Aktionsplan zur Cybersicherheit im Gesundheitswesen
Die zunehmende Digitalisierung im Gesundheitswesen bietet unzählige Möglichkeiten – von elektronischen Patientenakten über Telemedizin bis hin zu KI-gestützter Diagnostik. Gleichzeitig macht sie den Sektor jedoch anfällig für Cyberangriffe, die kritische Infrastrukturen lahmlegen und sogar Menschenleben gefährden können. Deshalb hat die EU-Kommission am 15.01.2025 einen Aktionsplan zur Cybersicherheit im Gesundheitswesen vorgestellt. Hiermit setzt sie einen wichtigen Schritt, um Krankenhäuser und Gesundheitsdienstleister vor diesen Bedrohungen zu schützen.
Digitale Revolution im Gesundheitswesen und ihre Schattenseiten
Die Vorteile der Digitalisierung im Gesundheitssektor liegen auf der Hand: Effizienzsteigerungen, bessere Patientenversorgung und innovative Technologien. Ansätze wie das kürzlich verabschiedete Gesetz zum Europäische Gesundheitsdatenraum und die elektronische Patientenakte sollen hierzu zentral beitragen.
Doch der Preis dafür ist eine zunehmende Abhängigkeit von digitalen Infrastrukturen, die Cyberkriminelle zunehmend ins Visier nehmen. Im Jahr 2023 hätten die Mitgliedstaaten 309 schwerwiegende Cybersicherheitsvorfälle im Gesundheitswesen verzeichnet, was mehr sei als in den sonstigen kritischen Bereichen. Diese Angriffe können nicht nur finanzielle Schäden verursachen, sondern auch die Versorgung von Patienten gefährden, etwa durch blockierte Notaufnahmen oder unterbrochene medizinische Verfahren.
EU-Aktionsplan
Der vorgestellte Aktionsplan zur Cybersicherheit im Gesundheitswesen ist laut der Pressemitteilung der EU-Kommission einer der wichtigsten Punkte der politischen Leitlinien der ersten 100 Mandatstage von Präsidentin von er Leyen. Er basiert auf dem „EU-Rahmen zur Stärkung der Cybersicherheit in kritischen Infrastrukturen“. Passend zu dieser Zielsetzung wurden erst kürzlich neue Cybersicherheitsregeln für den Finanzsektor (DORA), der Cyber Resilience Act (CRA) sowie die NIS2-Richtlinie zur Cybersicherheit kritischer Infrastrukturen erlassen.
Wesentliche Zielsetzungen
Der Aktionsplan verfolgt das Ziel, die Cybersicherheit des Gesundheitssektors nachhaltig zu stärken. Dabei soll laut eines FAQs der EU-Kommission im Rahmen eines dualen Ansatzes sowohl das Vertrauen von Patienten in das digitale Gesundheitswesen gestärkt als auch Angehörige von Gesundheitseinrichtungen durch spezifische Maßnahmen unterstützt werden.
- Schnelle Bedrohungserkennung: Für eine schnelle Gefahrenerkennung soll eine Unterstützung beim Kapazitätsaufbau und bei der Tätigung von Investitionen erfolgen. Das beinhalte auch den Aufbau von robusten Sicherungssystemen und die Durchführung von Schulungen. Mitgliedsstaaten könnten sich auch dafür entscheiden Gutscheine anzubieten, um kleine und mittlere Unternehmen zu entlasten.
- Vorsorgefähigkeit: Der Aktionsplan soll Krankenhäusern und Gesundheitsdienstleistern bei der Ergreifung der notwendigen Vorsorgemaßnahmen gegen Cybersicherheitsbedrohungen helfen.
- Reaktionsfähigkeit: Die Reaktionsfähigkeit im Falle von Cybersichervorfällen soll ebenfalls durch den Plan erhöht werden, um die Auswirkungen minimal zu halten und eine Folgenbewältigung zeitnah zu ermöglichen. Speziell soll hierfür ein Abonnementdienst entwickelt werden, der neben der Beseitigung der Folgen auch ein Archiv für Ransomware-Entschlüsselungsinstrumente führen soll.
- Zentrums für Cybersicherheit im Gesundheitswesen: Die EU-Agentur für Cybersicherheit (ENISA) soll ein EU-weites spezialisiertes Zentrum für Gesundheitseinrichtungen und -dienstleister eröffnen. Dieses soll maßgeschneiderte Leitlinien, Werkzeuge und Schulungen bereitstellt. Bis 2026 soll dieses einen Frühwarndienst erstellen, der in Echtzeit Cybersicherheitswarnungen liefern soll.
Verhältnis zur NIS2-Richtlinie
Die Maßnahmen bauen auf verschiedenen europäischen Cybersicherheitsvorgaben, unteranderem auf der NIS2-Richtlinie, auf. Während die NIS2-Richtlinie die Cybersicherheitsvorgaben auf kritische Dienste im Gesundheitswesen ausweitet, fokussiert sich der Aktionsplan auf die spezifischen Schwachstellen und Besonderheiten von Krankenhäusern und Gesundheitseinrichtungen. Diese soll der Aktionsplan angehen und hierdurch bei der Umsetzung der Cybersicherheitsvorgaben helfen.
Fazit
Mit dem neuen Aktionsplan zur Cybersicherheit im Gesundheitswesen stellen sich zwar neue Herausforderungen für Unternehmen in diesem Sektor, andererseits aber auch Chancen: Ein höheres Sicherheitsniveau schützt die Organisation selbst, stärkt zudem das Vertrauen der Patienten und schafft die Grundlage für nachhaltige Innovationen. Um von den Maßnahmen zu profitieren, müssen Unternehmen aktiv werden, ihre Sicherheitsstrategien überdenken und ihre IT-Infrastrukturen auf den Prüfstand stellen.