Sie sind hier: Startseite » IT Security

Digitalisierung des Gesundheitswesens


Warum hat die Europäische Kommission einen Aktionsplan für die Cybersicherheit im Gesundheitswesen vorgeschlagen?
Fragen und Antworten zur Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern


Sowohl die Anzahl als auch die Komplexität der Cyberbedrohungen für die Gesundheitssysteme nimmt zu. Krankenhäuser und Gesundheitsdienstleister – kritische Infrastrukturen unserer Gesundheitssysteme – sind besonders anfällig für Cyberangriffe wie Ransomware oder Datenschutzverletzungen. Solche Vorfälle können lebenswichtige medizinische Dienste stören sowie die Sicherheit und Daten der Patienten beeinträchtigen. Die Kommission geht diese Herausforderungen mit Nachdruck an, um für einen sicheren und vertrauenswürdigen digitalen Wandel des Gesundheitswesens zu sorgen.

Wie stärkt der Aktionsplan das Vertrauen von Patienten und Angehörigen der Gesundheitsberufe?
Vertrauen ist ein Eckpfeiler bei der Digitalisierung des Gesundheitswesens. Durch die Gewährleistung sicherer und resilienter Systeme gibt der Aktionsplan den Patienten die Sicherheit, dass ihre Daten geschützt sind und ihre Versorgung nicht unterbrochen wird.

Für Angehörige der Gesundheitsberufe werden mit dem Plan Instrumente und Schulungen für eine sicherere Nutzung digitaler Plattformen bereitgestellt. Dieser duale Ansatz, der sowohl Patienten als auch Angehörige der Gesundheitsberufe schützt, schafft ein Gesundheitswesen, in dem digitale Instrumente bereitwillig angewendet werden und ihnen vertraut wird.

Wie ergänzt dieser Aktionsplan bestehende EU-Rechtsvorschriften wie die NIS-2-Richtlinie?
Der Aktionsplan baut auf dem bestehenden Rechtsrahmen im Bereich Cybersicherheit auf, insbesondere auf der NIS-2-Richtlinie, der Cybersolidaritätsverordnung (einschließlich des Cybernotfallmechanismus), dem Rechtsakt zur Cybersicherheit (einschließlich des europäischen Cybersicherheitszertifikats), der Verordnung über Medizinprodukte und der Cyberresilienzverordnung. Diese sorgen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU.

Mit der NIS-2-Richtlinie, in der Verpflichtungen für kritische Sektoren (darunter das Gesundheitswesen) festgelegt sind, wurde der Anwendungsbereich der Cybersicherheitsanforderungen auf wesentliche Dienste ausgeweitet, etwa auf EU-Referenzlaboratorien, Forschungs- und Entwicklungseinrichtungen im Bereich Arzneimittel, Hersteller von pharmazeutischen Erzeugnissen (einschließlich Impfstoffen) sowie Hersteller von Medizinprodukten, die während einer gesundheitlichen Notlage als kritisch gelten.

Beim Aktionsplan liegt der Schwerpunkt dagegen insbesondere auf den einzigartigen Schwachstellen und Bedürfnissen von Krankenhäusern und Gesundheitseinrichtungen.

Der Aktionsplan soll in erster Linie den Sektor dabei unterstützen, die grundlegenden Cybersicherheitsmaßnahmen zu ergreifen, von denen bekannt ist, dass sie die Wahrscheinlichkeit eines Cybervorfalls senken. So wird dafür gesorgt, dass die Gesundheitssysteme darauf vorbereitet sind, die spezifischen Risiken, denen sie ausgesetzt sind, zu bewältigen. Dabei liegt ein besonderer Schwerpunkt auf dem Kapazitätsaufbau, Investitionen und der Unterstützung von Krankenhäusern und Gesundheitsdienstleistern bei der Ergreifung der erforderlichen Vorsorgemaßnahmen im Bereich Cybersicherheit. Außerdem wird aufgezeigt, wie solchen Einrichtungen bei einem Sicherheitsvorfall geholfen werden kann, um sicherzustellen, dass die Reaktion und Folgenbewältigung so schnell und effizient wie möglich erfolgen, damit der normale Betrieb rasch wiederhergestellt werden kann.

