doctor working on laptop computer, overlay of cybersecurity icons

© Suriyo – stock.adobe.com

Artikel • Identity & Access Management (IAM)

NIS2-Compliance: Wie Krankenhäuser jetzt ihre Cybersicherheits-Lücken schließen

Im Jahr 2016 verabschiedete die EU die NIS-Richtlinie, um die Cybersicherheit kritischer Infrastrukturen, darunter auch Krankenhäuser, zu stärken.

Autor: Ingo Buck, Regional Manager DACH der Imprivata OGiTiX GmbH

portrait of Ingo Buck
Ingo Buck

Bildquelle: Imprivata OGiTiX

Anfang 2023 verabschiedete die EU die NIS2-Richtlinie, um sich noch besser gegen zunehmende Cyberbedrohungen zu wappnen. Diese neue Richtlinie erweitert den ursprünglichen Rahmen und legt zusätzliche Cybersicherheitsverpflichtungen für „wesentliche“ und „wichtige“ Einrichtungen, einschließlich Gesundheitseinrichtungen, fest. Die neuen Verpflichtungen betreffen das Risiko- und Lieferkettenmanagement, die Meldung von Cybervorfällen und den Informationsaustausch. 

Die Uhr tickt: Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten diese Standards umsetzen und damit die Cybersicherheitsmaßnahmen EU-weit vereinheitlichen. Um die Anforderungen zu erfüllen, verlangt NIS2 von Gesundheitsorganisationen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit von Netzwerken und Informationssystemen sowie von Lieferketten und Lieferantenbeziehungen zu gewährleisten und ihre Sicherheitslage regelmäßig zu bewerten und zu verbessern. Krankenhäuser müssen ihren Fokus auf Cybersicherheit vertiefen und erweitern und neue Richtlinien, Verfahren und Lösungen implementieren. 

NIS2 führt zu diesem Zweck folgende Lösungen und Strategien auf, die umgesetzt werden sollten: Verschlüsselung, Zugangskontrollmanagement, Netzwerksegmentierung, Multi-Faktor-Authentifizierung und kontinuierliche Überwachung.

Gesundheitssektor schlecht auf Cybersicherheitsvorschriften vorbereitet

Während die Frist für die Einhaltung der NIS2-Richtlinie näher rückt, sieht sich das Gesundheitswesen mit einer beunruhigenden Situation konfrontiert: Es ist alarmierend unvorbereitet. Eine Umfrage unter 227 Fachkräften des Gesundheitswesens, durchgeführt von Imprivata im Rahmen der DMEA 2024, offenbart eine kritische Lücke beim Schutz sensibler Patientendaten. Fast 39% der Befragten gaben an, noch nie von der NIS2-Richtlinie gehört zu haben, und weitere 31% räumten ein, dass ihre IT-Sicherheit nicht den neuen Anforderungen entspricht. Überraschend ist, dass die Hälfte derjenigen, die mit NIS2 nicht vertraut sind, in der IT-Abteilung arbeiten. 

Diese Organisationen sollten ihre aktuellen Strategien und Prozesse so schnell wie möglich überprüfen, um sicherzustellen, dass sie die kommenden Anforderungen bis Oktober 2024 erfüllen. 

Cyberbedrohungen entwickeln sich ständig weiter. Ein effektives Identitäts- und Zugriffsmanagement (IAM) ist entscheidend, um das von NIS2 geforderte Sicherheitsniveau zu erreichen und sensible Daten zu schützen. Trotz dieser Bedeutung gaben nur 19% der Gesundheitsorganisationen an, dass sie über einen ausgereiften Ansatz für das Management digitaler Identitäten verfügen, der sowohl eine zentrale Verwaltung als auch flexible Integrationsmöglichkeiten bietet. 

Dieser Artikel könnte Sie auch interessieren

Ein genauerer Blick zeigt, warum IAM-Lösungen eine Schlüsselrolle spielen, wenn es darum geht, Krankenhäuser bei der Erfüllung von Sicherheitsanforderungen zu unterstützen.

Wie IAM-Lösungen Cybersicherheit in Schlüsselbereichen verbessern

IAM-Lösungen decken folgende NIS2-Anforderungen ab: 

  • Lieferkettensicherheit: IAM-Lösungen ermöglichen eine präzise Kontrolle des Zugriffs Dritter auf kritische Daten und Infrastrukturen. Sie stellen sicher, dass der Zugriff nur bei Bedarf gewährt und sofort entzogen wird, wenn er nicht mehr benötigt wird. Zudem werden alle Zugriffe und Aktivitäten lückenlos protokolliert. 
  • Cybersicherheitshygiene: IAM-Lösungen ermöglichen die Umsetzung starker Passwortrichtlinien mit Single Sign-On (SSO) auf allen Geräten. Sie unterstützen auch die Verwendung von Security Badges mit Tap und PIN für die Zwei-Faktor-Authentifizierung. Dadurch wird die Verwendung von Shared Accounts für den Zugriff auf Systeme und Daten überflüssig. 
  • Personalsicherheit, Zugriffskontrolle, Asset Management: IAM-Lösungen automatisieren die Bereitstellung und sorgen für präzise rollenbasierte Zugriffskontrolle (RBAC) bei neuen Nutzern, Rollenwechseln, Drittparteien und ausscheidenden Mitarbeitern. Sie minimieren das Risiko einer schleichenden Rollenerweiterung, ermöglichen eine rechtzeitige Deprovisionierung und ein effektives Management privilegierter Zugriffe. Dadurch werden Administratorkonten weniger anfällig für Missbrauch und mobile Geräte können effizienter verwaltet werden. 
  • Multi-Faktor-Authentifizierung (MFA): Security Badges mit Tap und PIN bieten eine konsistente Multi-Faktor-Authentifizierung (MFA) nach modernen Standards wie FIDO (Fast IDentity Online) für Desktop- und mobile Geräte. Das schützt die wachsende Zahl vernetzter Geräte, einschließlich medizinischer Geräte, und bietet ein Höchstmaß an Sicherheit.

Patienten schützen, Compliance erreichen: IAM als Schlüssel zur NIS2-Bereitschaft

Durch die Implementierung einer umfassenden IAM-Strategie können Krankenhäuser die wichtigsten NIS2-Anforderungen an das Identitäts- und Zugriffsmanagement erfüllen. Dies ermöglicht ihnen, ihre Systeme zu sichern, gesetzliche und behördliche Auflagen zu erfüllen und die erforderliche Dokumentation und Protokollierung bereitzustellen. Die Nichtumsetzung dieser und anderer in NIS2 beschriebenen Protokolle kann teuer werden: Verstöße können Bußgelder in Höhe von bis zu 10 Millionen Euro oder 2% des Jahresumsatzes nach sich ziehen und Führungskräfte persönlich haftbar machen. Hinzu kommen mögliche Reputationsschäden. 

Obwohl IAM nur ein Element einer umfassenderen Cybersicherheitsstrategie ist, stellt es eine Schlüsselkomponente des koordinierten Ansatzes dar, den alle betroffenen Unternehmen bei der Umsetzung der NIS2-Protokolle verfolgen müssen. 

Die Vorbereitung auf die NIS2-Richtlinie und die Umsetzung robuster Cybersicherheitsmaßnahmen sind unerlässlich, um die Integrität und Vertraulichkeit von Patientendaten zu gewährleisten und das Vertrauen in das Gesundheitssystem zu stärken. Nur mit proaktiven und umfassenden Sicherheitsstrategien können Krankenhäuser den wachsenden Cyberbedrohungen effektiv begegnen und ihre Widerstandsfähigkeit gegen künftige Angriffe stärken. 


Quelle: Imprivata OGiTiX GmbH

Ingo Buck auf LinkedIn

04.06.2024

Verwandte Artikel

Photo

Artikel • Änderung zum Jahreswechsel 2022

IT-Sicherheit: Gesetz nimmt auch kleine Kliniken in die Pflicht

KRITIS oder nicht – vor dem IT-Sicherheitsgesetz sind seit 2022 auch Kliniken unter der „magischen“ 30.000-Grenze gleich. Damit müssen sich nun auch kleine Häuser mit B3S befassen – obwohl…

Photo

Artikel • conhIT 2016

Cybersecurity wohin das Auge blickt

Der Besuch auf der conhIT 2016 machte eines schnell klar: Das Thema IT-Sicherheit oder auch Cybersecurity stand im Fokus der Messe. Zusätzlich zu Veranstaltungen zum Thema gab es außerdem erstmals…

Photo

News • Umfrage auf der DMEA 2023

Cybersecurity: Gesundheitsbranche zeigt sich selbstbewusst

Die meisten Akteure im Gesundheitswesen sehen sich im Bereich Cybersicherheit gut gegen Attacken gewappnet. Das zeigt eine Umfrage von Imprivata auf der DMEA.

Verwandte Produkte

Newsletter abonnieren