gesamt
NIS-2-Anteil
Anz. GF
Anz. GF § 38
Anz. MA
Anz. MA § 38
> Arztpraxen & MVZ
125.000
5.625
2
11.250
60
337.500
> Zahnarztpraxen
48.000
1.200
2
2.400
60
72.000
> Pflegeeinrichtungen
15.400
2.310
4
9.240
60
138.600
> Ambulante Pflegedienste
2.702
900
2
1.800
60
54.000
> Krankenhäuser inkl. ASV
1.950
1.950
6
11.700
700
1.365.000
> Privatkliniken
1.104
220
4
880
120
26.400
> Reha-Einrichtungen
1.200
600
4
2.400
60
36.000
Zwischensumme
195.356
12.805
39.670
2.029.500
Organisationen
Anz. Gesamt
NIS-2-Anteil
> Arztpraxen & MVZ
125.000
5.625
> Zahnarztpraxen
48.000
1.200
> Pflegeeinrichtungen
15.400
2.310
> Ambulante Pflegedienste
2.702
900
> Krankenhäuser inkl. ASV
1.950
1.950
> Privatkliniken
1.104
220
> Reha-Einrichtungen
1.200
600
Zwischensumme
195.356
12.805
Organisationen
Anz. GF
Anz. GF § 38
Anz. MA
Anz. MA § 38
> Arztpraxen & MVZ
2
11.250
60
337.500
> Zahnarztpraxen
2
2.400
60
72.000
> Pflegeeinrichtungen
4
9.240
60
138.600
> Ambulante Pflegedienste
2
1.800
60
54.000
> Krankenhäuser inkl. ASV
6
11.700
700
1.365.000
> Privatkliniken
4
880
120
26.400
> Reha-Einrichtungen
4
2.400
60
36.000
Zwischensumme
39.670
2.029.500
Welche Abteilungen sind in NIS-2 Organisationen von Maßnahmen und Aufgaben betroffen?
Es besteht häufig das Missverständnis, dass NIS-2 eine Sache der IT-Abteilung ist.
NIS-2 ist tatsächlich ein ganzheitliches Projekt, für das ausdrücklich die Geschäftsleitung verantwortlich ist (§ 38 BSIG-E).
Außerdem müssen 7 Abteilungen in einem Team Aufgaben übernehmen, um eine rechtskonforme NIS-2- Umsetzung zu gewährleisten.
Das rechtskonforme NIS-2-Abteilungsnetzwerk
Cyberschutz, Informationssicherheit, und Datenschutz im Gesundheitswesen und in der Sozialwirtschaft
Es wird empfohlen, ein „NIS-2-Team“ mit Vertretern aus 7 Abteilungen und der Geschäftsleitung zu etablieren.
Damit können Prozesse und Strukturen synchronisiert und Synergien genutzt werden.
Welche Kriterien sind relevant für die NIS-2-Betroffenheit?
Mit Inkrafttreten der NIS2-Richtlinie gibt es zwei Kriterien für die Betroffenheit:
1 Die Unternehmensgröße
Die NIS-2-Richtlinie gilt für Unternehmen ab 50 Mitarbeitern und Mitarbeiterinnen und 10 Mio. Euro Umsatz, wenn auch das Kriterium Unternehmenssektor erfüllt ist.
2 Der Unternehmenssektor
Eine Einrichtung fällt unter die NIS-2-Regelung, wenn sie zu einem der 18 festgelegten Unternehmenssektoren gehört, wie beispielsweise Gesundheitsdienstleister, Digitale Infrastruktur, Öffentliche Verwaltungen, Produktion und Herstellung von Medizinprodukten/Maschinen, Digitale Anbieter und weitere Sektoren.
Sind beide Kriterien erfüllt, fällt eine Einrichtung/Unternehmen unter die NIS-2-Richtlinie.
Gerne prüfen wir für Sie, ob ihr Unternehmen zu den 18 relevanten Sektoren dazu gehört.
Der erste Schritt zur Umsetzung des NIS-2-Projekts ist die Feststellung der Betroffenheit.
Diese erfolgt im Regelfall in zwei Stufen:
Stufe 1
NIS-2-Orientierungsanalyse mit Feststellung der globalen Relevanz nach Anzahl der Mitarbeitenden und der Umsatzhöhe
Stufe 2
Rechtliche NIS-2-Betroffenheitsanalyse mit verbundenen Unternehmen und Lieferketten
Welche NIS-2- Expertensysteme stehen zur Verfügung?
Für Organisationen wie Krankenhäuser, Arztpraxen und Pflegeeinrichtungen bestehen unterschiedliche rechtliche Rahmenbedingungen.
Diese werden innerhalb der MCSS-Expertensysteme mit drei Versionen abgebildet:
für Krankenhäuser, Kliniken und Großpraxen
für große Pflege- und Betreuungseinrichtungen
für soziale Organisationen, die als Holdings für medizinische und pflegerische Versorger verantwortlich sind
Welche Leistungen bietet das NIS-2-Expertensystem?
Das MCSS NIS-2-Expertensystem ist bislang das einzige dieser Art in Europa.
Es basiert auf einer cloudbasierten Plattform, das von dem ZIM-Innovationsprogramm des Bundeswirtschaftsministeriums gefördert und mit dem ersten Preis des Jahres 2022 ausgezeichnet wurde.
Das Leistungsspektrum besteht aus folgenden Funktions- und Inhaltskomponenten:
Mehrstufige Risikoanalysen:
- Cyberschutz und Informationssicherheit
- Datenschutz
- Digitalisierungsprozesse
- Prozess- und Qualitätsmanagement in der medizinischen Versorgung
NIS-2-Curriculum-Vorlagen
Planungsprogramme für Handlungsempfehlungen
Prozessbeschreibungen und Verfahrensanweisungen
Arbeitschecklisten für die Abteilungsaufgaben
Wissenstests
Schulungskomponenten für Smartphones
Schulungs- und Erklärvideos
NIS-2 stellt jede Organisation vor neue Herausforderungen
Die Einführung der EU-Richtlinie 2022/2555, mit der Bezeichnung NIS-2, war dringend erforderlich, um wichtige Organisationen vor großen Cyberschäden besser zu schützen.
Das gilt besonders auch für die medizinische und pflegerische, soziale Versorgung. NIS-2 stellt eine Zusammenfassung anderer schon bestehender Vorschriften für die Informationssicherheit dar. Deshalb ist zu prüfen, welche Anforderungen und Aufgaben in der Organisation schon rechtskonform geregelt sind und welche zeitnah umzusetzen sind.
NIS-2: Maßnahmen-Katalog
Innerhalb des Maßnahmenkatalogs in NIS-2 werden 10 Anforderungen konkret definiert. Dazu gehören Risikoanalysen, Verhaltensweisen im Schadensfall, Schulungen aller Teammitglieder etc. Viele dieser technischen, organisatorischen und rechtlichen Maßnahmen sind in den Organisationen bereits umgesetzt.
Für die wichtigsten Maßnahmen wie die Risikoanalyse, Schulungen und das Lieferkettenmanagement sind bereits Prozessbeschreibungen und Verfahrensanweisungen im MCSS-NIS-Modul enthalten.
Die Organisationen können nach den Mustervorlagen mögliche Lücken leicht füllen.
Wofür steht NIS-2?
Einführung
1
Risikobewertungen und Sicherheitsrichtlinien
2
Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
3
Einsatz von Kryptographie und Verschlüsselung
4
Umgang und Meldepflicht mit Sicherheitsvorfällen
5
Beschaffung von Systemen
6
Cybersicherheitsschulungen und Computerhygiene
7
Sicherheitsverfahren für Zugang zu sensiblen Daten
8
Betriebskontinuität und Strategien zum Krisenmanagement
9
Einsatz von Mehrfaktor-Authentifizierung
10
Sicherheit im Zusammenhang mit Lieferketten
Zusammenfassung
Wofür steht NIS-2?
Einführung
1
Risikobewertungen und Sicherheitsrichtlinien
2
Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
3
Einsatz von Kryptographie und Verschlüsselung
4
Umgang und Meldepflicht mit Sicherheitsvorfällen
5
Beschaffung von Systemen
6
Cybersicherheitsschulungen und Computerhygiene
7
Sicherheitsverfahren für Zugang zu sensiblen Daten
8
Betriebskontinuität und Strategien zum Krisenmanagement
9
Einsatz von Mehrfaktor-Authentifizierung
10
Sicherheit im Zusammenhang mit Lieferketten
Zusammenfassung
NIS-2: Verantwortungen in den Abteilungen
Die neue NIS-2 Anforderung ist ein ganzheitliches Projekt, bei dem die Geschäftsleitung und 7 Abteilungen betroffen sind.
