Bild eines Vorhängeschlosses in einem Schild als Symbol für Cybersicherheit...

© Ar_TH – stock.adobe.com

News • Anforderungen für Hersteller von Medizinprodukten

NIS-2 verschärft Vorschriften zur Cybersicherheit

Stichtag 17. Oktober 2024: Auf die Hersteller von Medizinprodukten kommen neue Vorschriften zur Cybersicherheit zu, über die der Bundesverband Medizintechnologie (BVMed) mit einem neuen Informationsblatt informiert.

Grundlage ist die europäische NIS-2-Richtlinie (Netzwerk- und Informationssicherheit) aus dem Jahr 2023, die deutliche Verschärfungen der EU-Vorschriften zur Cybersicherheit enthält. Sie muss bis 17. Oktober 2024 in nationales Recht umgesetzt werden. Seit Ende Juni 2024 liegt dazu in Deutschland der vierte Referentenentwurf zu einem NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz (NIS2UmsuCG) vor. Das Informationsblatt zu den neuen Anforderungen an die Cybersicherheit, das in Zusammenarbeit mit der Kanzlei reuschlaw erarbeitet wurde, steht auf der BVMed-Webseite zum Download bereit.

Dieser Artikel könnte Sie auch interessieren

Mit der NIS-2-Richtlinie werden die Anforderungen an die Cybersicherheit in der Medizinprodukte- und In-vitro-Diagnostika-Branche deutlich verschärft. Betroffen sind dabei Unternehmen ab 50 Beschäftigten oder einem Jahresumsatz von über 10 Millionen Euro. Aus den Vorgaben der NIS-2-Richtlinie ergeben sich unter anderem folgende Anforderungen: 

  • Governance und Awareness: Die Geschäftsführung muss Maßnahmen zur Cybersicherheit ergreifen und überwachen sowie sämtliche Mitarbeiter zur Cybersicherheit schulen. 
  • Management von Cybersicherheits-Risiken: Die Unternehmen müssen Risikoanalysen durchführen und dokumentieren. Identifizierte Risiken müssen durch technische und organisatorische Maßnahmen beherrschbar gemacht werden. Die Cybersicherheit muss hierbei nicht nur im Unternehmen selbst, sondern auch in der Lieferkette gewährleistet werden. 
  • Berichtspflichten: Erhebliche Cybersicherheits-Vorfälle müssen in einem gestuften Meldesystem an die zuständige Aufsichtsbehörde gemeldet werden. Je nach Vorfall sind bis zu 5 Meldungen erforderlich. Im Falle von erheblichen Cyberbedrohungen sind zudem die Empfänger der Dienste zu unterrichten. Die datenschutzrechtlichen Meldepflichten bleiben daneben bestehen.

Erst mit der Umsetzung der NIS-2-Richtlinie in deutsches Recht werden die Vorgaben zur Cybersicherheit für Unternehmen in Deutschland verbindlich. Im Rahmen der Verbändeanhörung hat das für das NIS2UmsuCG federführende Bundesinnenministerium angekündigt, bis Herbst 2024 einen Kabinettsentwurf vorzulegen und das parlamentarische Verfahren einzuleiten, sodass das Gesetz spätestens im Frühjahr 2025 ohne Übergangsfristen in Kraft treten soll.


Quelle: Bundesverband Medizintechnologie

24.07.2024

Verwandte Artikel

Photo

Artikel • Identity & Access Management (IAM)

NIS2-Compliance: Wie Krankenhäuser jetzt ihre Cybersicherheits-Lücken schließen

Die Uhr tickt: Bis zum 17. Oktober 2024 müssen Krankenhäuser in der EU die Standards der NIS2-Richtlinie erfüllen, um sich gegen zunehmende Cyberbedrohungen zu wappnen.

Photo

News • Medizinprodukte-Verordnung

MDR: Übergangsfristen für Zulassung verlängert

Neues zur Medical Device Regulation (MDR): Medizinprodukte-Hersteller erhalten mehr Zeit, um ihre Produkte auf die neue Verordnung umzustellen. Dabei spielt die Risikoklasse eine wichtige Rolle.

Photo

Artikel • Änderung zum Jahreswechsel 2022

IT-Sicherheit: Gesetz nimmt auch kleine Kliniken in die Pflicht

KRITIS oder nicht – vor dem IT-Sicherheitsgesetz sind seit 2022 auch Kliniken unter der „magischen“ 30.000-Grenze gleich. Damit müssen sich nun auch kleine Häuser mit B3S befassen – obwohl…

Verwandte Produkte

Newsletter abonnieren