Schlagwort-Archive: NIS2-Richtlinie

EHDS

European Health Data Space (EHDS)

Einleitung

Gesundheitsdaten gelten als besonders sensibel und schützenswert. Dennoch sind sie für Wissenschaft, Forschung, Politik und Wirtschaft von zentraler Bedeutung, um medizinische Fortschritte zu erzielen, Pandemiesituationen vorherzusagen und gesundheitspolitische Entscheidungen zu treffen.

Der European Health Data Space (EHDS), auf Deutsch Europäischer Gesundheitsdatenraum, ist eine tragende Säule der Strategie für den EU-Datenbinnenmarkt. Er soll einen sicheren und regulierten Austausch von Gesundheitsdaten zwischen verschiedenen Akteuren ermöglichen. Dabei spielen Datenschutz und Cybersicherheit eine entscheidende Rolle.

Rechtlicher Rahmen

Der EHDS steht in engem Zusammenhang mit anderen gesetzlichen Regelungen, insbesondere:

Im März 2024 wurde eine grundsätzliche Einigung über den EHDS innerhalb der EU erzielt, allerdings ist er noch nicht in Kraft getreten.

Ziele des EHDS

Der EHDS verfolgt drei Hauptziele:

1. Infrastruktur und Technologie

Durch Harmonisierungsmaßnahmen soll der grenzüberschreitende Zugang zu Gesundheitsdienstleistungen innerhalb der EU erleichtert werden. Ein Beispiel ist das Einlösen von Rezepten in jeder Apotheke innerhalb der EU-Grenzen.

2. Datenqualität und Interoperabilität

Gesundheitsdaten sollen legal, länderübergreifend ausgetauscht und genutzt werden dürfen. Um dabei eine hohe Datenqualität zu gewährleisten, sollen EU-weite Standards geschaffen werden.

3. Definition der Datenverwaltung (Governance)

Basierend auf einer Analyse der nationalen Gesundheitssysteme sollen Regeln für die Zusammenarbeit auf EU-Ebene entwickelt werden.

Primärnutzung von Gesundheitsdaten

Der EHDS soll einen EU-weiten Rechtsanspruch auf einen schnellen und einfachen Zugang zu den eigenen elektronischen Gesundheitsdaten schaffen. Dies betrifft unter anderem:

  • Elektronische Patientenakten
  • Röntgenbilder
  • Impfnachweise
  • Rezepte

Gesundheitsberufe sollen ebenfalls Zugriff auf diese Daten erhalten, wobei Patientinnen und Patienten darüber informiert werden.

Zur Umsetzung dieser Vorgaben wird eine zentrale EU-Plattform für digitale Gesundheitsdienste eingerichtet, die mit nationalen Kontaktstellen zusammenarbeitet. Darüber hinaus soll ein einheitliches europäisches Austauschformat für elektronische Patientenakten eingeführt werden.

Jeder EU-Mitgliedstaat muss eine digitale Gesundheitsbehörde bestimmen, die für die Durchsetzung der EHDS-Vorgaben verantwortlich ist. Sie wird auch Patientenbeschwerden bearbeiten.

Sekundärnutzung von Gesundheitsdaten

Die EHDS-Verordnung regelt auch die sogenannte Sekundärnutzung von Gesundheitsdaten. Dies betrifft die datenschutzkonforme Nutzung durch:

  • Wissenschaft
  • Forschung
  • Bildung
  • Wirtschaft
  • Öffentliche Einrichtungen

Für die Nutzung anonymisierter oder pseudonymisierter Gesundheitsdaten ist ein Antragsverfahren vorgesehen. Eine Zugangsstelle für Gesundheitsdaten in jedem EU-Mitgliedstaat prüft, ob die Sekundärnutzung einem legitimen Zweck dient, z. B.:

  • Wissenschaftliche Forschung
  • Entwicklung von Medizinprodukten
  • Training von KI-Systemen

Bestimmte Nutzungszwecke sind jedoch ausdrücklich ausgeschlossen, darunter:

  • Werbung
  • Anpassung von Versicherungsprämien

Patientinnen und Patienten haben ein Widerspruchsrecht, sodass sie entscheiden können, ob ihre Daten für Forschungszwecke genutzt werden dürfen oder nicht.

Nationale Regelungen

Ergänzende Vorschriften finden sich in Deutschland in folgenden Gesetzen:

  • Digitalgesetz
  • Gesundheitsdatennutzungsgesetz (seit 26. März 2024 in Kraft)
  • Patientendatenschutzgesetz (seit Oktober 2020 in Kraft)

Gemäß EHDS können EU-Mitgliedstaaten ein spezifisches Widerspruchsrecht in Bezug auf die Verarbeitung elektronischer Patientenakten einführen. Die in Deutschland bestehende Opt-out-Lösung bleibt somit erhalten.

Fazit

Der European Health Data Space (EHDS) bietet zahlreiche Möglichkeiten für einen sicheren und effizienten Umgang mit Gesundheitsdaten in der EU. Durch die Harmonisierung von Datenstandards und rechtlichen Rahmenbedingungen wird eine bessere Interoperabilität erreicht. Gleichzeitig bleiben Datenschutz und individuelle Entscheidungsfreiheit der Patientinnen und Patienten zentrale Elemente des Systems.

NIS-2-Richtlinine

NIS2-Richtlinie (NIS2): Ein umfassender Überblick

Die Digitalisierung hat in den letzten Jahren rasant an Bedeutung gewonnen. Ein unachtsamer Moment, ein Klick zu viel – schon kann es passieren: Das eigene IT-System ist gehackt, verschlüsselt oder sogar komplett außer Betrieb. Von ärgerlich bis existenzbedrohend reicht die Bandbreite der möglichen Auswirkungen eines Cyberangriffs. Deshalb ist es für Unternehmen – egal ob groß oder klein – unerlässlich, sich frühzeitig und umfassend gegen derartige Bedrohungen zu schützen. In einigen Bereichen ist dies nicht nur sinnvoll, sondern auch gesetzlich verpflichtend. Hier kommt die NIS2-Richtlinie ins Spiel.

1. Grundlagen der NIS2-Richtlinie

Im Jahr 2016 trat die ursprüngliche EU-Richtlinie zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen – kurz NIS-Richtlinie – in Kraft. Diese sollte ein hohes Sicherheitsniveau für systemkritische und sensible Infrastrukturen (KRITIS) in den EU-Mitgliedsstaaten gewährleisten. Angesichts der zunehmenden Digitalisierung und stetig wachsender Bedrohungen für die Cybersicherheit wurde diese Regelung weiterentwickelt.

Im November 2022 wurde die sogenannte NIS2-Richtlinie beschlossen, um den europäischen Rechtsrahmen zu modernisieren und den neuen Herausforderungen gerecht zu werden. Die NIS2-Richtlinie ist seit dem 16. Januar 2023 in Kraft und muss bis spätestens 17. Oktober 2024 in nationales Recht umgesetzt werden. Obwohl die Umsetzung in einigen Ländern, wie beispielsweise in Deutschland, aktuell noch verzögert erfolgt, wird NIS2 flächendeckend Wirkung zeigen. Unternehmen und Behörden sollten sich daher so früh wie möglich mit den neuen Vorgaben auseinandersetzen.

Ergänzend zu NIS2 regelt die CER-Richtlinie Vorgaben hinsichtlich der physischen Sicherheit und Resilienz von kritischen und wichtigen Einrichtungen. Diese beiden Regelwerke ergänzen sich und tragen zusammen zu einem robusten europäischen Cyber-Sicherheitsniveau bei.

Die NIS2-Richtlinie legt Maßnahmen fest, die in der gesamten EU ein hohes, einheitliches Cyber-Sicherheitsniveau sicherstellen sollen. Zu diesen Maßnahmen gehören unter anderem:

  1. Nationale Cyber-Sicherheitsstrategien: Alle EU-Staaten müssen nationale Strategien entwickeln und zuständige Behörden, Cyber-Krisenmanagement-Teams, zentrale Anlaufstellen für Cybersicherheit sowie Computer-Notfallteams benennen oder einrichten.
  2. Cyber-Sicherheitsrisikomanagement und Berichtspflichten: Betroffene Einrichtungen müssen angemessene Maßnahmen ergreifen, um Risiken zu minimieren und Cyber-Sicherheitsvorfälle zu melden.
  3. Austausch von Cyber-Sicherheitsinformationen: Vorgaben zum Informationsaustausch sollen helfen, Bedrohungen frühzeitig zu erkennen und zu bekämpfen.
  4. Aufsichts- und Durchsetzungspflichten: Die nationalen Behörden erhalten erweiterte Befugnisse zur Überwachung und Durchsetzung der NIS2-Vorgaben.

Die NIS2-Pflichten erstrecken sich nicht nur auf die primär betroffenen Einrichtungen, sondern auch auf Dienstleistungsunternehmen, die in deren Auftrag tätig sind. Dies betrifft somit die gesamte Lieferkette.

2. Anwendungsbereich der NIS2-Richtlinie

Die NIS2-Richtlinie legt klar fest, welche Einrichtungen von den neuen Vorgaben erfasst werden. Dabei wird zwischen wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities) unterschieden.

Wesentliche Einrichtungen

Diese betreffen Organisationen in den folgenden Sektoren:

  • Energie: Elektrizität, Fernwärme, Erdöl, Erdgas und Wasserstoff.
  • Transport: Luftverkehr, Schienenverkehr, Schifffahrt und Straßenverkehr.
  • Bankenwesen: Kreditinstitute.
  • Finanzmärkte: Handelsplätze für Finanzprodukte.
  • Gesundheit: Gesundheitsdienstleister, Labore, Medizinforschung, Pharmazeutik und Medizingeräte.
  • Trinkwasser und Abwasserwirtschaft
  • Digitale Infrastrukturen: DNS-Anbieter, Top-Level-Domain-Registrare, Cloud Provider, Rechenzentren, Content Delivery Networks sowie Anbieter elektronischer Kommunikationssysteme.
  • IT-Service Anbieter
  • Öffentliche Verwaltung: Insbesondere Zentralregierungen.
  • Weltraumsektor: Nicht Satelliten, sondern die zugehörige Bodeninfrastruktur.

Wichtige Einrichtungen

Diese werden in folgenden Sektoren angesiedelt:

  • Post und Kurierdienste
  • Abfallwirtschaft
  • Chemikalien: Produktion, Herstellung und Handel.
  • Lebensmittel: Produktion, Herstellung und Handel.
  • Herstellung bestimmter industrieller Produkte: Dazu gehören Medizinprodukte, Computer, Elektronik, Optik, elektrische Ausrüstung, Maschinenbau oder Kraftfahrzeuge.
  • Digitale Dienste: Online-Marktplätze, Suchmaschinen, soziale Netzwerke.
  • Forschung

Die 18 Sektoren werden in den Anhängen 1 und 2 der NIS2-Richtlinie detailliert erläutert. Grundsätzlich fällt eine Einrichtung in den Anwendungsbereich von NIS2, wenn sie in einem dieser Sektoren tätig ist und bestimmte Schwellenwerte überschreitet:

  • Wesentliche Einrichtungen: Mindestens 250 Beschäftigte oder ein Jahresumsatz von über 50 Millionen Euro sowie eine Bilanzsumme von mehr als 43 Millionen Euro.
  • Wichtige Einrichtungen: Bereits ab 50 Beschäftigten oder einem Jahresumsatz und einer Bilanzsumme von jeweils über 10 Millionen Euro.

Einrichtungen, die unter diesen Schwellenwerten bleiben, sind von NIS2 nicht erfasst – auch wenn sie in einen der 18 Sektoren fallen. Es gibt außerdem Sonderfälle, wie etwa Telekommunikationsanbieter oder Vertrauensdiensteanbieter (z. B. Anbieter qualifizierter elektronischer Signaturen gemäß der eIDAS-Verordnung 2.0), die unabhängig von den Sektoren erfasst werden. Zudem gelten für den Finanzsektor spezielle Regelungen, wie die DORA-Verordnung.

3. Maßnahmen der NIS2-Richtlinie

Wer unter den Anwendungsbereich der NIS2-Richtlinie fällt, muss eine Reihe von Cyber-Sicherheitsmaßnahmen umsetzen. Diese Maßnahmen gelten sowohl für wesentliche als auch für wichtige Einrichtungen und erstrecken sich über die gesamte Lieferkette. Zu den zentralen Anforderungen zählen:

  1. Erstellung und Umsetzung von Informationssicherheitsrichtlinien: Unternehmen müssen klare Richtlinien für das Risikomanagement und die Informationssicherheit entwickeln.
  2. Prävention, Detektion und Meldung von Sicherheitsvorfällen: Es müssen Maßnahmen implementiert werden, um Cyber-Sicherheitsvorfälle zu verhindern, frühzeitig zu erkennen und schnell zu melden. Die Meldung an die zuständigen Behörden erfolgt in drei Schritten:
    • Erste Meldung: Innerhalb von 24 Stunden, sobald ein Verdacht auf einen Sicherheitsvorfall besteht oder ein solcher bestätigt wird.
    • Folgemeldung: Innerhalb von maximal 72 Stunden müssen detailliertere Informationen übermittelt werden.
    • Abschlussmeldung: Spätestens nach einem Monat erfolgt eine umfassende Abschlussmeldung, die den Vorfall, die Ursachen, den Schweregrad und die ergriffenen Maßnahmen detailliert beschreibt.
  3. Betrieb eines Business Continuity Management Systems: Dies schließt Maßnahmen für Backup und Krisenmanagement ein, um den Geschäftsbetrieb auch im Notfall aufrechtzuerhalten.
  4. Sicherstellung der Sicherheit bei IT-Beschaffungen: Unternehmen müssen sicherstellen, dass IT- und Netzwerksysteme bereits bei der Beschaffung den Sicherheitsanforderungen entsprechen.
  5. Vorgaben für Kryptografie und Verschlüsselung: Es müssen geeignete Verschlüsselungstechniken und Sicherheitsprotokolle eingesetzt werden.
  6. Umsetzung von Zugangskontrollen: Der Zugang zu kritischen Systemen und Daten muss streng kontrolliert werden.
  7. Sichere Kommunikationssysteme: Der Einsatz von sicheren Sprach-, Video- und Textkommunikationssystemen sowie Notfallkommunikationssystemen ist verpflichtend.
  8. Überprüfung der Sicherheitsmaßnahmen in der Lieferkette: Unternehmen müssen sicherstellen, dass auch ihre Zulieferer und Dienstleister den Sicherheitsanforderungen genügen.
  9. Schulung und Sensibilisierung der Mitarbeiter: Regelmäßige Schulungen zur Cyber-Sicherheit sind essenziell, um das Bewusstsein für potenzielle Bedrohungen zu schärfen.

Die NIS2-Richtlinie sieht zudem erhebliche Sanktionen vor, um die Einhaltung der Vorgaben sicherzustellen. Bei Verstößen können für wesentliche Einrichtungen Geldbußen von bis zu 10 Millionen Euro oder 2 % des Vorjahresumsatzes verhängt werden, während für wichtige Einrichtungen Maximalstrafen von bis zu 7 Millionen Euro oder 1,4 % des Umsatzes gelten – sofern der Umsatz 500 Millionen Euro übersteigt. Verantwortliche Führungspersonen können zudem persönlich haftbar gemacht werden, wenn sie ihre Pflichten vernachlässigen.

4. Fazit

Die NIS2-Richtlinie markiert einen wichtigen Schritt in Richtung einer sichereren digitalen Infrastruktur in Europa. Sie modernisiert den bestehenden Rechtsrahmen und stellt klare Vorgaben für den Umgang mit Cyber-Sicherheitsrisiken. Unternehmen und Behörden, die in den Anwendungsbereich fallen, müssen umfangreiche Maßnahmen ergreifen, um den Schutz ihrer IT-Systeme und Daten zu gewährleisten – und das nicht nur intern, sondern entlang der gesamten Lieferkette.

Es ist ratsam, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen, die eigenen Cyber-Sicherheitsstrategien zu überprüfen und gegebenenfalls anzupassen. Eine Orientierung an internationalen Standards wie der ISO 27001 kann hierbei hilfreich sein. Letztendlich dienen die Vorgaben der NIS2-Richtlinie nicht nur dem Schutz vor Cyber-Angriffen, sondern auch der Sicherstellung des reibungslosen Funktionierens des europäischen Binnenmarktes im digitalen Zeitalter.

Unternehmen sollten also nicht zögern, in ihre Cyber-Sicherheitsmaßnahmen zu investieren und damit langfristig ihre Widerstandsfähigkeit (Resilienz) gegenüber Cyberbedrohungen zu stärken.

Bleiben Sie informiert, schulen Sie Ihre Mitarbeiter und überprüfen Sie regelmäßig Ihre IT-Sicherheitsmaßnahmen – so stellen Sie sicher, dass Ihr Unternehmen auch in Zeiten zunehmender Digitalisierung und wachsender Bedrohungen gut geschützt ist.

Überblick EU-Datenräume

Überblick EU-Datenräume

Die EU-Datenstrategie verfolgt das Ziel, eine datengesteuerte Wirtschaft zu schaffen und einen Binnenmarkt für Daten zu etablieren. Dies umfasst sowohl personenbezogene als auch nicht-personenbezogene Daten sowie sensible Geschäftsdaten, die im Einklang mit den EU-Vorschriften und Werten sicher und nahtlos über Grenzen und Sektoren hinweg fließen können. Dies soll Unternehmen und Bürgern gleichermaßen zugutekommen.

Ein rechtlicher Rahmen für den Datenaustausch wird insbesondere durch den Data Act und den Data Governance Act gesetzt. Weitere wichtige Regelwerke sind der Digital Markets Act und der Digital Services Act, die große Online-Plattformen regulieren, sowie die Open Data Richtlinie, die die Weiterverwendung öffentlicher Daten ermöglicht.

Hauptmerkmale des EU-Datenraums

  • Sichere und datenschutzfreundliche Infrastruktur für die Zusammenführung, Nutzung und Verarbeitung von Daten.
  • Fairer, transparenter und nicht diskriminierender Zugang zu Daten.
  • Vertrauenswürdige Datenverwaltungsmechanismen, unter Berücksichtigung europäischer Vorschriften und Werte.
  • Schutz personenbezogener Daten durch die DSGVO und das Bundes- sowie Landesdatenschutzgesetz.
  • Regulierung der Cybersicherheit durch die NIS2-Richtlinie, das NIS-2-Umsetzungsgesetz, das IT-Sicherheitsgesetz 2.0, den Cyber Resilience Act, den Cybersecurity Act und das Geschäftsgeheimnisgesetz.
  • Schutz kritischer Infrastrukturen durch die CER-Richtlinie und das KRITIS-Dachgesetz.
  • Sicherstellung der Finanzmarktstabilität durch DORA und die Mindestanforderungen an das Risikomanagement (MaRisk).
  • Normen für die Automobilbranche durch TISAX.
  • Regulierung von Online-Plattformen durch den Digital Services Act und den Digital Markets Act.
  • Künstliche Intelligenz und Produktsicherheit durch die KI-Verordnung, die KI-Haftungsrichtlinie, die Produkthaftungsrichtlinie und die Produktsicherungsverordnung.
  • Verbraucherschutz für digitale Inhalte und Waren durch die Richtlinie über digitale Inhalte und die Warenverkaufsrichtlinie.
  • Zertifizierungsanforderungen für ISMS durch den BSI IT-Grundschutz.
  • Regulierung der digitalen Identität durch die eIDAS-Verordnung 2.0.
  • Stärkung der Cyberresilienz durch den Cyber Solidarity Act.

Sektorale EU-Datenräume

Um die Datenstrategie umzusetzen, entwickelt die EU Datenräume in 14 Sektoren:

  1. Landwirtschaft
  2. Kulturerbe
  3. Energie
  4. Finanzen
  5. Green Deal (Umwelt)
  6. Gesundheit
  7. Sprache
  8. Industrie (verarbeitendes Gewerbe)
  9. Medien
  10. Mobilität
  11. Öffentliche Verwaltung
  12. Forschung und Innovation
  13. Qualifikationen
  14. Tourismus

Die Implementierung dieser Datenräume erfordert sowohl technische als auch gesetzliche Voraussetzungen, die durch spezifische Vorschriften geregelt werden. Besonders im Gesundheitsdatenraum gibt es bereits erste Initiativen. Generell legt die EU verstärkt Wert auf Sicherheitsaspekte in ihren gesetzlichen Regelungen.