Einige Apotheken müssen gegen Cyber-Angriffe mithelfen |
 | Jennifer Evans |
 |
10.05.2024 15:00 Uhr |
Cyber-Attacken: Störungen und Angriffe im Bereich der Lieferketten sind keine Ausnahme mehr. Ein neues Gesetz soll mehr Schutz bringen. / Foto: Adobe Stock/Song_about_summer
Demnächst kommen auf viele deutsche Unternehmen zusätzliche Anforderungen zu, um das Niveau der Cybersicherheit hierzulande zu erhöhen. Das sieht der Entwurf für ein NIS-2-Umsetzungs- und Cybersicherheits-Stärkungsgesetz (NIS2UmsuCG) vor. Er stammt aus dem Bundesministerium des Inneren und für Heimat (BMI) und hat das Ziel, besonders wichtige Einrichtungen vor Bedrohungen und Schäden durch Cyberangriffe zu schützen. Schließlich würden diese zur Versorgungssicherheit beitragen, wie der Referentenentwurf in seiner Begründung hervorhebt.
Gemeint sind beispielsweise Ransomware-Angriffe auf medizinische Einrichtungen, die Daten zunächst verschlüsseln und dann erst nach einer Lösegeldzahlung wieder freigeben. Zeitweise lässt sich so die ambulante Versorgung komplett lahmlegen. Aber auch falsch konfigurierte Online-Server oder Cyberangriffe über die Lieferkette stellen laut BMI ein Problem dar. Und diese Phänomene träten nicht mehr nur vereinzelt auf, sondern gehörten inzwischen zum unternehmerischen Alltag.
In erster Linie geht es um die Betreiber kritischer Anlagen. Darüber hinaus kommen nun »besonders wichtige Einrichtungen« sowie »wichtige Einrichtungen« dazu – gestaffelt nach Unternehmensgröße. Apotheken sind laut ABDA ebenfalls von den neuen Regelungen betroffen, sofern ihr Betrieb mehr als 50 Beschäftigte hat oder der Jahresumsatz der Offizin 10 Millionen Euro übersteigt.
Wer mit seiner Vor-Ort-Apotheke also eines der beiden Kriterien erfüllt, muss sich auf ein paar Änderungen einstellen. Mit den neuen Cybersicherheitsregeln kommen sowohl weitere Maßnahmen in Sachen Risikomanagement und Meldepflichten bei Vorfällen auf die betroffenen Betriebe zu als auch technische Aspekte sowie ein größeres Transparenzgebot etwa durch mehr Informationsaustausch.
Mit dem geplanten Gesetz will der Staat grundsätzlich den Aufsichtsbehörden mehr Rechte einräumen, wenn es um Melde- und Registrierungspflichten oder Nachweisanforderungen geht. Mit anderen Worten: Es gibt auch mehr Sanktionsmöglichkeiten und Bußgelder für alle, die gegen die neuen Cybersicherheitsanforderungen verstoßen. Laut Referentenentwurf ist von Strafen in Höhe von 100.000 Euro bis 20 Millionen Euro die Rede.
Zuständig für die Überwachung der neuen Anforderungen sollen unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Bundesnetzagentur (BNetzA) sein. Der neue Gesetzentwurf setzt eine EU-Richtlinie aus dem Jahr 2022 auf nationaler Ebene um.
