Was ist NIS 2 und betrifft sie Ihr Unter­neh­men?

• NIS-2-Richt­li­nie: Eine EU-Ver­ord­nung zur Ver­bes­se­rung der Cyber­si­cher­heit, die sowohl tech­ni­sche als auch orga­ni­sa­to­ri­sche Sicher­heits­maß­nah­men for­dert.
• Ziel der NIS‑2: Schaf­fung eines höhe­ren und ein­heit­li­che­ren Cyber­si­cher­heits­ni­veaus in Euro­pa, ins­be­son­de­re im Hin­blick auf kri­ti­sche Infra­struk­tu­ren.
• Recht­li­che Kon­se­quen­zen: Unter­neh­men, die NIS‑2 nicht umset­zen, ris­kie­ren hohe Buß­gel­der, Haf­tung und unvor­her­ge­se­he­ne Kon­trol­len.
• Anfor­de­run­gen für Apo­the­ken: Apo­the­ken müs­sen ihre IT-Sicher­heit opti­mie­ren, sen­si­ble Daten schüt­zen und Sicher­heits­vor­fäl­le schnell mel­den.
• Umset­zung: Mit ISMS­li­te bie­tet TRI­ESCH­con­sult eine pra­xis­ori­en­tier­te Lösung, um NIS‑2 ein­fach und effi­zi­ent umzu­set­zen, ohne unnö­ti­gen büro­kra­ti­schen Auf­wand.

Die NIS-2-Richt­li­nie (Netz- und Infor­ma­ti­ons­si­cher­heit) ist eine über­ar­bei­te­te EU-Richt­li­nie zur Ver­bes­se­rung der Cyber­si­cher­heit in Euro­pa. Ziel ist es, ein höhe­res und ein­heit­li­che­res Niveau der Cyber­si­cher­heit in den Mit­glieds­staa­ten zu errei­chen.

Dabei wer­den nicht nur tech­ni­sche Schutz­maß­nah­men gefor­dert, son­dern auch orga­ni­sa­to­ri­sche Pflich­ten auf­er­legt, bei­spiels­wei­se zur Risi­ko­ana­ly­se, zur Mel­dung von Sicher­heits­vor­fäl­len und zur Sicher­stel­lung eines kon­ti­nu­ier­li­chen Betriebs.

Die digi­ta­le Infra­struk­tur ist essen­zi­ell für nahe­zu alle Berei­che der Gesell­schaft, vom Gesund­heits­we­sen über die Ener­gie­ver­sor­gung bis hin zur Finanz­welt. NIS‑2 trägt dazu bei, Schwach­stel­len in der Cyber­si­cher­heit zu schlie­ßen, die Zusam­men­ar­beit der Mit­glied­staa­ten zu ver­bes­sern und ein­heit­li­che Stan­dards zu eta­blie­ren. Sie schafft kla­re Ver­ant­wort­lich­kei­ten und sorgt durch emp­find­li­che Sank­tio­nen für mehr Ver­bind­lich­keit bei der Umset­zung von Sicher­heits­maß­nah­men.

Die NIS-2-Richt­li­nie ist bereits seit dem 17. Janu­ar 2023 in Kraft, jedoch haben die EU-Mit­glieds­staa­ten bis zum 17. Okto­ber 2024 Zeit, sie voll­stän­dig in natio­na­les Recht umzu­set­zen. Unter­neh­men und Orga­ni­sa­tio­nen in den betrof­fe­nen Sek­to­ren müs­sen spä­tes­tens ab die­sem Zeit­punkt den Anfor­de­run­gen der NIS-2-Richt­li­ni­en ent­spre­chen.

Die ursprüng­li­che NIS-Richt­li­nie (2016/1148/EU) war die ers­te euro­pa­wei­te Rege­lung zur Cyber­si­cher­heit. Sie ver­pflich­te­te zen­tra­le Betrei­ber soge­nann­ter „kri­ti­scher Infra­struk­tu­ren“ zur Ein­füh­rung tech­ni­scher und orga­ni­sa­to­ri­scher Sicher­heits­maß­nah­men sowie zur Mel­dung erheb­li­cher IT-Sicher­heits­vor­fäl­le.
Die Umset­zung in den Mit­glied­staa­ten war unein­heit­lich, die Defi­ni­ti­on betrof­fe­ner Sek­to­ren zu eng und vie­le Unter­neh­men fie­len nicht unter die Rege­lung – trotz hoher Abhän­gig­keit von digi­ta­len Sys­te­men.

Die EU ver­folgt mit der neu­en NIS-2-Richt­li­nie, die Cyber­si­cher­heits­land­schaft deut­lich zu stär­ken. Wich­ti­ge Neue­run­gen sind:

• Erwei­ter­ter Gel­tungs­be­reich: Mehr Bran­chen und Unter­neh­men wer­den erfasst
• Höhe­re Anfor­de­run­gen: Kla­re Vor­ga­ben zu Risi­ko­ma­nage­ment, Inci­dent Report­ing (Vor­falls­be­richt­erstat­tung) und Busi­ness Con­ti­nui­ty (Geschäfts­kon­ti­nui­tät)
• Stren­ge­re Auf­sich­ten und Sank­tio­nen: Behör­den kön­nen bei Ver­stö­ßen Buß­gel­der ver­hän­gen und sogar die Geschäfts­lei­tung zur Ver­ant­wor­tung zie­hen.

Mit der Erneue­rung der Richt­li­nie erwei­tert sich auch der Kreis der Betrof­fe­nen. Grund­sätz­lich unter­schei­det die Richt­li­nie zwei Kate­go­rien:

• Kri­ti­sche / wesent­li­che Ein­rich­tun­gen: Berei­che wie Ener­gie, Ver­kehr, Gesund­heit, Trink­was­ser oder digi­ta­le Infra­struk­tur.
• Nicht kri­ti­sche / nicht wesent­li­che Ein­rich­tun­gen: Berei­che wie Post­diens­te, Abfall­wirt­schaft, Che­mie oder Lebens­mit­tel­pro­duk­ti­on.

Bei­de Grup­pen müs­sen hohe Anfor­de­run­gen erfül­len, doch für “kritische/wesentliche Ein­rich­tun­gen” gel­ten stren­ge­re Über­wa­chungs­me­cha­nis­men durch die Auf­sichts­be­hör­den.

Ein ent­schei­den­des Kri­te­ri­um für die Anwend­bar­keit der NIS-Richt­li­nie ist die Grö­ße des Unter­neh­mens. Grund­sätz­lich gilt NIS‑2 für alle mitt­le­ren und grö­ße­ren Unter­neh­men in den genann­ten Sek­to­ren. Als Ori­en­tie­rung:

• Klein­un­ter­neh­men, unter 50 Mit­ar­bei­ten­de und unter 10 Mio. Euro Jah­res­um­satz, sind in der Regel aus­ge­nom­men.
• Mitt­le­re und gro­ße Unter­neh­men, ab 50 Mit­ar­bei­ten­de oder 10 Mio. Euro Umsatz, fal­len unter die NIS-2-Pflich­ten.

Aus­nah­men bestehen, wenn ein klei­ne­res Unter­neh­men eine beson­ders kri­ti­sche Rol­le ein­nimmt, als Betrei­ber zen­tra­ler Diens­te im Gesund­heits­we­sen oder der Ener­gie­ver­sor­gung.

Beson­ders für Apo­the­ken ist die NIS-2-Richt­li­nie von gro­ßer Bedeu­tung, auch wenn sie im Ver­gleich zu ande­ren Sek­to­ren einen gerin­ge­ren Schwel­len­wert auf­weist. Der gerin­ge­re Schwel­len­wert bedeu­tet, dass auch klei­ne­re Apo­the­ken, die eine bestimm­te Anzahl an Mit­ar­bei­tern haben oder einen gewis­sen Umsatz errei­chen, zur Umset­zung der NIS-2-Anfor­de­run­gen ver­pflich­tet sind.

Apo­the­ken sind Teil der kri­ti­schen Infra­struk­tur und gehö­ren damit zu den wesent­li­chen Ein­rich­tun­gen und spie­len eine unver­zicht­ba­re Rol­le im Gesund­heits­sys­tem. Sie ver­ar­bei­ten sen­si­ble Gesund­heits­da­ten und arbei­ten mit kom­ple­xen IT-Sys­te­men wie:

• Waren­wirt­schafts­sys­te­me, die die Ver­wal­tung von Arz­nei­mit­tel­be­stän­den und Bestel­lun­gen ermög­li­chen.
• KIM (Kom­mu­ni­ka­ti­ons­in­fra­struk­tur im Gesund­heits­we­sen), die siche­re digi­ta­le Kom­mu­ni­ka­ti­on zwi­schen Apo­the­ken, Ärz­ten und ande­ren Gesund­heits­dienst­leis­tern gewähr­leis­tet.
• E‑Rezept, das die elek­tro­ni­sche Rezept­ab­wick­lung regelt.
• Digi­ta­le Pati­en­ten­ak­ten und E‑He­alth-Diens­te, die die Kom­mu­ni­ka­ti­on mit Ärz­ten, Kran­ken­kas­sen und ande­ren Gesund­heits­ak­teu­ren ermög­li­chen.

Die­se digi­ta­li­sier­ten Pro­zes­se machen Apo­the­ken zu einem attrak­ti­ven Ziel für Cyber­an­grif­fe. Ein Aus­fall der IT-Sys­te­me könn­te nicht nur die Pati­en­ten­ver­sor­gung gefähr­den, son­dern auch schwer­wie­gen­de Aus­wir­kun­gen auf die öffent­li­che Gesund­heit haben, etwa durch ver­zö­ger­te Medi­ka­men­ten­lie­fe­run­gen oder den Ver­lust sen­si­bler Daten.

Apo­the­ken sam­meln und ver­ar­bei­ten eine Viel­zahl an sen­si­blen Pati­en­ten­da­ten, die durch gesetz­li­che Vor­ga­ben wie die Daten­schutz-Grund­ver­ord­nung (DSGVO) beson­ders geschützt wer­den müs­sen. Dies umfasst unter ande­rem:

• Medi­ka­ti­ons­his­to­ri­en und per­sön­li­che Gesund­heits­da­ten.
• Rezept­in­for­ma­tio­nen und Kom­mu­ni­ka­ti­on zwi­schen Apo­the­kern und Ärz­ten.

Im Fal­le eines Daten­lecks oder einer Sicher­heits­ver­let­zung könn­ten die­se sen­si­blen Daten miss­braucht wer­den, was zu schwer­wie­gen­den recht­li­chen und repu­ta­ti­ven Kon­se­quen­zen für die Apo­the­ke füh­ren wür­de. Die NIS-2-Richt­li­nie schreibt des­halb vor, dass Apo­the­ken geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men tref­fen, um die­se Daten vor unbe­fug­tem Zugriff und Ver­lust zu schüt­zen.

Die NIS-2-Richt­li­nie ist nicht nur ein emp­foh­le­ner Rah­men, son­dern eine ver­bind­li­che Vor­schrift, deren Nicht­ein­hal­tung sank­tio­niert wird. Für Apo­the­ken bedeu­tet das:

• Stra­fen und Buß­gel­der: Wenn eine Apo­the­ke nicht nach­wei­sen kann, dass sie die Anfor­de­run­gen der NIS‑2 erfüllt, kann sie mit Buß­gel­dern bis zu 10 Mil­lio­nen Euro oder 2 % des Jah­res­um­sat­zes belegt wer­den.
• Haf­tung für Schä­den: Im Fal­le eines Sicher­heits­vor­falls, bei dem Pati­en­ten­da­ten oder die kri­ti­sche Arz­nei­mit­tel­ver­sor­gung gefähr­det wer­den, könn­ten Apo­the­ken recht­lich haft­bar gemacht wer­den.
• Unan­ge­kün­dig­te Kon­trol­len durch Auf­sichts­be­hör­den: Apo­the­ken müs­sen mit regel­mä­ßi­gen und unan­ge­kün­dig­ten Prü­fun­gen durch die zustän­di­gen Behör­den rech­nen, die die Ein­hal­tung der NIS-2-Vor­ga­ben über­prü­fen.
• Still­stand bei Cyber­vor­fäl­len: Ein aus­fal­len­des IT-Sys­tem durch einen Cyber­an­griff könn­te den Betrieb lahm­le­gen und zu erheb­li­chen Aus­fäl­len füh­ren, die die Pati­en­ten­ver­sor­gung mas­siv beein­träch­ti­gen.
• Ver­trau­ens­ver­lust bei Pati­en­tin­nen und Pati­en­ten: Ein Sicher­heits­vor­fall könn­te das Ver­trau­en der Pati­en­ten in die Apo­the­ke nach­hal­tig schä­di­gen, ins­be­son­de­re wenn sen­si­ble Daten betrof­fen sind oder Medi­ka­men­te nicht recht­zei­tig gelie­fert wer­den kön­nen.

Die Inves­ti­ti­on in Cyber­si­cher­heit und die Erfül­lung der NIS-2-Anfor­de­run­gen kann jedoch lang­fris­tig hel­fen, teu­re recht­li­che und finan­zi­el­le Kon­se­quen­zen zu ver­mei­den und die Betriebs­fä­hig­keit sowie das Ver­trau­en der Pati­en­ten auf­recht­zu­er­hal­ten.

Mit der NIS-2-Richt­li­nie wird die Infor­ma­ti­ons­si­cher­heit in Apo­the­ken ver­schärft. Die Anfor­de­run­gen betref­fen alle Berei­che der Cyber­si­cher­heit und müs­sen kon­se­quent umge­setzt wer­den. Dazu gehö­ren:

Risi­ko­ma­nage­ment für IT und Pro­zes­se:

Apo­the­ken müs­sen poten­zi­el­le Risi­ken für ihre IT-Sys­te­me und Pro­zes­se iden­ti­fi­zie­ren und geeig­ne­te Maß­nah­men zur Risi­ko­min­de­rung tref­fen. Dies umfasst die Bewer­tung von Sicher­heits­lü­cken und die Umset­zung prä­ven­ti­ver Maß­nah­men.

Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men:

Not­wen­dig sind unter ande­rem:

• Zugriffs­kon­trol­len zur Begren­zung des Zugriffs auf sen­si­ble Daten.
• Back­up-Stra­te­gien zur Sicher­stel­lung der Daten­in­te­gri­tät.
• Not­fall­plä­ne, um im Fal­le eines Vor­falls schnell reagie­ren zu kön­nen.

Sicher­stel­lung der Lie­fer­ket­ten-Sicher­heit:

Die Sicher­heits­stan­dards müs­sen auch auf Lie­fe­ran­ten und Cloud-Diens­te ange­wen­det wer­den, um die Gesamt­re­si­li­enz der Sys­te­me zu gewähr­leis­ten.


Vor­fall­ma­nage­ment mit 24h/72h-Mel­de­pflich­ten:
Unter­neh­men sind ver­pflich­tet, Sicher­heits­vor­fäl­le inner­halb von 24 Stun­den zu mel­den und inner­halb von 72 Stun­den detail­lier­te Infor­ma­tio­nen bereit­zu­stel­len.

Haf­tung auf Lei­tungs­ebe­ne:

Inhaber:innen und Geschäftsführer:innen tra­gen die Ver­ant­wor­tung für die Ein­hal­tung der NIS-2-Vor­ga­ben und haf­ten im Fal­le von Ver­stö­ßen.

Die Umset­zung der NIS-2-Richt­li­nie stellt vie­le Apo­the­ken vor Her­aus­for­de­run­gen, ins­be­son­de­re wenn es dar­um geht, die Anfor­de­run­gen zu erfül­len, ohne unnö­ti­ge Büro­kra­tie oder hohen Auf­wand. ISMSlite von TRI­ESCH­con­sult bie­tet eine pra­xis­ori­en­tier­te und effi­zi­en­te Lösung, um die­sen Anfor­de­run­gen gerecht zu wer­den – eine wirt­schaft­lich effi­zi­en­te und zugleich pra­xis­na­he Alter­na­ti­ve zum auf­wen­di­gen und kost­spie­li­gen Zer­ti­fi­zie­rungs­pro­zess.

ISMSlite ist eine maß­ge­schnei­der­te Lösung für Apo­the­ken, die alle rele­van­ten Anfor­de­run­gen der NIS-2-Richt­li­nie abdeckt. Mit einem klar struk­tu­rier­ten Hand­buch und prak­ti­schen Vor­la­gen hilft es Apo­the­ken, ein Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tem (ISMS) ein­zu­füh­ren, das ein­fach zu imple­men­tie­ren ist und gleich­zei­tig höchs­ten Stan­dards ent­spricht. Wäh­rend eine voll­stän­di­ge Zer­ti­fi­zie­rung des ISMS nach ISO 27001 auf­wen­dig und teu­er sein kann, stellt ISMSlite eine effi­zi­en­te Alter­na­ti­ve dar, die den­noch die wesent­li­chen Anfor­de­run­gen erfüllt.

• Ein­fa­che Umset­zung: Apo­the­ken erhal­ten eine fer­ti­ge Lösung in Form eines Hand­buchs, das die Anfor­de­run­gen der NIS-2-Richt­li­nie direkt abdeckt. So wird der Auf­wand für die Imple­men­tie­rung deut­lich redu­ziert.
• Mini­mier­ter Auf­wand: Durch die Bereit­stel­lung von Vor­la­gen und kla­ren Richt­li­ni­en wird der büro­kra­ti­sche Auf­wand auf ein Mini­mum redu­ziert, sodass sich die Apo­the­ke auf ihre wesent­li­chen Auf­ga­ben kon­zen­trie­ren kann.
• Rechts­kon­for­mi­tät und Sicher­heit: ISMSlite sorgt dafür, dass die Apo­the­ke alle recht­li­chen Anfor­de­run­gen erfüllt, schützt vor recht­li­chen Risi­ken und sorgt für eine robus­te Sicher­heits­in­fra­struk­tur.
• Nach­hal­ti­ge Sicher­heit: Die Lösung stellt sicher, dass Apo­the­ken nicht nur kurz­fris­tig, son­dern lang­fris­tig geschützt sind, ohne dass erheb­li­che Res­sour­cen gebun­den wer­den müs­sen.

• Risi­ko- und Bedro­hungs­ana­ly­se: Iden­ti­fi­ka­ti­on poten­zi­el­ler Sicher­heits­ri­si­ken, spe­zi­ell auf die Bedürf­nis­se von Apo­the­ken abge­stimmt.
• Vor­la­gen für IT- und Sicher­heits­richt­li­ni­en: Inklu­si­ve Vor­ga­ben für Pass­wort­si­cher­heit, den Umgang mit mobi­len Gerä­ten und Boten­diens­ten.
• Not­fall- und Vor­fall­ma­nage­ment: Kon­kre­te Pro­zes­se zur Mel­dung und Bear­bei­tung von Sicher­heits­vor­fäl­len, die den NIS-2-Anfor­de­run­gen ent­spre­chen.
• Lie­fer­ket­ten-Check: Über­prü­fung der Sicher­heits­stan­dards in Berei­chen wie Waren­wirt­schaft, KIM, Cloud-Diens­te und Rechen­zen­tren.
• Mit­ar­bei­ter­schu­lun­gen und Awa­re­ness-Trai­nings: Sen­si­bi­li­sie­rung der Mit­ar­bei­ter zu den The­men IT-Sicher­heit und Daten­schutz.
• Kom­pak­te Doku­men­ta­ti­on für den QM-Ord­ner: Alle not­wen­di­gen Unter­la­gen, die eine struk­tu­rier­te Doku­men­ta­ti­on für die NIS-2-Umset­zung gewähr­leis­ten.

• Rechts­si­cher­heit: Durch die Umset­zung von ISMSlite ist Ihre Apo­the­ke recht­lich abge­si­chert und erfüllt alle NIS-2-Anfor­de­run­gen.
• Weni­ger Risi­ko: Mit klar struk­tu­rier­ten Sicher­heits­pro­zes­sen wird das Risi­ko von Cyber­an­grif­fen und Sicher­heits­vor­fäl­len mini­miert.
• Effi­zi­en­te Umset­zung: ISMSlite hilft dabei, die Anfor­de­run­gen effi­zi­ent zu erfül­len – mit einem mini­ma­len Auf­wand und ohne unnö­ti­ge Büro­kra­tie.

Die Umset­zung von NIS‑2 ist jedoch nicht eine ein­ma­li­ge Auf­ga­be. Um die Sicher­heits­stan­dards lang­fris­tig auf­recht­zu­er­hal­ten und den betrieb­li­chen Ablauf kon­ti­nu­ier­lich zu über­wa­chen, bie­tet TRI­ESCH­con­sult umfas­sen­de Bera­tungs­leis­tun­gen an. Dazu gehö­ren:

• Selbst­in­spek­ti­on: Wir unter­stüt­zen Sie dabei, regel­mä­ßi­ge Selbst­in­spek­tio­nen durch­zu­füh­ren, um die Wirk­sam­keit des ISMS zu über­prü­fen und mög­li­che Schwach­stel­len zu iden­ti­fi­zie­ren.
• Manage­ment Review: Um den Erfolg Ihrer Sicher­heits­maß­nah­men zu gewähr­leis­ten, ist es not­wen­dig, regel­mä­ßig ein Manage­ment Review zu erstel­len, das die Umset­zung und Ver­bes­se­rungs­po­ten­zia­le eva­lu­iert.
• Schu­lun­gen und Unter­wei­sun­gen: Die im Hand­buch ent­hal­te­nen Schu­lungs­un­ter­la­gen und Unter­wei­sun­gen hel­fen Ihnen dabei, Ihre Mit­ar­bei­ter regel­mä­ßig zu schu­len und das Bewusst­sein für Cyber­si­cher­heit zu stär­ken.
• Lang­fris­ti­ge Bera­tung: Auch nach der ers­ten Imple­men­tie­rung des ISMSlite steht Ihnen TRI­ESCH­con­sult zur Sei­te, um das Sys­tem wei­ter­hin aktu­ell zu hal­ten und nach­hal­ti­ge Com­pli­ance sicher­zu­stel­len.

Michael Triesch ist nicht nur ein erfah­re­ner exter­ner Daten­schutz­be­auf­trag­ter, son­dern auch ein lei­ten­der Audi­tor für ISMS nach ISO 27001. Die­se ein­zig­ar­ti­ge Kom­bi­na­ti­on aus Daten­schutz­kom­pe­tenz und Infor­ma­ti­ons­si­cher­heits-Exper­ti­se bie­tet Apo­the­ken die nöti­ge Sicher­heit:

• Rechts­kon­for­mi­tät im Daten­schutz: Wir stel­len sicher, dass Ihre Apo­the­ke alle gesetz­li­chen Vor­ga­ben im Daten­schutz erfüllt.
• Umset­zung von Infor­ma­ti­ons­si­cher­heit nach inter­na­tio­na­lem Stan­dard: Ihre Apo­the­ke pro­fi­tiert von einer ISMS-Lösung nach bewähr­ten inter­na­tio­na­len Stan­dards.
• Prü­fungs­si­cher­heit gegen­über Behör­den: Sie sind bes­tens auf unan­ge­kün­dig­te Kon­trol­len und Prü­fun­gen durch Behör­den vor­be­rei­tet.

Die Umset­zung der NIS-2-Richt­li­nie ist nicht nur eine gesetz­li­che Pflicht, son­dern auch eine wich­ti­ge Inves­ti­ti­on in die Zukunft Ihrer Apo­the­ke. Früh­zei­tig han­deln schützt vor Buß­gel­dern und den wach­sen­den Risi­ken durch Cyber­an­grif­fe.

TRI­ESCH­con­sult bie­tet Apo­the­ken eine effek­ti­ve Lösung mit opti­mier­tem Res­sour­cen­ein­satz für die Umset­zung der NIS‑2. Mit ISMSlite sichern wir Ihre Apo­the­ke ab. Spre­chen Sie uns an und las­sen Sie uns gemein­sam die Sicher­heit Ihrer Apo­the­ke gewähr­leis­ten!