Die IT-Sicherheit fordert die Unternehmen technologisch und wirtschaftlich intensiv. Zugleich überrollt sie sie mit einer Regulierungs- und Vollzugswelle, unter anderem der NIS-2-Richtlinie, die IT-Sicherheitsanforderungen für kritische Sektoren festlegt, der Cyberresilienz-Verordnung über IT-Sicherheitsanforderungen für Produkte mit digitalen Elementen (Medizinprodukten sind ausgenommen, dort bleibt es bei der MDR) und der Cybersolidaritäts-Verordnung über Warn- und Notfallmechanismen. Seit 2005 gibt es auch eine Agentur der Europäischen Union für Cybersicherheit (ENISA)
Die Kommission will ihre Bemühungen nun branchenbezogen fortsetzen. Dazu hat sie einen Aktionsplan zur Verbesserung der IT-Sicherheit von Gesundheitseinrichtungen vorgestellt. Am 7. April hat die Kommission eine öffentliche Konsultation begonnen, die Informationen von Stakeholdern im Gesundheitsbereich zu aktuellen Herausforderungen im Bereich IT-Sicherheit sowie den vorhandenen Sicherheitskapazitäten sammeln soll. Auf der Grundlage der Ergebnisse will die EU-Kommission bis Ende 2025 Empfehlungen vorlegen, die den Aktionsplan weiter präzisieren.
Der Aktionsplan ist auch ein Prüfstein, wie die europäischen Institutionen ihr Entbürokratisierungsziel verwirklichen (siehe z.B. die EU-Mitteilung "A Competitive Compass for the EU", S. 3, die das Ziel vorgibt: "simplifying the regulatory environment, reducing burden and favouring speed and flexibility").
In Deutschland steht allerdings selbst die Umsetzung der NIS-2-Richtlinie noch aus, die eigentlich im Oktober 2024 fällig war. Speziell das Gesundheitswesen ist in Deutschland Gegenstand umfassender sektoraler IT-Regulierung in den §§ 390 – 393 SGB V und Umsetzungsvorschriften. Danach sind – wie auch schon nach Datenschutzrecht (Art. 32 DS-GVO) – angemessene technisch-organisatorische Maßnahmen (TOMs) erforderlich, die dem Schutzbedarf der verarbeiteten Information entsprechen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der verwendeten IT-Systeme zu vermeiden und die Funktionsfähigkeit der Einrichtung zu schützen. Die Vorkehrungen müssen dem Stand der Technik entsprechen und die "Security-Awareness" gewährleistet werden. § 393 SGB V regelt für Cloud-basierte Dienste im Gesundheitswesen, dass diese ein C5-Testat oder ein vergleichbares Zertifikat haben müssen und nur in der EU oder Ländern mit Angemessenheitsbeschluss verarbeiten dürfen.
Der Aktionsplan setzt auf diesem Regelungsgeflecht auf. Die Kommission betont den durch Ransomware-Attacken verursachten Schaden und behauptet, der Gesundheitssektor sei die Branche mit den meisten gemeldeten Sicherheitsvorfällen (Aktionsplan, S. 4), ohne allerdings weiter einzuordnen, ob hieraus ein Schluss auf tatsächliche Problemlagen möglich ist.
Trotz der Fülle bestehender Initiativen enthält der Aktionsplan zahlreiche Vorschläge für neue De-Facto-Regelungsinstrumente und weitere Maßnahmen. Diese werden mit einer starken Zentralisierung auf europäischer Ebene verbunden: Die Kommission will ein Europäisches IT-Sicherheits-Unterstützungszentrum für Gesundheitseinrichtungen durch ENISA gründen. Zwar soll dieses Unterstützungszentrum bis auf weiteres keine Aufsichts- oder Überwachungsfunktion bekommen. Seine aus sich heraus unverbindlichen Arbeitsprodukte werden aber über technikrechtliche Rezeptionsnormen selbstverständlich einen quasi-verbindlichen Charakter bekommen.
