Sicherheit im Gesundheitswesen: Der Aktionsplan der EU.

19.03.2025

Cyberangriffe auf Krankenhäuser und Gesundheitsdienstleister haben in ganz Europa stark zugenommen, wodurch die Cybersicherheit zu einem kritischen Thema für die Patientensicherheit geworden ist. Als Reaktion darauf hat die Europäische Kommission im Januar 2025 den Europäischen Aktionsplan zur Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern angekündigt, der eine koordinierte Strategie zur Stärkung der Sicherheit im Gesundheitswesen in der gesamten EU vorsieht. Diese strategische Initiative baut auf dem bestehenden Cybersicherheitsrahmen der EU auf, insbesondere auf der NIS2-Richtlinie, und konzentriert sich auf vier Hauptsäulen: Prävention, Erkennung, Reaktion und Wiederherstellung sowie Abschreckung. Allein im Jahr 2023 meldete der Gesundheitssektor 309 bedeutende Cybervorfälle in der EU, mehr als jeder andere kritische Sektor.

Was der Aktionsplan beinhaltet

Der Plan fordert einen proaktiven, mehrschichtigen Ansatz für die Cybersicherheit. Krankenhäuser und Kliniken werden aufgefordert, umfassende Risikobewertungen durchzuführen, bestehende IT-Systeme zu aktualisieren und das Personal in Cyberhygiene zu schulen. Ein EU-weites Frühwarnsystem für das Gesundheitswesen, das bis 2026 einsatzbereit sein soll, wird dazu beitragen, aufkommende Bedrohungen schnell zu erkennen. Darüber hinaus werden robuste Maßnahmen zur Reaktion auf Vorfälle, wie eine Cyber-Reserve" von Notfallteams und verstärkte Krisenmanagementübungen, hervorgehoben. Ein Schlüsselelement des Plans ist die obligatorische Meldung von Cyber-Vorfällen, um die Transparenz zu fördern und ein schnelles Eingreifen zu ermöglichen. Darüber hinaus sieht der Plan vor, dass im Falle eines Angriffs jede Absicht zur Zahlung von Lösegeld gemeldet werden muss, um Cyberkriminelle abzuschrecken.

Auswirkungen auf den medizinischen Sektor

Der Aktionsplan fördert eine mehrschichtige Cybersicherheitsstrategie, die auf vier Kernkompetenzen basiert: Prävention, Erkennung, Reaktion und Abschreckung. Zu den wichtigsten Maßnahmen gehören umfassende Risikobewertungen, eine verbesserte Meldung von Vorfällen, verbesserte Cybersicherheitsschulungen für Mitarbeiter im Gesundheitswesen und die Entwicklung eines EU-weiten Frühwarnsystems, das voraussichtlich bis 2026 einsatzbereit sein wird.

  • Risikobewertungen und Upgrades: Einrichtungen müssen ihre IT-Systeme überprüfen, veraltete Software aktualisieren und die Netzwerksicherheit verbessern. Cybersicherheit ist nicht mehr nur ein Anliegen der IT-Abteilung, sondern unerlässlich für eine unterbrechungsfreie Patientenversorgung und operative Ausfallsicherheit.
  • Ausbildung des Personals: Die Betonung liegt eindeutig auf Schulung. Alle Mitarbeiter des Gesundheitswesens, vom Arzt bis zum Verwaltungspersonal, müssen in sicheren Cyber-Praktiken geschult werden, um menschliche Fehler zu vermeiden.
  • Bereitschaft zur Reaktion auf Zwischenfälle: Angesichts der neuen Richtlinien für eine robuste Reaktion auf Zwischenfälle und regelmäßige Sicherheitsübungen müssen Krankenhäuser in Backup-Systeme und umfassende Wiederherstellungspläne investieren.

Anbieter von Medizintechnik, einschließlich Software- und Hardware-Anbietern sowie Managed Security Service Providern (MSSPs), müssen jetzt Sicherheit in ihre Produkte integrieren. Das bedeutet, dass sie "Secure by Design"-Lösungen entwickeln, robuste Verfahren zur Meldung von Schwachstellen implementieren und Kunden im Gesundheitswesen mit integrierten Cybersicherheitsdiensten unterstützen. Die Zusammenarbeit zwischen Krankenhäusern und Technologieanbietern gewährleistet, dass jedes Glied in der Kette des Gesundheitswesens geschützt ist.

Nationale Umsetzungen in der EU

Obwohl der Aktionsplan EU-weit gilt, wird seine Umsetzung je nach dem jeweiligen Reifegrad der Cybersicherheit und den bestehenden Rechtsrahmen in den einzelnen Mitgliedstaaten sehr unterschiedlich ausfallen.

  • Die Niederlande: Die Niederländer sind seit langem Vorreiter im Bereich der Cybersicherheit. Mit ihrem Nationalen Center für Cybersicherheit (NCSC-NL) und den sektorspezifischen Leitlinien des Zorg-CERT sind sie für die bevorstehenden Veränderungen gut gerüstet. Niederländische Krankenhäuser halten bereits strenge Standards ein, darunter obligatorische Risikobewertungen und die Einhaltung der Norm NEN 7510, die speziell für den Gesundheitssektor entwickelt wurde. Ihre proaktiven Mechanismen zum Austausch von Bedrohungsdaten dürften sich nahtlos in den neuen EU-Rahmen integrieren lassen.
  • Spanien: In rascher Angleichung an die EU-Mandate verabschiedete Spanien im Januar 2025 einen Gesetzentwurf zur Stärkung der nationalen Cybersicherheitsverwaltung. Das kürzlich geschaffene Centro Nacional de Ciberseguridad (CNC) oder Nationale Center für Cybersicherheit wird als zentrale Behörde fungieren und sicherstellen, dass Krankenhäuser die neuen Meldepflichten erfüllen und sich regelmäßigen Audits unterziehen. Spanische Gesundheitseinrichtungen sollten mit einer strengeren Aufsicht und einer zentralisierten Berichterstattung über Vorfälle rechnen, ebenso wie mit Zuschüssen, die nun auch eine Verbesserung der Cybersicherheit beinhalten.
  • Estland: Estland ist als digitaler Vorreiter in Europa bekannt. Die nahezu vollständige Digitalisierung des Gesundheitswesens macht strenge Maßnahmen zur Cybersicherheit erforderlich. Die estnische Riigi Infosüsteemi Amet (RIA) oder Informationssystembehörde setzt einige der strengsten Datensicherheitsrichtlinien in der Region durch. Estlands frühe Einführung der Blockchain-basierten Sicherheit für elektronische Gesundheitsakten ist ein Paradebeispiel für sein Engagement für eine sichere digitale Gesundheitsversorgung. Diese solide Grundlage bedeutet, dass Estland gut darauf vorbereitet ist, die neuen Cybersicherheitsanforderungen der EU zu integrieren und sogar zu übertreffen.
  • Frankreich: Frankreich ist bereits führend im Bereich der Cybersicherheit im Gesundheitswesen und wird sein 2023 gestartetes CaRE-Programm im Rahmen des neuen Aktionsplans ausbauen. Das mit erheblichen Mitteln ausgestattete Programm stellt Krankenhäusern einen geprüften Katalog von Cybersicherheitsinstrumenten zur Verfügung und legt Wert auf eine koordinierte Beschaffung. Französische Krankenhäuser können mit verschärften Vorschriften, strengeren Meldepflichten und einer stärkeren Integration mit nationalen Cybersicherheitsbehörden wie der Agence nationale de la sécurité des systèmes d'information (ANSSI) rechnen.
  • Deutschland: Der deutsche Ansatz beinhaltet die Aktualisierung der Schutzmaßnahmen für kritische Infrastrukturen. Obwohl die Umsetzung der NIS2-Richtlinie anfangs nur langsam vorankam, will Deutschland sie bis Anfang 2025 vollständig umsetzen. Bestehende Richtlinien für große Krankenhäuser werden auf weitere Gesundheitsdienstleister ausgeweitet, und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird wahrscheinlich eine noch aktivere Rolle spielen. Deutsche Krankenhäuser sollten sich auf strengere Meldepflichten und eine verstärkte behördliche Aufsicht einstellen, verbunden mit zusätzlichen finanziellen Anreizen für Investitionen in die Cybersicherheit.

Zeitplan und wichtige Meilensteine

Der Plan soll rasch umgesetzt werden:

  • Januar 2025: Offizielle Ankündigung und Beginn der Konsultation der Interessengruppen.
  • Mitte 2025: Die Mitgliedstaaten beginnen mit der Umsetzung der NIS2, und es werden gesundheitsspezifische Leitlinien veröffentlicht.
  • Ende 2025: Wichtige Ergebnisse wie Playbooks für die Reaktion auf Vorfälle und obligatorische Ransomware-Meldeprotokolle werden umgesetzt.
  • Anfang bis Mitte 2026: Einführung eines EU-weiten Frühwarndienstes, der nahezu in Echtzeit vor potenziellen Cyberbedrohungen warnt. Umsetzung des Schnellreaktionsdienstes im Rahmen der EU-Reserve für Cybersicherheit und Einführung von Gutscheinen für Cybersicherheit für förderfähige Gesundheitsdienstleister.
  • Über das Jahr 2026 hinaus: Laufende Integration von Cybersicherheitspraktiken in den Alltag des Gesundheitswesens, mit regelmäßigen Überprüfungen und Aktualisierungen.

Wie Getronics helfen kann

Die Anpassung an diese sich entwickelnden Cybersicherheitsvorschriften kann eine Herausforderung sein. Getronics ist mit seinem umfassenden Fachwissen in den Bereichen IT-Managed Services und Gesundheitstechnologie einzigartig positioniert, um Unternehmen bei diesem Übergang zu unterstützen. Unsere Dienstleistungen reichen von Risikobewertungen und Compliance-Beratung bis hin zu 24/7-Bedrohungsüberwachung und schneller Reaktion auf Vorfälle. Durch die Zusammenarbeit mit Getronics können Gesundheitsdienstleister nicht nur sicherstellen, dass sie die neuen gesetzlichen Anforderungen erfüllen, sondern auch eine robuste, widerstandsfähige Cyberabwehr aufbauen, die eine sichere und ununterbrochene Patientenversorgung gewährleistet.

Getronics hat bereits mehrere Schritte in der Gesundheitsbranche unternommen. Es unterstützt WI-FI 7 in Krankenhäusern und erforscht die Rolle der KI in der Medizin.

Setzen Sie sich noch heute mit Getronics in Verbindung, und lassen Sie sich von uns helfen, die Komplexität der Cybersicherheit in der sich wandelnden Gesundheitslandschaft zu bewältigen.

Geschrieben von Getronics Global Head of Operational Security Rob Nidschelm.

Getronics Redaktionsteam

In diesem Artikel:

Diesen Beitrag teilen

Ähnliche Artikel

Alle Artikel anzeigen
Zufällige Bilder

Sprechen Sie mit einem unserer Experten

Wenn Sie eine neue digitale Erfahrung in Betracht ziehen, egal in welcher Phase Sie sich gerade befinden, würden wir uns gerne mit Ihnen unterhalten.

EINEN RÜCKRUF ANFORDERN