Die NIS-2 (Network and Information Security) Richtline ist eine europäische Richtlinie (Directive (EU) 2022/2555), die innerhalb der EU die Mindeststandards für die Cybersecurity festlegt.
Betrifft diese Richtlinie auch IVD- und Medizinproduktehersteller? Falls ja, was verlangt sie und was sollten die Hersteller tun? Antworten gibt Ihnen dieser Fachartikel.
1. Um was es bei NIS-2 geht
a) Zielsetzung
Die Bedrohungen der IT-Infrastrukturen durch Cyberangriffe nehmen zu. Entsprechend stellen die Gesetzgeber zunehmend mehr Anforderungen, welche die Unternehmen einhalten müssen.
Ein Beispiel ist die NIS-2, die EU-Richtlinie 2022/2555, welche die EU am 27.12.2022 veröffentlicht hat. NIS steht für „Network and Information Security“. Die Ziffer zwei deutet an, dass es bereits eine ältere Richtlinie zur Cybersecurity aus dem Jahr 2016 gibt.
Die wichtigsten Ziele der NIS2 sind:
- Erhöhung der Cybersicherheit durch die Verbesserung der Sicherheit von Netzwerk- und Informationssystemen
- Bessere Zusammenarbeit durch verstärkte Kommunikation und Informationsaustausch zwischen den EU-Mitgliedsstatten
- Höhere Widerstandsfähigkeit wichtiger Sektoren wie Energie, Verkehr und Gesundheitswesen gegenüber Cyberbedrohungen
- Einführung der Meldepflicht von Sicherheitsvorfällen für Betreiber kritischer Dienste und digitale Dienstanbieter
- Verstärkter Schutz der Vertraulichkeit und Integrität von Daten, insbesondere personenbezogener Daten
- Unterstützung bei der Erkennung und Reaktion auf Cyberangriffe
b) Nationale Umsetzung
Wie alle EU-Richtlinien zwingt auch die NIS-2 die EU-Mitgliedsstaaten, die Anforderungen in nationales Recht überführen. In diesem Fall muss das bis Oktober 2024 geschehen sein.
In Deutschland steht zu diesem Zeitpunkt der am 24.07.2024 verabschiedete Entwurf(!) für das NIS-2 Umsetzungsgesetz (NIS2UmsuCG) bereit. Dieses Gesetz wiederum legt fest, dass das „BSI-Gesetz“ (BSIG) erlassen und insgesamt 32 andere Gesetze und Verordnungen wie das Telekommunikationsgesetz und das DIGA-Gesetz geändert werden sollen (s. Abb. 1).
Das NIS-2 möchte, dass die Mitgliedsstaaten nationale Sicherheitsstrategien verabschieden und zuständige nationale Behörden für das Cyberkrisenmanagement sowie zentrale Anlaufstellen und Computer-Notfallteams benennen oder einrichten.
Der o.g. Entwurf lässt erkennen, dass in Deutschland das Bundesamt für Sicherheit in der Informationstechnik BSI die verantwortliche Behörde sein wird.
Die Richtlinie NIS-2 kann durch Durchführungsakte ergänzt werden.
2. Wer von NIS-2 betroffen ist
Jeder IVD- oder Medizinproduktehersteller, der mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz und eine Jahresbilanz von jeweils über 10 Millionen EUR aufweist, fällt in den Anwendungsbereich der NIS-2.
Die NIS-2 bestimmt ihren Anwendungsbereich im Artikel 2. Betroffen sind demnach wichtige und besonders wichtige Einrichtungen. Was dazu zählt, bestimmt für Deutschland der §28 BSIG. Dieser Paragraf verweist auf seine Anhänge I und II.
a) Sektoren besonders wichtiger und wichtiger Einrichtungen
Definition gemäß Anhang I und Anhang II
Der Anhang I des BSIG listet die „Sektoren besonders wichtiger und wichtiger Einrichtungen“. Er nennt im Kontext von IVDs und Medizinprodukten:
Unternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch nach Artikel 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates vom 25. Januar 2022 zu einer verstärkten Rolle der Europäischen Arzneimittel-Agentur bei der Krisenvorsorge und -bewältigung in Bezug auf Arzneimittel und Medizinprodukte (ABl. L 20 vom 31.1.2022, S. 1) („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit“) eingestuft werden
Die genannte EU-Verordnung 2022/123 bestimmt allerdings keine Liste der kritischen Medizinprodukte. Vielmehr verpflichtet sie eine „hochrangige Lenkungsgruppe für Engpässe bei Medizinprodukten“ „nach Feststellung einer Notlage im Bereich der öffentlichen Gesundheit“ eine Liste der Kategorien kritischer Medizinprodukte „anzunehmen“. Im Englischen heißt es „adopt“.
Ausnahmen
Ausgenommen sind „Einrichtungen“ mit weniger als 250 Mitarbeitenden, bei denen entweder der Jahresumsatz unter 50 Mio. EUR liegt oder die Jahresbilanzsumme 43 Mio. EUR unterschreitet.
Zusammenfassung
IVD- und MP-Hersteller falls nur dann unter die Definition, wenn eine oder mehrere ihrer Produkte im Fall einer Notlage in der Liste der kritischen Produkte aufgenommen werden und als zumindest mittelständige Unternehmen zählen (gemäß der genannten Mitarbeiter- und Finanzzahlen).
b) Sektoren wichtiger Einrichtungen
Definition gemäß Anhang II
Der Anhang II des BSIG listet die „Sektoren wichtiger Einrichtungen“. Das erscheint nicht überschneidungsfrei mit dem Anhang I, ist es allerdings definitionsgemäß.
Er betrifft im Kontext von Medizinprodukten und IVDs:
- Unternehmen, die Medizinprodukte nach Artikel 2 Nummer 1 der Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates (ABl. L 117 vom 5.5.2017, S. 1) herstellen,
- und Unternehmen, die In-vitro-Diagnostika nach Artikel 2 Nummer 2 der Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates vom 5. April 2017 über In-vitro-Diagnostika und zur Aufhebung der Richtlinie 98/79/EG und des Beschlusses 2010/227/EU der Kommission (ABl. L 117 vom 5.5.2017, S. 176) herstellen,
- mit Ausnahme von Unternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch nach Artikel 22 der Verordnung (EU) 2022/123 des europäischen Parlaments und des Rates vom 25. Januar 2022 zu einer verstärkten Rolle der Europäischen Arzneimittel-Agentur bei der Krisenvorsorge und -bewältigung in Bezug auf Arzneimittel und Medizinprodukte (ABl. L 20 vom 31.1.2022, S. 1) („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit“) eingestuft werden
Ausnahmen
Ausgenommen sind „Einrichtungen“ mit weniger als 50 Mitarbeitenden, bei denen entweder der Jahresumsatz unter 10 Mio. EUR oder die Jahresbilanzsumme unter 10 Mio. EUR liegt.
Zusammenfassung
Alle IVD- und Medizinproduktehersteller fallen unter diese zweite Definition, falls sie nicht zu den kleinen Unternehmen (gemäß der genannten Mitarbeiter- und Finanzzahlen) zählen. Hersteller, die zur ersten Kategorie zählen, sind ebenfalls ausgenommen.
3. Was die wichtigsten Anforderungen sind
a) Überblick
Das BSIG verlangt von den wichtigen und besonders wichtigen Einrichtungen, sich nach dem Stand der Technik wirksam durch technische und organisatorische Maßnahmen zu schützen. Sie verlangt ein Risikomanagementsystem (Fokus IT-Sicherheit) inklusive Risikoanalyse, Risikobewertung und (z.T. vorgegeben) risikominierenden Maßnahmen.
Weiter bestehen Meldepflichten, die Pflicht zur Registrierung beim BSI sowie Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsführungen.
Die Anhänge unterscheiden zwar zwischen „Sektoren besonders wichtiger und wichtiger Einrichtungen“ und „Sektoren wichtiger Einrichtungen“. Aber die Anforderungen unterscheiden kaum zwischen „wichtigen Einrichtungen und besonders wichtigen Einrichtungen“. D.h. sie gelten für alle IVD- und Medizinproduktehersteller ab den genannten Größen.
b) Zusammenfassung
Die Anforderungen der NIS-2-Richtlinie bzw. die Anforderungen des im NIS2UmsuCG überarbeiteten BSIG haben eine hohe Überschneidung mit den Anforderungen eines Informationssicherheitsmanagementsystems (ISMS) z.B. nach ISO 27001:2022.
In anderen Worten: Die Umstellung auf NIS-2 Konformität ist für Hersteller, die kein Informationssicherheitsmanagementsystem (ISMS) implementiert haben, mit erheblichen Aufwänden verbunden.
Umgekehrt erfüllen die Unternehmen, die bereits ISO 27001:2022 konform arbeiten, bereits (weitgehend) die Anforderungen der NIS-2 bzw. der nationalen Gesetze. Das BSI (hier das British Standards Institut, nicht das deutsche Bundesamt) haben ein Mapping-Tool entwickelt, das die Anforderungen der NIS-2 mit dem Anhang A der ISO 27001:2022 gegenüberstellt.
4. Was gute nächste Schritte sind
Schritt 1: Betroffenheit klären
Sobald das NIS2UmsuCG in Kraft tritt, müssen die Hersteller die Anforderungen erfüllt haben. Eine Übergangsfrist ist nicht zu erwarten. D.h. die Unternehmen sollten zeitnah prüfen, ob sie unter NIS-2 bzw. NIS2UmsuCG fallen.
Schritt 2: Nicht erfüllte Anforderungen bestimmen
Falls ja, müssen sie sich mit der EU-Richtline bzw. mit dem NIS2UmsuCG auseinandersetzen und die nicht erfüllten Anforderungen bestimmen.
Unternehmen mit einem ISMS nach ISO 27001:2022 wird dies sehr leichtfallen. Denn deren Informationssicherheitsbeauftragter (ISB) dürfte leicht verstehen, was zu tun ist, und könnte die Deltas identifizieren.
Schritt 3: ISMS etablieren / ergänzen
Auch bei diesem Schritt werden sich die Unternehmen mit einem ISMS leichter tun, wenn es darum geht, die Lücken im ISMS zu schließen.
Für die anderen Unternehmen steht der Aufbau eines ISMS an. Denn die Vorgaben der NIS-2 und des deutschen Gesetzes laufen genau darauf hinaus, selbst wenn keine Konformität mit einer Norm wie der ISO 27001 gefordert wird.
Insbesondere ist eine Zertifizierung nach ISO 27001 oder den BSI-Standards optional.
Ersparen Sie sich unnötige Aufwände! Implementieren Sie insbesondere neben dem QMS kein(!) weiteres Managementsystem. Streben Sie vielmehr ein integriertes Managementsystem nach ISO 13485 und ISO 27001 (und ggf. weiterer Normen) an!
5. Fazit und Zusammenfassung
An regulatorischen Vorgaben mangelt es den IVD- und Medizinproduktehersteller sicherlich nicht. Daher wäre es völlig nachvollziehbar, wenn sie über noch mehr Richtlinien, Gesetze und Verordnungen wie die NIS-2 bzw. das NIS2UmsuCG bzw. das BSIG klagen. Sicherlich ist es auch diskussionswürdig, weshalb gerade diese Hersteller als „wichtige Einrichtungen“ gelten.
Allerdings sind die Cyber-Bedrohungen inzwischen so massiv geworden, dass es aus Sicht einer Geschäftsführung unverantwortlich (und sogar illegal) wäre, diesen potenziell existenzgefährdenden Bedrohungen nichts entgegenzusetzen.
Daher ist das neue Gesetz (mit Bußgeldern in Millionenhöhe) für manchen eine Motivation, das Überfällige jetzt anzugehen.
Das Johner Institut unterstützt IVD- und Medizinproduktehersteller bei der Implementierung von integrierten Managementsystemen nach ISO 13485 und ISO 27001. Melden Sie sich z.B. über unsere Kontaktseite.
Sehr nuetzlicher Artikel der die Situation schoen zusammenfasst. Eine Frage zu 2.a) – hier stellt die EMA eine Liste der ‚main therapeutic groups (MTGs) in crisis preparedness‘ zur Verfuegung (08 July 2022, EMA/243660/2022), die bei der Einordnung bzgl. besonders wichtiger Unternehmen hilft. Oder sehen Sie die Liste als nicht einschlaegig an?
Sehr geehrter Schatz, vielen Dank für Ihr wertschätzendes Feedback.
Zu Ihrer Frage, die List of the Main Therapeutic Groups of Medicinal Products bezieht sich derzeit nur auf pharmazeutische Produkte. Die in der Verordnung (EU) 2022/213 im Artikel 21 geforderte „Lenkungsgruppe für Engpässe bei Medizinprodukten“, welche u.a. für die „Liste kritischer Medizinprodukte und bereitzustellende Informationen“ verantwortlich ist, hat sich meines Wissens noch nicht formiert.
Mit freundlichen Grüßen
Katrin Schnetter
Ausgezeichneter Artikel, vielen Dank.
Eine Frage habe ich zu Kapitel 2
Sie schreiben:
…..50 Mitarbeiter beschäftigt ODER einen Jahresumsatz…..
Im Internet finde ich unterschiedliche Aussagen, ob es UND oder eine ODER ist.
Also Beispiel: Unternehmen mit 51 MA und 8,5 Jahresumsatz sind bei einem UND nicht betroffen, sehrwohl bei einem ODER.
Vielen Dank für ein Feedback
Sehr geehrter Herr Müller, vielen Dank für Ihr großartiges Feedback.
Im BSIG, Kapitel 1, Anwendungsbereich, § 28 sind die besonders wichtigen Einrichtungen und die wichtigen Einrichtungen definiert.
Besonders wichtige Einrichtungen: (4) mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.
Wichtige Einrichtungen: (4) mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.
Mit den besten Grüßen
Katrin Schnetter