Das Unterstützungszentrum soll:
… Leitlinien zur Gewährleistung von IT-Sicherheit bei Gesundheitseinrichtungen entwickeln, die klare Handlungsempfehlungen für essentielle IT-Sicherheitsmaßnahmen enthalten. Weitere Leitlinien sollen für das Procurement für von Gesundheitseinrichtungen verwendete Produkte mit digitalen Elementen entwickelt werden, um potentielle IT-Sicherheitsrisiken in der Lieferkette zu reduzieren;
… Leitfäden schreiben, die den Gesundheitseinrichtungen klare Handlungsempfehlungen für den Umgang mit spezifischen Bedrohungen (z.B. Ransomware-Attacken) und Sicherheitsvorfällen geben;
… einen Frühwarndienst für den Gesundheitssektor betreiben, der Daten von nationalen Stellen, Gesundheitseinrichtungen und Herstellern bündelt, und einen Schnellreaktionsdienst, der vertrauenswürdige privater IT-Sicherheitsanbieter zur Bewältigung von Sicherheitsvorfällen einsetzt;
… den Bestand der EU-IT-Sicherheitsregeln aufnehmen (sog. "Regulatory Mapping Tool") und angesichts der verschiedenen IT-sicherheitsrechtlichen Rechtsgrundlagen die jeweils anwendbaren Vorschriften nennen und z.B. durch Umsetzungsleitlinien verständlich und umsetzbar machen;
… Online-Schulungsmodule entwickeln, um Mitarbeitende in Gesundheitseinrichtungen in IT-Sicherheitsfragen zu schulen und sie für Cyberbedrohungen zu sensibilisieren.
… einen Dienst bereitstellen, der Gesundheitseinrichtungen unterstützt, Krisen- und Wiederherstellungspläne (z.B. bzgl. Sicherungskopien) für Ransomware-Dienste auszuarbeiten.
Den Subventionen zuzuordnen ist die Idee, einen IT-Sicherheitsvoucher einführen, um kleine und mittlere Gesundheitsdienstleister finanziell bei der IT-Sicherheit unterstützt werden. Dies klingt nach der Schaffung einer staatsinduzierten Beratungs- und Auditierungsbranche nach dem Muster der Energieberater.
Weiterhin sorgt sich die Kommission über die Verhandlungsstärke von IT-Sicherheitsanbietern und will den Gesundheitsunternehmen die gemeinsame Nutzung von Ressourcen erleichtern, beispielsweise bei der Auftragsvergabe. Bei der Nutzung von Cloud-Diensten sollen Aufgaben auf die Cloud-Anbieter verlagert werden können, um den Gesundheitsdienstleistern die Erfüllung ihrer eigenen Sicherheitspflichten zu erleichtern. Cloud-Anbieter sollen deshalb "angehalten" werden (also vermutlich durch Leitlinien oder andere soft law Instrumente), grundlegende Sicherheitsmaßnahmen von vornherein als Standardmerkmal umzusetzen (security by default and by design).
Auf nationaler Ebene sollen nationale IT-Sicherheitsunterstützungszentren zentrale Anlaufstellen für Gesundheitseinrichtungen sein, nationale "IT-Sicherheitspläne" sowie unverbindliche Benchmarks für Investitionen in IT-Sicherheit durch Gesundheitseinrichtungen entwickelt und IT-Sicherheitsmeldungen an das europäische Unterstützungszentrum weitergeleitet werden.
Schon jetzt mangelt es nicht an öffentlichen Behörden und Stellen, die sich um IT-Sicherheit kümmern. Der Aktionsplan würde in dieses Behördendickicht einen weiteren hoheitlichen Akteur implantieren, obgleich mit ENISA, BSI, Datenschutzaufsicht und zahlreichen sektoralen Behörden im Gesundheitswesen sowie den Sicherheitsbehörden schon jetzt ein Zuständigkeits- und Aufgabenwirrwarr herrscht. Dass die Kommission dem Unterstützungszentrum keine hoheitlichen Aufsichtsbefugnisse geben will, wird nichts daran ändern, dass ein weiterer Akteur mit gut gemeinten Vorgaben das regeln würde, was schon viele andere regeln, kontrollieren und sanktionieren.