Große Hersteller und Großhändler von Arzneimitteln, aber auch die größten Krankenhäuser und medizinischen Einrichtungen in Polen werden bald verpflichtet sein, die Anforderungen der NIS-Richtlinie zu erfüllen - der ersten Cybersicherheitsrichtlinie in der Geschichte der EU. Das kostspielige Verfahren wird insbesondere für polnische Krankenhäuser eine große Herausforderung sein.
Laut Cybersicherheitsexperten können Unternehmen in angegriffene und noch nicht bekannte Unternehmen unterteilt werden. Untersuchungen zeigen, dass jedes Unternehmen diese Art von Vorfällen hatte und das Internet ein Bereich ist, in dem Sicherheitssysteme ständig angegriffen werden.
- Prognosen für die nahe Zukunft in diesem Bereich besagen, dass die bisher intensiven Angriffe in erster Linie auf die sogenannten gerichtet waren kritische Infrastruktur, d. h. Entitäten, die z.B.Unternehmen und Institutionen im Bereich Gesundheitswesen und Produktionslinien werden die nächsten Ziele sein - sagt Anwalt Marcin Jan Wachowski, Experte einer der ersten auf Cybersicherheitsberatung spezialisierten Anwaltskanzleien in Polen. Dies bringt die Arzneimittelhersteller in eine besondere Position am Scheideweg dieser beiden Bereiche.
- Es geht nicht nur um Bedrohungen, die Arzneimittelproduktionsprozesse zu stören oder auszusetzen, sondern auch um viel gefährlichere, wie z. B. Änderungen in Rezepten. