Die NIS-2-Richtlinie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und trat am 16. Januar 2023 in Kraft. Die EU-Mitgliedstaaten, einschließlich Deutschland, hatten die Pflicht, diese Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Leider konnte Deutschland diese Frist nicht einhalten, und die nationale Umsetzung wird nun voraussichtlich im März 2025 in Kraft treten. Der aktuelle Gesetzesentwurf sieht keine spezifischen Übergangsfristen vor. Das bedeutet, dass betroffene Unternehmen ab dem Inkrafttreten des Gesetzes die vorgeschriebenen IT-Sicherheitsmaßnahmen vollständig erfüllen müssen. Daher ist es ratsam, bereits jetzt mit der Implementierung der erforderlichen Maßnahmen zu beginnen, um den zukünftigen gesetzlichen Anforderungen gerecht zu werden.
Bislang galten Apotheken nur dann als Teil der Kritischen Infrastruktur, wenn sie jährlich mehr als 4.650.000 Packungen verschreibungspflichtiger Arzneimittel abgaben – ein Schwellenwert, den die meisten Apotheken nicht erreichten. Mit der Umsetzung der NIS-2-Richtlinie werden die Kriterien jedoch erweitert, sodass auch kleinere Apotheken als „wichtige Einrichtungen“ eingestuft werden, unabhängig von der Menge der abgegebenen Arzneimittel.
Als „wichtige Einrichtungen“ unterliegen Apotheken den Anforderungen hinsichtlich Cybersicherheit und Datenverarbeitung. Dazu gehören unter anderem:
- Risikoanalyse und Sicherheitsmaßnahmen:
– Identifikation und Bewertung von Risiken für IT-Systeme und Netzwerke.
– Implementierung technischer und organisatorischer Maßnahmen zur Risikominimierung.
- Sicherstellung der Betriebsfähigkeit:
– Gewährleistung der Verfügbarkeit, Vertraulichkeit und Integrität von IT-Systemen und Daten.
– Einsatz von Backup- und Wiederherstellungssystemen.
- Cybersecurity-Maßnahmen:
– Schutz vor Malware und Cyberangriffen durch Firewalls, Virenschutz und Intrusion Detection Systeme.
– Regelmäßige Aktualisierung und Patchen der Software.
- Schulungen und Sensibilisierung:
– Mitarbeiterschulungen zu IT-Sicherheit und Datenschutz.
- Meldepflicht für Vorfälle:
– Meldung von IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).
- Zugriffs- und Berechtigungsmanagement:
– Kontrolle und Begrenzung des Zugangs zu IT-Systemen und sensiblen Daten.
- Datenschutz und DSGVO-Konformität:
– Schutz personenbezogener und sensibler Gesundheitsdaten gemäß der Datenschutz-Grundverordnung.
- Notfallmanagement und Resilienz:
– Entwicklung und Implementierung von Notfallplänen zur Aufrechterhaltung des Betriebs bei IT-Ausfällen oder Cyberangriffen.
Ein Verstoß gegen diese Anforderungen kann gravierende Folgen haben, darunter hohe Bußgelder, verpflichtende Nachbesserungen, Reputationsschäden und im Extremfall Betriebseinschränkungen oder strafrechtliche Konsequenzen. Apotheken, die unter die NIS-2-Richtlinie fallen, werden in Deutschland vom Bundesamt für Sicherheit in der Informationstechnik (BSI), den Landesapothekerkammern und den Landesdatenschutzbehörden überwacht.
Daher ist es für Apotheken essenziell, die NIS-2-Anforderungen sorgfältig umzusetzen und regelmäßige Kontrollen der IT-Sicherheitsstandards durchzuführen.
Für die Umsetzung und Implementierung der erforderlichen Maßnahmen stehe ich Ihnen wie immer zur Verfügung.
