Die NIS 2.0-Richtlinie verändert die Anforderungen an die Informationssicherheit grundlegend. Für die meisten Krankenhäuser bedeutet das: Informationssicherheit wird zur klaren Führungsaufgabe. Die Geschäftsführung trägt die Verantwortung und muss nachweisen können, dass angemessene Maßnahmen eingeführt wurden.
In der Praxis zeigt sich aus unserer Erfahrung jedoch ein großes Problem. Die Krankenhäuser verfügen zwar über eine IT-Abteilung, haben aber keinen Informationssicherheitsbeauftragten (ISB). Genau an dieser Stelle entsteht damit eine gefährliche Lücke. Denn die Umsetzung der NIS 2.0 gelingt nur dann, wenn Verantwortlichkeiten eindeutig geregelt sind.
Die wichtigste Frage lautet deshalb nicht, welche technischen Maßnahmen als Erstes umgesetzt werden müssen. Vielmehr ist entscheidend, wer das Thema Informationssicherheit steuert und verantwortlich bearbeitet.
Informationssicherheit ist keine reine IT-Aufgabe
In vielen Häusern entsteht zunächst der Gedanke, die Verantwortung für die Informationssicherheit einfach der IT-Leitung zu übertragen. Schließlich betreibt die IT die technischen Systeme und kennt die vorhandene IT-Infrastruktur.
Doch genau hier liegt ein häufiger Irrtum. Die Informationssicherheit umfasst weit mehr als Firewalls, Server oder Virenschutz. Es geht hier um IT-Risikomanagement, spezielle Richtlinien, Notfallmanagement, Schulungen, Lieferantenbewertungen und die Dokumentation, Audits und die kontinuierliche Verbesserung alle Sicherheitsmaßnahmen. Gleichzeitig müssen Geschäftsführung, Fachbereiche, Personalabteilung, Einkauf, IT, Medizin- und Haustechnik aktiv eingebunden werden
Die IT bleibt ein wichtiger Partner. Sie kann die Gesamtverantwortung jedoch nicht allein tragen.
Die Geschäftsführung muss Rollen klar festlegen
NIS 2.0 verlangt nachvollziehbare Verantwortlichkeiten. Wer ist für die Koordination zuständig? Wer berichtet an die Geschäftsführung? Wer verfolgt bei begonnenen technischen und organisatorischen Maßnahmen den Status der Umsetzung nach? Wer sorgt dafür, dass Risiken bewertet und dokumentiert werden?Bleiben diese Fragen offen, entstehen schnell Doppelarbeiten oder gefährliche Lücken. Die Umsetzung der NIS 2.0 ist dann gefährdet. Beispielsweise werden Maßnahmen begonnen, aber im schlimmsten Fall nicht abgeschlossen. Die Dokumentationen bleiben unvollständig oder fehlen völlig. Zuständigkeiten werden diskutiert und hin- und hergeschoben.
Deshalb sollte die Geschäftsführung frühzeitig festlegen, welche Rollen benötigt werden und welche Aufgaben damit verbunden sind. Eine klare Organisation ist die Grundlage für alle weiteren Schritte.
Braucht jedes Krankenhaus einen Informationssicherheitsbeauftragten?
Aus praktischer Sicht lautet die Antwort eindeutig JA. Jedes betroffene Krankenhaus benötigt eine Person, die das Thema Informationssicherheit dauerhaft koordiniert und dafür verantwortlich zeichnet. Ohne eine zentrale Stelle fehlt erfahrungsgemäß der Überblick über Projekte, bestehende und bewertete Risiken und zu erbringende Nachweise. Der ISB übernimmt dabei nicht sämtliche operativen Aufgaben selbst. Vielmehr sorgt er dafür, dass alle Beteiligten zielorientiert zusammenarbeiten, Anforderungen tatsächlich umgesetzt werden und die Geschäftsführung jederzeit einen Überblick über den Umsetzungsstand erhält.
Gerade diese koordinierende Funktion des ISB wird häufig unterschätzt.
Wie sieht die Realität in vielen Krankenhäusern aus?
Die meisten Krankenhäuser können jedoch nicht kurzfristig eine zusätzliche Vollzeitstelle schaffen. Der Fachkräftemangel trifft gerade die Bereiche IT und Informationssicherheit besonders stark. Gleichzeitig stehen die Häuser unter erheblichem wirtschaftlichem Druck.
Deshalb suchen viele Verantwortliche nach einer pragmatischen Lösung.
Häufig übernimmt ein geeigneter Mitarbeiter die Rolle des ISB zusätzlich zu seiner bisherigen Tätigkeit. Das kann funktionieren, wenn bestimmte Voraussetzungen erfüllt sind. Die Person benötigt ausreichend Zeit, eine fundierte Qualifizierung sowie die notwendige Unterstützung durch die Geschäftsführung. Ebenso wichtig sind klar definierte Aufgaben und Entscheidungswege. Ohne diese Rahmenbedingungen wird die zusätzliche Aufgabe schnell zur Überlastung. Die Themen der Informationssicherheit werden dann nebenbei erledigt. Genau das reicht für die Anforderungen der NIS 2.0 nicht aus.
Eine externe Unterstützung kann der wirtschaftlichste Weg sein
Für viele Krankenhäuser bietet deshalb ein externer Informationssicherheitsbeauftragter eine sinnvolle Alternative. Ein erfahrener externer ISB bringt das notwendige Fachwissen bereits mit. Er kennt die regulatorischen Anforderungen, verfügt über bewährte Vorgehensweisen und kann den Aufbau eines Informationssicherheitsmanagements nach unseren Erfahrungen deutlich beschleunigen. Gleichzeitig entstehen keine Kosten für eine zusätzliche Vollzeitstelle. Stattdessen können die benötigten Leistungen flexibel an den tatsächlichen Bedarf angepasst werden.
Besonders erfolgreich ist häufig ein kombiniertes Modell. Ein interner Mitarbeiter übernimmt die Funktion des ISB im Krankenhaus. Gleichzeitig unterstützt ihn ein externer Experte „on-the-Job“ und coacht ihn bei den einzelnen Aufgaben wie beispielsweise dem Erstellen von Risikobewertungen und Dokumentationen oder regelmäßiger Managementberichte. So entsteht Schritt für Schritt internes Know-how, ohne die vorhandenen Ressourcen zu überfordern.
Fazit: Jetzt ist der richtige Zeitpunkt für klare Entscheidungen
Viele Krankenhäuser beschäftigen sich derzeit intensiv mit technischen Sicherheitsmaßnahmen. Das ist wichtig. Noch wichtiger ist jedoch die organisatorische Grundlage. Ohne klare Rollen, definierte Verantwortlichkeiten und eine wirksame Steuerung wird die Umsetzung der NIS 2.0 unnötig schwierig. Die Geschäftsführung sollte deshalb frühzeitig entscheiden, wie die Rolle des Informationssicherheitsbeauftragten besetzt wird und welche Ressourcen dafür zur Verfügung stehen.
Dabei gibt es keine Standardlösung. Jedes Krankenhaus verfügt über andere organisatorische Voraussetzungen, unterschiedliche personelle Ressourcen und einen individuellen Reifegrad in der Informationssicherheit. Entscheidend ist deshalb ein pragmatisches Vorgehen, das sowohl die gesetzlichen Anforderungen erfüllt als auch wirtschaftlich sinnvoll bleibt.
Adiccon begleitet Krankenhäuser seit vielen Jahren bei der Einführung und Weiterentwicklung von Informationssicherheit, IT-Governance und regulatorischen Anforderungen. Aus zahlreichen Projekten kennen wir die organisatorischen Herausforderungen ebenso wie die praktischen Lösungen. Ob bei der Integration der ISB-Rolle in die bestehende Organisation, bei der Definition von Verantwortlichkeiten, in der Rolle als externer Informationssicherheitsbeauftragter oder bei der Qualifizierung interner Mitarbeiter in Form eines Coachings: Wir unterstützen Krankenhäuser flexibel und passgenau. Unsere Referenzen aus dem Krankenhausumfeld zeigen, dass sich auch mit begrenzten personellen Ressourcen tragfähige und revisionssichere Lösungen erfolgreich umsetzen lassen.
Wer jetzt handelt, schafft die organisatorischen Voraussetzungen für eine sichere, wirtschaftliche und nachhaltige Umsetzung der neuen gesetzlichen Anforderungen.
Wenn Sie mehr darüber wissen möchten, wie wir Sie bei der Umsetzung der NIS 2.0 unterstützen können, dann nehmen Sie Kontakt zu uns auf: walter.schaefer@adiccon.de oder mobil unter 0160 90997764.
Hinterlasse einen Kommentar