Betreiber wesentlicher Dienste stehen vor unterschiedlichen Herausforderungen. Besonders Krankenhäuser erfahren oft Startschwierigkeiten. Wir bieten einen Weg durch den Paragrafen-Dschungel.
Schon bevor das NIS-Gesetz (NISG) 2018 erlassen wurde, standen Krankenhäuser vor der Herausforderung, die limitierten personellen Ressourcen effizient einzusetzen. Mit den zusätzlichen Anforderungen des Netz- und Informationssystemsicherheitsgesetz (NISG) kommen mehr Aufgaben dazu. Mehr Zeit muss in Präventionsmaßnahmen, Notfallübungen und Verhaltensregeln investiert werden.
Das Krankenhaus an sich ist ein komplexes Gebilde mit langen Prozesswegen und vielseitigen Abläufen. Für die Compliance zum NISG ist ein schnelles Reagieren auf Veränderungen gefragt. Dies kann für Manche zum Problem werden, da viele Strukturen nicht sehr flexibel aufgebaut sind.
Probleme können auf zwei Ebene heruntergebrochen werden: personell und technisch. Im personellen Bereich fehlen oft Ressourcen etwa durch die anhaltende Covidkrise oder weil viel Personal mit anderem beschäftigt ist. Es kann ein Zeitdruck entstehen, wenn innerhalb von zwei Wochen nach Zustellung des NISG-Bescheids eine Kontaktstelle für die NIS-Kommunikation bekanntgegeben bzw. eingerichtet werden muss. Vor allem ist das fehlende Know-How in manchen Bereichen schwierig wettzumachen, da viele Organisationen das zuvor noch nicht gemacht haben.
Bei den technischen Problemen kann es dazu kommen, dass die Sicherheitsvorkehrungen, die die NIS-Verordnung (NISV) vorschreibt, vorab interpretiert werden muss. Erst dadurch kann abgeleitet werden, welche Maßnahmen im konkreten Fall ergriffen werden müssen. Einige health-spezifische Herausforderungen, die außerdem oft vorkommen, sind beispielsweise unkontrollierte Fernwartungszugänge, potentielle Schwachstellen in IT-basierten vernetzten Medizinprodukten, fehlende Trennung von medizinischen und nicht-medizinischen Netzwerken und nicht ausreichende oder nicht vorhandene Zutritts- und Zugriffskontrollen.
Auch hier sollte in zwei Bereiche unterschieden werden: die sogenannten TOMs, also technischen und organisatorischen Maßnahmen. Technische Maßnahmen sind etwa die Passwortsicherheit durch eine Passwortrichtlinie erhöhen, die dem Stand der Technik entspricht, oder die Absicherung der Fernwartungszugänge. Außerdem können hier eine Reihe von Sicherheitsvorkehrungen schnell zur Gewährleistung der NIS-Sicherheit nach dem Stand der Technik führen.
Im Bereich der organisatorischen Maßnahmen ist insbesondere darauf zu achten, dass die Akzeptanz der Geschäftsführung und die Verankerung des Projekts in die bestehenden Strukturen geschaffen wird. Dabei müssen die Zuständigkeiten festgelegt und die notwendigen Ressourcen freigegeben werden. Ohne die Unterstützung der obersten Leitung ist ein derartiges Projekt zum Scheitern verurteilt und wird auch nicht die Akzeptanz der Mitarbeiter*innen erreichen. Weiters helfen Schulungen und Sensibilisierungsmaßnahmen gegenüber Angriffen, wie etwa Social Engineering, besser gerüstet zu sein. Mit einem Prozessmodell können Komponenten und Aspekte der Prozesse und Abläufe herausgearbeitet und übersichtlich verwaltet werden.
Um die vielseitigen Herausforderungen im Bereich des NISG und der NISV umsetzen zu können, bedarf es auch vielseitiger Lösungsansätze. Mehr Informationen und Lösungsansätze zur Umsetzung des NISG erhalten Sie in unserem Webinar „Der Weg aus dem Paragrafen-Dschungel - Ansätze für die Anwendung des NIS-Gesetzes im Gesundheitswesen“ am 23. Juni 2022 an.