Welche Rolle wird das neue europäische Unterstützungszentrum für Cybersicherheit für Krankenhäuser und Gesundheitsdienstleister spielen?
Im Aktionsplan wird unter anderem vorgeschlagen, ein europaweites Unterstützungszentrum für Cybersicherheit für Krankenhäuser und Gesundheitsdienstleister einzurichten, um ihnen maßgeschneiderte Leitlinien, Instrumente und Dienste zur Verfügung zu stellen. Die EU-Cybersicherheitsagentur ENISA wird dieses Zentrum innerhalb ihrer eigenen Strukturen einrichten. Sie wird die kohärente und rasche Umsetzung des Aktionsplans gewährleisten, ohne dass neue Verwaltungsstrukturen geschaffen werden.

Das Unterstützungszentrum wird einen umfassenden Dienstleistungskatalog mit konkreten Lösungen entwickeln, die die Cybersicherheit des Sektors stärken. Es wird mit den Mitgliedstaaten zusammenarbeiten und auf die praktische Erfahrung von Gesundheitseinrichtungen zurückgreifen.

Auf welche Weise ist dieser Aktionsplan dem europäischen zuträglich?
Der europäische Gesundheitsdatenraum (EHDS) ist das Vorzeigeprojekt der EU zur Digitalisierung des Gesundheitswesens, mit dem klare Regeln für die Nutzung von Gesundheitsdaten für eine bessere Gesundheitsversorgung, -forschung, -innovation und -politikgestaltung aufgestellt werden.

Für die Umsetzung des EHDS ist eine resiliente und sichere Infrastruktur von entscheidender Bedeutung. Dieser Aktionsplan enthält konkrete Maßnahmen zur Sicherung der Datenverarbeitung in Krankenhäusern und bei Gesundheitsdienstleistern, die sowohl als Anbieter als auch als Nutzer von Gesundheitsdaten im EHDS fungieren.

Neben diesem Aktionsplan und den Rechtsvorschriften zur Cybersicherheit sieht die künftige EHDS-Verordnung auch spezifische Schutzvorkehrungen für die Verarbeitung persönlicher Gesundheitsdaten vor. Dazu gehören beispielsweise Schutzvorkehrungen in Bezug auf das Anmelde- und Identifizierungsmanagement in elektronischen Patientenaktensystemen oder die Weiterverwendung von Daten in sicheren Verarbeitungsumgebungen.

Wie stellt der Aktionsplan sicher, dass die Patientenversorgung nicht durch Cybersicherheitsvorfälle unterbrochen wird?
Einer der Grundpfeiler des Aktionsplans besteht in der raschen Reaktion und Folgenbewältigung.

Dies beinhaltet
>> die Entwicklung eines Abonnementdienstes für die Bewältigung der Folgen eines Ransomware-Angriffs und den Ausbau des Archivs verfügbarer Ransomware-Entschlüsselungsinstrumente,
>> Krankenhäuser zu ermutigen, robuste Sicherungssysteme zum Schutz kritischer Daten einzusetzen,
>> die Verbesserung der Krisenreaktionsfähigkeit durch Schulungen und Zusammenarbeit auf EU-Ebene.

Mit diesen Maßnahmen sollen die Auswirkungen von Cybersicherheitsvorfällen auf die Gesundheitsdienste so gering wie möglich gehalten und eine ununterbrochene Versorgung der Patienten sichergestellt werden.

Welche Rolle spielen die Mitgliedstaaten bei der Umsetzung des Aktionsplans?
Die Mitgliedstaaten spielen bei der Umsetzung des Aktionsplans eine entscheidende Rolle, indem sie
>> die nationalen Cybersicherheitsstrategien für das Gesundheitswesen koordinieren,
>> Bedrohungsanalysen und bewährte Verfahren miteinander teilen,
>> Krankenhäuser und Gesundheitsdienstleister bei der Umsetzung der erforderlichen Maßnahmen unterstützen.

Die Mitgliedstaaten werden angehalten, nationale Aktionspläne mit Schwerpunkt auf der Cybersicherheit im Gesundheitswesen zu schaffen. In diesen Plänen würden die spezifischen Cybersicherheitsrisiken, denen die Gesundheitssysteme ausgesetzt sind, und die zu ihrer Bewältigung ergriffenen nationalen Maßnahmen dargelegt und gleichzeitig sichergestellt, dass Ressourcen und Verfahren auf europäischer Ebene wirksam genutzt werden.

