Neue Cyberschutz-Pflichten für Apotheken |
 |  | Jennifer Evans |
 |
29.08.2024 10:00 Uhr |
Die EU will kritische Einrichtungen besser vor Cyberattacken schützen. Die neuen Regelungen betreffen auch einige Apotheken. / Foto: Adobe Stock/BillionPhotos.com
Inzwischen gehören Ransomware-Angriffe auf medizinische Einrichtungen zum Alltag. Die Daten kritischer Einrichtungen geben Kriminelle dann erst nach einer Lösegeldzahlung wieder frei. Auch Angriffe auf die Lieferketten sind keine Seltenheit mehr. Abhilfe für Betriebe, die zur kritischen Infrastruktur zählen, soll das sogenannte NIS-2-Umsetzungs- und Cybersicherheits-Stärkungsgesetz (NIS2UmsuCG) schaffen. Der Regierungsentwurf liegt nun vor.
Im Kern geht es darum, »besonders wichtige Einrichtungen« sowie »wichtige Einrichtungen« vor Schäden durch Cyberangriffe zu schützen. Die Kategorien sind dabei ebenfalls neu klassifiziert. Apotheken betreffen die neuen Regeln ab einer Betriebsgröße von mehr als 50 Beschäftigten oder einem jährlichen Umsatz von mehr als 10 Millionen Euro. Vorgesehen ist sowohl ein entsprechendes Risikomanagement als auch strengere Meldepflichten sowie mehr Informationsaustausch. Und bei etwaigen Verstößen gegen die neuen Cybersicherheitsanforderungen sollen die Aufsichtsbehörden künftig mit Bußgeldern besser eingreifen können.
Das NIS2UmsuCG setzt eine EU-Richtlinie aus dem Jahr 2022 um und lässt den Mitgliedstaaten wenig Spielraum. Das betrifft auch die Frage, für welche Unternehmen die neuen Regelungen greifen sollen. Demzufolge werden Apotheken ab 50 Vollzeitstellen künftig also zur Kategorie der wichtigen Einrichtungen zählen und Betriebe mit mehr als 250 Mitarbeitenden und einem Jahresumsatz von mindestens 43 Millionen Euro unter die Kategorie der besonders wichtigen Einrichtung fallen. Konkret zählen zu den neuen Sicherheitsanforderungen Risikoanalyse- und Verschlüsslungskonzepte sowie Backup-Systeme. Ziel ist es, die Betriebe im Ernstfall weiter am Laufen zu halten.
Die bisherige Meldepflicht bei Cybersicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll durch ein dreistufiges Meldesystem ersetzt werden: Die Erstmeldung muss demnach innerhalb von 24 Stunden erfolgen, ein Update binnen 72 Stunden. Und der Abschlussbericht muss dem BSI im Vorlauf eines Monats vorliegen. Wer seinen Pflichten nicht nachkommt, dem drohen Bußgelder – abhängig von Verstoß und Betriebsgröße. Derzeit geht es mit einer Summe von 100.000 Euro los und kann 20 Millionen Euro erreichen.
Der ABDA ist es nach eigenen Angaben wichtig, dass den betroffenen Vor-Ort-Apotheken durch die Umsetzung der NIS2UmsuCG keine hohen Kosten entstehen. Wie sie bereits in ihrer Stellungnahme zum Referentenentwurf betonte, verschärften die neuen Verpflichtungen die ohnehin schon »bedrohliche wirtschaftliche Situation« der Offizinen hierzulande.