So ist beispielsweise die NIS-2 Betroffenheitsanalyse die Zuständigkeit der Rechtsabteilung, das Schulungsprogramm ist von der Personalabteilung zu koordinieren und das Lieferkettenmanagement ist Aufgabe der Einkaufs- und Verwaltungsabteilung.
Insgesamt sind 30 Prozesse in allen Abteilungen zu übernehmen. Beispielvorlagen für jede Abteilung dienen als Organisationsrahmen. Weitere Unterstützungen können Kunden bei der MCSS AG bei Bedarf buchen.
G
Geschäftsleitung
R
Rechtsabteilung
P
Personalabteilung
E-V
Einkaufsabteilung/Verwaltungsabteilung
IT
IT-Abteilung
Q-S
QM-Abteilung/Sicherheitsabteilung
F
Finanzabteilung
VS
Versorgungsabteilung (operativ)
Welche Technologie steht hinter den MCSS-Expertensystemen?
Die MCSS-Expertensysteme für die Umsetzung der gesetzlichen NIS-2-Anforderungen basieren auf innovativen Technologien und Konzepten für strukturiertes Wissensmanagement.
Die Entwicklungen wurden u.a. durch die öffentlichen Mittel des Bundeswirtschaftsministeriums gefördert. Voraussetzung war das innovative gesamtheitliche Konzept mit cloudbasierter Plattform und Machine Learning Funktionen (KI).
Das cloudbasierte
MCSS-Expertensystem
zum Management von Digitalisierung, Cybersicherheit und Datenschutz
Zielgruppen: Medizinische und pflegende Einrichtungen (ambulant und stationär)
Welche Auszeichnung hat die
MCSS-Plattform erhalten?
Das MCSS-Expertensystem mit dem NIS-2-Assistenzmodul basiert auf Cloudtechnologie mit einer Hybridentwicklung.
Das „Backoffice“ basiert auf Microsoft Azure und das „Frontend“ nutzt die Flexibilität von WordPress. Dadurch kann eine moderne SaaS-Anwendung (Software as a Service), die ständig den sich ändernden Rahmenbedingungen angepasst wird, angeboten werden.
Im Juni 2022 wurde das von MCSS entwickelte „Cloudbasierte Prozessmanagement und Teamführungssystem“ (CPTF-S) in Berlin mit dem ersten Preis für ein ZIM-Einzelprojekt ausgezeichnet.
Stephan Engels (MCSS-Vorstand) und Arno Zurstraßen (MCSS-Aufsichtsrat) erhielten in Berlin die Auszeichnung im Rahmen des Innovationstages 2022
Kompetenzprofil
Das NIS-2-Expertensystem wird von führenden Versicherungen als Assistenzsystem für Cyberversicherungen kombiniert mit spezialisierten Policen angeboten.
MC-KLINIK, MC-CURA und MC-ORG können auch zu Vorzugskonditionen von der MCSS AG direkt lizenziert werden.
NIS-2-Abteilungsmodule
NIS-2-Verfahrensanweisungen / Prozessbeschreibungen
NIS-2-Arbeitschecklisten
Schulungs- und Erklärvideos
NIS-2-Dokumentenseiten (Wissensdatenbank)
Stunden Entwicklung für MCSS-NIS-2-Expertensysteme
Kostenlosen Beratungstermin vereinbaren
MCSS AG | Robert-Perthel-Straße 77a • 50739 Köln | Telefon +49 (0) 221 47 44 77 – 44 | Telefax +49 (0) 221 47 44 77 – 55 | E-Mail info[at]mcss-ag.de
NIS-2-Betroffenheitsanalyse beantragen
MCSS AG | Robert-Perthel-Straße 77a • 50739 Köln | Telefon +49 (0) 221 47 44 77 – 44 | Telefax +49 (0) 221 47 44 77 – 55 | E-Mail info[at]mcss-ag.de