NIS-2 ist angekommen.

Die erste Version der europäischen Richtlinie zur Netz- und Informationssystemsicherheit (NIS, EU-RL 2016/1148) ist bereits seit 2016 in Kraft. Damit wurden erstmals umfassende Regelungen für Cybersicherheit im Bereich der kritischen Infrastruktur in der EU definiert. Da EU-Richtlinien ja von den Mitgliedsstaaten in nationales Gesetz umgesetzt werden müssen, erfolgte das in Österreich Ende 2018 im Netz- und Informationssystemsicherheitsgesetz NISG.

Die dazugehörige nationale Verordnung (NISV) definierte dabei unter anderem auch die sog. wesentlichen Dienste – also jene Unternehmen und Organisationen, die im Sinne dieses Gesetzes der kritischen Infrastruktur zuzuordnen sind. Im § 8 NISV wurden für den Sektor Gesundheitswesen damals lediglich zwei wesentliche Dienste definiert:

• Krankenanstalten mit einem gewissen Bettenrichtwert
• Leitstellenbetreiber für Notfallrettungstransporte

Somit war die Zahl der betroffenen Gesundheitseinrichtungen sehr überschaubar. Diese wurden behördlich ermittelt und per Bescheid darüber informiert.

Als Reaktion auf zunehmende Digitalisierung und Bedrohungen durch Cyberangriffe wurde die zweite Version der europäischen Richtlinie zur Netz- und Informationssystemsicherheit (NIS-2, EU-RL 2022/2555) verabschiedet und diese ist seit dem 16.01.2023 in Kraft. Darin werden höhere Sicherheitsanforderungen, schärfere und einheitlichere Sanktionsregelungen sowie eine – besonders im Sektor Gesundheitswesen – deutliche Erweiterung der betroffenen Unternehmen und Organisationen definiert.

Die Umsetzung in nationales Recht hat in diesem Fall etwas gedauert und Österreich hat die Frist deutlich überzogen. Schlussendlich wurde das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) aber am 23.12.2025 kundgemacht und wird mit 01.10.2026 in Kraft treten.

Wie erwähnt haben sich nun die Rahmenbedingungen gerade im sog. „Sektor mit hoher Kritikalität“ Gesundheitsweisen derart geändert, dass künftig gem. Anlage 1 des NISG 2026 alle Gesundheitsdienstleister im Sinne des Art. 3 lit g der EU-Richtlinie über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (EU-RL 2011/24) grundsätzlich betroffen sind:

Im Sinne dieser Richtlinie bezeichnet der Ausdruck „Gesundheitsdienstleister“ jede natürliche oder juristische Person oder sonstige Einrichtung, die im Hoheitsgebiet eines Mitgliedstaats rechtmäßig Gesundheitsdienstleistungen erbringt.

In den Erläuterungen zum österreichischen NISG 2026 ist zu lesen:

Es werden daher insbesondere folgende Einrichtungen als Gesundheitsdienstleister verstanden: Krankenanstalten im Sinne des Krankenanstalten- und Kuranstaltengesetzes (KaKuG), Apotheken sowie Einrichtungen des Rettungswesens.

Über diese oben genannten Gesundheitsdienstleister hinaus sind auch noch folgende Unternehmen und Organisationen laut Anlage 1 des NISG 2026 direkt betroffen:

• EU-Referenzlaboratorien im Sinne des Art. 15 der EU-Verordnung zu schwerwiegenden grenzüberschreitenden Gesundheitsgefahren (EU-VO 2022/2371)
• Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des § 1 Arzneimittelgesetzes (AMG) ausüben
• bestimmte Einrichtungen, die pharmazeutische Erzeugnisse herstellen
• bestimmte Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Art. 22 der EU-VO 2022/123 eingestuft werden

Damit wird sich die Zahl der betroffenen Gesundheitseinrichtungen wohl deutlich erhöhen. Diese werden künftig auch nicht mehr behördlich ermittelt und per Bescheid darüber informiert, sondern müssen sich binnen drei Monaten ab Inkrafttreten des Gesetzes selbst beim neuen Bundesamt für Cybersicherheit registrieren.

Ergänzend kommt nun auch die Einbeziehung der Lieferkette von betroffenen Unternehmen und Organisationen neu hinzu, also deren Lieferanten und Dienstleister, was den Kreis jener Unternehmen, die sich mit NIS-2 beschäftigen müssen, nochmals deutlich erweitert.

Ergänzend zur oben beschriebenen Zuordnung eines Unternehmens oder einer Organisation zum Sektor Gesundheitswesen auf Basis der Anlage 1 des NISG 2026 erfolgt die Einstufung als sog. wesentliche oder wichtige Einrichtung auf Basis der Unternehmensgröße:

• Als wesentliche Einrichtung (§ 24 (1) NISG 2026) im Sektor Gesundheitswesen gelten große Unternehmen (mind. 250 Mitarbeiter ODER Jahresumsatz über 50 Mio. Euro und Jahresbilanzsumme über 43 Mio. Euro).
• Als wichtige Einrichtung (§ 24 (2) NISG 2026) im Sektor Gesundheitswesen gelten mittlere Unternehmen (mind. 50 Mitarbeiter ODER Jahresumsatz und Jahresbilanzsumme über 10 Mio. Euro).

§ 32 NISG 2026 regelt die von wesentlichen und wichtigen Einrichtungen umzusetzenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit. Diese müssen geeignet und verhältnismäßig in technischer, operativer und organisatorischer Hinsicht umgesetzt werden, um die Risiken für die Sicherheit der Netz- und Informationssysteme auf Basis des Stands der Technik und gegebenenfalls einschlägiger Normen zu reduzieren. Mindestens vorgeschrieben sind folgende Maßnahmen:

• Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Cybersicherheitsvorfällen
• Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
• Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
• grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
• Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung
• gesicherte Sprach-, Video- und Textkommunikation
• gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung