Sicherheit im Gesundheitswesen: Der Aktionsplan der EU.

19.03.2025

Im Januar 2025 kündigte die Europäische Kommission offiziell ihren neuen Europäischen Aktionsplan für die Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern an, mit dem die Sicherheit im europäischen Gesundheitswesen verbessert werden soll. Diese strategische Initiative baut auf dem bestehenden EU-Rahmen für Cybersicherheit auf, vor allem auf der NIS2-Richtlinie, und konzentriert sich auf vier wichtige Säulen: Vorbeugen, Erkennen, Reagieren und Wiederherstellen sowie Abschrecken. Sie ist eine unmittelbare Reaktion auf die alarmierende Zunahme von Cyberangriffen auf den Gesundheitssektor, der allein im Jahr 2023 309 schwerwiegende Vorfälle zu verzeichnen hatte und damit alle anderen kritischen Sektoren übertraf.

Was der Aktionsplan beinhaltet

Der Plan fordert einen proaktiven, mehrschichtigen Ansatz für die Cybersicherheit. Krankenhäuser und Kliniken werden aufgefordert, umfassende Risikobewertungen durchzuführen, bestehende IT-Systeme zu aktualisieren und das Personal in Cyberhygiene zu schulen. Ein EU-weites Frühwarnsystem für das Gesundheitswesen, das bis 2026 einsatzbereit sein soll, wird dazu beitragen, aufkommende Bedrohungen schnell zu erkennen. Darüber hinaus werden robuste Maßnahmen zur Reaktion auf Vorfälle, wie eine Cyber-Reserve" von Notfallteams und verstärkte Krisenmanagementübungen, hervorgehoben. Ein Schlüsselelement des Plans ist die obligatorische Meldung von Cyber-Vorfällen, um die Transparenz zu fördern und ein schnelles Eingreifen zu ermöglichen. Darüber hinaus sieht der Plan vor, dass im Falle eines Angriffs jede Absicht zur Zahlung von Lösegeld gemeldet werden muss, um Cyberkriminelle abzuschrecken.

Auswirkungen auf den medizinischen Sektor

Das Gesundheitswesen ist zunehmend Ziel von Cyberangriffen, und der EU-Aktionsplan ist eine notwendige Maßnahme zur Eindämmung dieses Risikos. Für Krankenhäuser bedeutet der Plan sofortige und langfristige Veränderungen:

  • Risikobewertungen und Upgrades: Die Einrichtungen müssen ihre IT-Systeme überprüfen, ältere Software aktualisieren und die Netzwerksicherheit verbessern. Cybersicherheit ist nicht nur ein IT-Thema, sondern eine wesentliche Voraussetzung für eine kontinuierliche Patientenversorgung.
  • Ausbildung des Personals: Die Betonung liegt eindeutig auf Schulung. Alle Mitarbeiter des Gesundheitswesens, vom Arzt bis zum Verwaltungspersonal, müssen in sicheren Cyber-Praktiken geschult werden, um menschliche Fehler zu vermeiden.
  • Bereitschaft zur Reaktion auf Zwischenfälle: Angesichts der neuen Richtlinien für eine robuste Reaktion auf Zwischenfälle und regelmäßige Sicherheitsübungen müssen Krankenhäuser in Backup-Systeme und umfassende Wiederherstellungspläne investieren.

Anbieter von Medizintechnik, einschließlich Software- und Hardware-Anbietern sowie Managed Security Service Providern (MSSPs), müssen jetzt Sicherheit in ihre Produkte integrieren. Das bedeutet, dass sie "Secure by Design"-Lösungen entwickeln, robuste Verfahren zur Meldung von Schwachstellen implementieren und Kunden im Gesundheitswesen mit integrierten Cybersicherheitsdiensten unterstützen. Die Zusammenarbeit zwischen Krankenhäusern und Technologieanbietern gewährleistet, dass jedes Glied in der Kette des Gesundheitswesens geschützt ist.

Nationale Umsetzungen in der EU

Der Aktionsplan ist zwar ein EU-weites Mandat, seine Umsetzung ist jedoch von Land zu Land unterschiedlich:

  • Die Niederlande: Die Niederländer sind seit langem Vorreiter im Bereich der Cybersicherheit. Mit ihrem Nationalen Center für Cybersicherheit (NCSC-NL) und den sektorspezifischen Leitlinien des Zorg-CERT sind sie für die bevorstehenden Veränderungen gut gerüstet. Niederländische Krankenhäuser halten bereits strenge Standards ein, darunter obligatorische Risikobewertungen und die Einhaltung der Norm NEN 7510, die speziell für den Gesundheitssektor entwickelt wurde. Ihre proaktiven Mechanismen zum Austausch von Bedrohungsdaten dürften sich nahtlos in den neuen EU-Rahmen integrieren lassen.
  • Spanien: In rascher Angleichung an die EU-Mandate verabschiedete Spanien im Januar 2025 einen Gesetzentwurf zur Stärkung der nationalen Cybersicherheitsverwaltung. Das kürzlich geschaffene Centro Nacional de Ciberseguridad (CNC) oder Nationale Center für Cybersicherheit wird als zentrale Behörde fungieren und sicherstellen, dass Krankenhäuser die neuen Meldepflichten erfüllen und sich regelmäßigen Audits unterziehen. Spanische Gesundheitseinrichtungen sollten mit einer strengeren Aufsicht und einer zentralisierten Berichterstattung über Vorfälle rechnen, ebenso wie mit Zuschüssen, die nun auch eine Verbesserung der Cybersicherheit beinhalten.
  • Estland: Estland ist als digitaler Vorreiter in Europa bekannt. Die nahezu vollständige Digitalisierung des Gesundheitswesens macht strenge Maßnahmen zur Cybersicherheit erforderlich. Die estnische Riigi Infosüsteemi Amet (RIA) oder Informationssystembehörde setzt einige der strengsten Datensicherheitsrichtlinien in der Region durch. Estlands frühe Einführung der Blockchain-basierten Sicherheit für elektronische Gesundheitsakten ist ein Paradebeispiel für sein Engagement für eine sichere digitale Gesundheitsversorgung. Diese solide Grundlage bedeutet, dass Estland gut darauf vorbereitet ist, die neuen Cybersicherheitsanforderungen der EU zu integrieren und sogar zu übertreffen.
  • Frankreich: Frankreich ist bereits führend im Bereich der Cybersicherheit im Gesundheitswesen und wird sein 2023 gestartetes CaRE-Programm im Rahmen des neuen Aktionsplans ausbauen. Das mit erheblichen Mitteln ausgestattete Programm stellt Krankenhäusern einen geprüften Katalog von Cybersicherheitsinstrumenten zur Verfügung und legt Wert auf eine koordinierte Beschaffung. Französische Krankenhäuser können mit verschärften Vorschriften, strengeren Meldepflichten und einer stärkeren Integration mit nationalen Cybersicherheitsbehörden wie der Agence nationale de la sécurité des systèmes d'information (ANSSI) rechnen.
  • Deutschland: Der deutsche Ansatz beinhaltet die Aktualisierung der Schutzmaßnahmen für kritische Infrastrukturen. Obwohl die Umsetzung der NIS2-Richtlinie anfangs nur langsam vorankam, will Deutschland sie bis Anfang 2025 vollständig umsetzen. Bestehende Richtlinien für große Krankenhäuser werden auf weitere Gesundheitsdienstleister ausgeweitet, und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird wahrscheinlich eine noch aktivere Rolle spielen. Deutsche Krankenhäuser sollten sich auf strengere Meldepflichten und eine verstärkte behördliche Aufsicht einstellen, verbunden mit zusätzlichen finanziellen Anreizen für Investitionen in die Cybersicherheit.

Zeitplan und wichtige Meilensteine

Der Plan soll rasch umgesetzt werden:

  • Januar 2025: Offizielle Ankündigung und Beginn der Konsultation der Interessengruppen.
  • Mitte 2025: Die Mitgliedstaaten beginnen mit der Umsetzung der NIS2, und es werden gesundheitsspezifische Leitlinien veröffentlicht.
  • Ende 2025: Wichtige Ergebnisse wie Playbooks für die Reaktion auf Vorfälle und obligatorische Ransomware-Meldeprotokolle werden umgesetzt.
  • Anfang bis Mitte 2026: Einführung eines EU-weiten Frühwarndienstes, der nahezu in Echtzeit vor potenziellen Cyberbedrohungen warnt. Umsetzung des Schnellreaktionsdienstes im Rahmen der EU-Reserve für Cybersicherheit und Einführung von Gutscheinen für Cybersicherheit für förderfähige Gesundheitsdienstleister.
  • Über das Jahr 2026 hinaus: Laufende Integration von Cybersicherheitspraktiken in den Alltag des Gesundheitswesens, mit regelmäßigen Überprüfungen und Aktualisierungen.

Wie Getronics helfen kann

Die Anpassung an diese sich entwickelnden Cybersicherheitsvorschriften kann eine Herausforderung sein. Getronics ist mit seinem umfassenden Fachwissen in den Bereichen IT-Managed Services und Gesundheitstechnologie einzigartig positioniert, um Unternehmen bei diesem Übergang zu unterstützen. Unsere Dienstleistungen reichen von Risikobewertungen und Compliance-Beratung bis hin zu 24/7-Bedrohungsüberwachung und schneller Reaktion auf Vorfälle. Durch die Zusammenarbeit mit Getronics können Gesundheitsdienstleister nicht nur sicherstellen, dass sie die neuen gesetzlichen Anforderungen erfüllen, sondern auch eine robuste, widerstandsfähige Cyberabwehr aufbauen, die eine sichere und ununterbrochene Patientenversorgung gewährleistet.

Getronics hat bereits mehrere Schritte in der Gesundheitsbranche unternommen. Es unterstützt WI-FI 7 in Krankenhäusern und erforscht die Rolle der KI in der Medizin.

Setzen Sie sich noch heute mit Getronics in Verbindung, und lassen Sie sich von uns helfen, die Komplexität der Cybersicherheit in der sich wandelnden Gesundheitslandschaft zu bewältigen.

Geschrieben von Getronics Global Head of Operational Security Rob Nidschelm.

Getronics Redaktionsteam

In diesem Artikel:

Diesen Beitrag teilen

Ähnliche Artikel

Alle Artikel anzeigen

Sprechen Sie mit einem unserer Experten

Suchen Sie Unterstützung bei einer digitalen Lösung? Dann lassen Sie uns sprechen!
Rückruf anfordern
Dienstleistungen
Über uns
Insights
Karriere
Kontakt
LinkedIn
Logo der Global Worspace Alliance in Weiß mit transparentem Hintergrund

Gründungsmitglied und führendes Mitglied der Global Workspace Alliance

Datenschutzrichtlinie - · Zertifizierungen - · Policies - · Bedingungen und Konditionen

©2025 Getronics

LinkedIn