Wie wird der Erfolg des Aktionsplans gemessen?
Zur Messung des Erfolgs dieses Plans wird die ENISA in Absprache mit der Kommission den einschlägigen Gruppen und Organisationen regelmäßig über ihren Fortschritt Bericht erstatten. Diese Berichte werden Daten aus dem EU-Cybersicherheitsindex enthalten, wodurch bewertet werden kann, wie gut das Gesundheitswesen im Bereich Cybersicherheit abschneidet. Aus diesen Informationen lässt sich ableiten, ob der Plan funktioniert und sich positiv auswirkt.

Wie können Patienten positiv auf die Ziele des Aktionsplans hinwirken?
Patienten können einen Beitrag leisten, indem sie in puncto Cybersicherheit auf dem Laufenden bleiben und Maßnahmen zum Schutz ihrer eigenen digitalen Gesundheitsdaten ergreifen, indem sie etwa
>> zuverlässige Authentifizierungsmechanismen (z. B. die EU-Brieftasche für die digitale Identität) für Online-Gesundheitsportale nutzen,
>> verdächtige Aktivitäten wie Phishing-Versuche melden,
>> auf Gesundheitsdienstleister setzen, die die von der EU empfohlenen Cybersicherheitsmaßnahmen befolgen.

Erst die aktive Beteiligung aller macht das Ökosystem der Gesundheitsversorgung sicher.

Wie sieht der Zeitplan für die Umsetzung des Aktionsplans aus?
Diese Mitteilung enthält einen klaren Plan, um die Sicherheit des europäischen Gesundheitswesens hinsichtlich Cyberbedrohungen zu erhöhen. Mit dem Plan wird ein Unterstützungszentrum für Cybersicherheit geschaffen, wodurch die Zusammenarbeit zwischen Krankenhäusern und Gesundheitsdienstleistern zur Stärkung der Cybersicherheit erleichtert wird.

Und der Plan bildet erst den Anfang. Die Kommission beginnt damit, das Gespräch auf alle Interessenträger auszuweiten, darunter Gesundheitsdienstleister, Regierungen und Sachverständige, um deren Ideen und Rückmeldungen einzuholen. Diese Beiträge wird die Kommission nutzen, um den Plan detaillierter zu gestalten und stärker auf die Bedürfnisse von Krankenhäusern und anderen Gesundheitsdienstleistern auszurichten. Entsprechende Empfehlungen werden bis Ende 2025 übermittelt.

Um dieses Ziel zu erreichen, fordert die Kommission alle Mitgliedstaaten und Interessenträger zur Zusammenarbeit auf, damit die Cybersicherheit im Gesundheitswesen gestärkt werden kann. (Europäische Kommission: ra)

eingetragen: 17.02.25


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: IT Security

Markt, Branche & Security-Tipps

  • IT-Risikomanagement- & Vorfallmeldeprozesse

    Seit dem 17.01.2025 sind Unternehmen des europäischen Finanzsektors verpflichtet, die Anforderungen des Digital Operational Resilience Acts (DORA) zu erfüllen. Diese Verordnung ist eine Reaktion auf die zunehmenden Cyberbedrohungen für die Finanzdienstleistungsbranche und zielt darauf ab, die Widerstandsfähigkeit dieser Branche gegen Cyberangriffe zu stärken.

  • Effiziente Security Audits für MSPs

    Elovade erweitert ihr IT-Sicherheitsportfolio: Neu im Sortiment des Value Added-Distributors ist die automatisierte Security Audit-Plattform des österreichischen Herstellers lywand. Die Lösung wurde speziell für Managed Security Services Provider entwickelt und steht fortan Partnern in Deutschland, Österreich und der Schweiz zur Verfügung, weitere Länder werden folgen.

  • Evonik vertraut bei OT Security auf NTT Data

    Evonik hat sich für NTT Data als strategische Partnerin beim Schutz ihrer Produktionsanlagen vor Cyberbedrohungen entschieden. Mit umfassenden Security Operations Center Services für OT-Umgebungen (Operational Technology) wird NTT Data das Unternehmen für Spezialchemie künftig dabei unterstützen, Sicherheitsrisiken zu minimieren und regulatorische Cybersecurity-Anforderungen zu erfüllen.

Ein proaktiver Ansatz ist unerlässlich Unterstützungszentrum für Cybersicherheit

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen