Skip to content

NIS 2-Richtlinie – Wie Sie Ihre NIS Sicherheitsanforderungen als Krankenhausbetreiber treffsicher erfüllen.

Die NIS 2-Richtlinie (Network & Information Security) zielt darauf ab, den Schutz sektorspezifischer Infrastrukturen (IT) und betriebskritischer Technologien (OT) in Europa zu verbessern und die EU insgesamt widerstandsfähiger gegen Cyberangriffe zu machen.

Als Betreiber wesentlicher Dienste im Gesundheitssektor sind Sie bestrebt, die erhöhten Sicherheitsvorkehrungen für Netz- und Informationssysteme in Ihren Krankenhäusern effizient umzusetzen. Das NISG wurde 2016 im Zuge der Umsetzung der ersten NIS-Richtlinie erlassen. Die EU-Staaten haben bis zum 17. Oktober 2024 Zeit, um die NIS 2-Richtlinie in nationalem Gesetz umzusetzen. Zu den wichtigsten Änderungen gehören:

  • Höhere Sicherheitsanforderungen an die Unternehmen: Cyberresilienz und Schutz gegen Cyberangriffe werden verbessert.
  • Schärfere und vereinheitlichte Sanktionen: Nationale Behörden erhalten zentrale Rolle bei der Überwachung und Durchsetzung.
  • Erweiterter Anwendungsbereich: Weitere Sektoren, einschließlich des Verkehrssektors und digitaler Plattformen wie Online-Marktplätze und Cloud-Infrastruktur werden NIS 2 relevant.

Devoteam Austria ist eine beim Bundesministerium für Inneres qualifizierte Stelle (QuaSte) und kann für Ihr Unternehmen schon heute Audits im Sinne des NISG als Prüfer durchführen und die Konformität bestätigen.

Unverbindlichen Beratungstermin sichern!

Sie haben Fragen zu den Änderungen durch NIS 2? Nutzen Sie unser langjähriges Cybersecurity Know-how im Gesundheitswesen!

Martin Esslinger

Martin ESSLINGER

Partner & Mitglied der Geschäftsleitung

Bernhard Heinzle

Bernhard HEINZLE

Principal Consultant

NIS 2 bringt eine erhebliche Ausweitung des Kreises verpflichteter Unternehmen. Klären wir Ihre individuelle Situation!

Wer ist von NIS 2 betroffen?

Zu den entscheidenden Änderungen zählt einerseits die erhebliche Ausweitung des Kreises verpflichteter Unternehmen und andererseits der Wechsel von „Betreibern wesentlicher Dienste“ und „Anbietern digitaler Dienste“ zu „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“. Wobei für beide Einrichtungen unterschiedliche Regelungen gelten.
Somit betrifft die Richtlinie neben den bekannten „wesentlichen“ Sektoren wie Einrichtungen der öffentlichen Verwaltung, Energie, Verkehr, Bank- und Finanzwesen, Gesundheitswesen, Wasserversorgung auch „wichtige“ Anbieter digitaler Infrastrukturen, von Online-Marktplätzen über Social Media Plattformen bis zu Hersteller bestimmter systemkritischer Güter wie Medizintechnik, Lebensmittel oder Chemie.

In den Anwendungsbereich fallen künftig alle mittleren und großen Unternehmen in den als wesentlich bzw. wichtig identifizierten Sektoren. Klein- und Kleinstunternehmen fallen grundsätzlich nicht in den Anwendungsbereich – mit Ausnahme von besonders sicherheits­kritischen Diensten wie dem Anbieten öffentlicher elektronischer Kommunikationsnetze oder dem Anbieten von Vertrauensdiensten, welche unabhängig von ihrer Größe dem Anwendungsbereich der Richtlinie unterliegen.

Auch die aktuelle Fassung des NISG verpflichtet Betreiber wesentlicher Dienste zur Umsetzung umfangreicher Sicherheitsmaßnahmen und zum Nachweis ihrer Wirksamkeit durch qualifizierte Stellen. Devoteam Austria ist als „Qualifizierte Stelle“ (QuaSte) des Bundesministerium f. Inneres akkreditiert und führt Audits zur NIS-Konformität durch.

Devoteam prüft als QuaSte die NIS-Konformität Ihres Unternehmens!“ Wir begleiten Sie unabhängig und technologgieneutral.

Leistungen Devoteam Devoteam Austria begleitet Sie bei der Umsetzung Ihrer NIS-Anforderungen!

Als qualifizierte Stelle zur Prüfung und Bestätigung der NIS-Konformität bietet Devoteam Austria ein vollumfängliches Spektrum an Leistungen zur Cybersecurity an.

Planung und Konzeption

Beginnend mit Ihrem bestehenden oder zu konzipierenden Informationssicherheitsmanagementsystems (ISMS) helfen wir Ihnen, die Anforderungen der NIS-Verordnung zu erfüllen. Wir führen Gap- und Betroffenheitsanalysen durch, um die Auswirkungen eines Informationssicherheitsvorfalls auf Ihr Unternehmen zu bewerten. Unsere Experten und Expertinnen erschließen mit Ihnen Synergieeffekte zwischen den Anforderungen der NIS-Verordnung und anderen Normen und Standards, um Cybersecurity wirtschaftlich zu implementieren.

Prüfung und Nachweiserbringung

Devoteam Austria führt als QuaSte NIS-Audits bei Ihnen durch und stellt sicher, dass Ihr ISMS den Anforderungen der Verordnung entspricht. Als unabhängiger Technologieberater realisieren wir NIS-Konformität von Ihren IKT-Systemen über medizinisch elektrische Systeme bis zur vielfältigen Haus- und Betriebstechnik. Wir begleiten Sie zuverlässig bei der Nachweiserbringung Ihrer NIS-Konformität gegenüber Behörden und anderen Stakeholdern.

Devoteam QuaSte anfragen!

Betrieb und kontinuierliche Verbesserung

Im laufenden Betrieb unterstützen wir Sie bei der kontinuierlichen Verbesserung Ihres ISMS und helfen Ihnen, Schwachstellen zu beheben. Die Erweiterung Ihres bestehenden ISMS um den NIS-Scope verstehen wir als Querschnittsmaterie. Daher sind bestehende ISMS-Dokumente an kommende Anforderungen der NIS 2-Richtlinie anpassen.

Sicherheit der Prüfdaten

Devoteam Austria verfügt über ein erfahrenes Team von Prüfern und Prüferinnen mit mehrjähriger Berufserfahrung für die Auditierung relevanter Sicherheitseinrichtungen gemäß NISG (sowohl technisch als auch organisatorisch). Als Teil der globalen Devoteam Gruppe setzen wir auf laufende und hochqualifizierte Fortbildung und Zertifizierung unserer Mitarbeiter:innen und sind unter anderem selbst mit unserem internen ISMS nach ISO 27001:2022 zertifiziert.

Sie sind startklar NIS 2 als Krankenhausbetreiber vorzubereiten und umzusetzen? Devoteam hat den Plan!

Jetzt Kontakt aufnehmen:

Maßnahmen Welche Maßnahmen müssen Unternehmen und Organisationen treffen?

Unternehmen und Organisationen, die von der NIS 2-Richtlinie betroffen sind, müssen verschiedene Maßnahmen ergreifen, um die Sicherheit und Resilienz ihrer IT- und OT-Systeme zu erhöhen und die Anforderungen der Richtlinie zu erfüllen. Die neuen Anforderungen umfassen präventive und reaktive Maßnahmen. Zu den präventiven Maßnahmen gehören:

Risikomanagement-maßnahmen:

Unternehmen müssen ein Risikomanagementsystem implementieren, das die Risiken für ihre Informationssysteme identifiziert und bewertet.

Sicherheitsmaßnahmen

Unternehmen müssen Pläne für die Bewältigung von Sicherheitsvorfällen haben.

Aufrechterhaltung des Betriebs

Unternehmen müssen Maßnahmen für die Aufrechterhaltung des Betriebs ihrer Informationssysteme haben, z. B. durch regelmäßige Backups und Wiederherstellungskonzepte.

Zugangskontrollen

Unternehmen müssen Zugangskontrollen für ihre Informationssysteme implementieren, z. B. durch Multi-Faktor-Authentifizierung.

Sichere Kommunikation

Unternehmen müssen sichere Kommunikationswege für ihre Informationssysteme implementieren.

Zu den reaktiven Verpflichtungen zählen insbesondere die Meldepflichten der Richtlinie:

  • Meldepflichten: Signifikante Vorfälle und signifikante Bedrohungen sind den Behörden zu melden, wobei genaue Vorgaben für Ablauf, Inhalt und Zeitrahmen solcher Meldungen gelten.
  • Frühwarnung: Konkret muss unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntnisnahme, eine sogenannte Frühwarnung abgegeben werden.
  • Meldung Sicherheitsvorfall: In weiterer Folge hat binnen 72 Stunden eine Meldung des Sicherheitsvorfalls zu erfolgen.
  • Abschlussbericht: Spätestens ein Monat nach Übermittlung dieser Meldung ist ein Abschlussbericht zu erstellen.

Von der Richtlinie erfasste Unternehmen haben eine Liste an grundlegenden Maßnahmen zur sog. Cyberhygiene – auch betreffend ihre Lieferketten – einzuführen, z.B.:

  • Zero-Trust-Grundsätze
  • Software-Updates
  • Gerätekonfiguration
  • Netzwerksegmentierung
  • Identitäts- und Zugriffsmanagement
  • Sensibilisierung der Nutzer:innen
  • Organisation von Schulungen für Mitarbeiter:innen
  • Schärfung des Bewusstseins für Cyberbedrohungen, Phishing oder Social-Engineering-Techniken

Welche Sanktionen und Haftungen drohen Unternehmen bei Verstößen gegen NIS 2?

  • Der Bußgeldrahmen wird für wesentliche Einrichtungen mit einem Höchstbetrag von mindestens 10 Mio. EUR oder 2 % des weltweiten Umsatzes begrenzt.
  • Für wichtige Einrichtungen liegt der Höchstbetrag bei zumindest 7 Mio. EUR oder bei 1,4 % des weltweiten Umsatzes.
  • Leitungsorgane wesentlicher und wichtiger Einrichtungen sind verpflichtet, die Umsetzung der Risikomanagementmaßnahmen zu überwachen und können für Verstöße dagegen verantwortlich gemacht werden.
  • Die zuständigen Behörden in den EU-Mitgliedstaaten können Vor-Ort-Kontrollen, regelmäßige Sicherheitsprüfungen und anlassbezogene – bei wesentlichen Unternehmen auch ohne Anlass – ad-hoc-Prüfungen durchführen.

Sie wollen sich auf die erhöhten Anforderungen von NIS 2 treffsicher vorbereiten? Devoteam weiß wie´s geht!

Weiterführende Links:

Bundesregierung | Anlaufstelle Netz- und Informationssystem­sicherheitsgesetz (NISG)

Wirtschaftskammer Österreich | NIS 2-Richtlinie in Österreich umzusetzen bis 17.10.2024

Devoteam Austria

Wir beraten Sie produkt- und herstellerunabhängig. Verlassen Sie sich auf unsere objektive Sichtweise als exzellente Technologieberater:innen.

In Österreich setzen wir auf hochqualifizierte, unabhängige Technologieberatung. Unsere Expertise beginnt mit Ihren Anforderungen und reicht bis zum technologisch fundierten Design. Sollten Sie an einer anschließenden Systemimplementierung interessiert sein, stehen Ihnen unsere europäischen Centers of Excellence (CoE) mit zertifizierten Integrationsexperten und -expertinnen zur Verfügung. Dabei sind wir auf die führenden Cloud-Plattformen spezialisiert, die wir auch als Managed Service weltweit betreiben.

Sehen Sie sich an wer wir sind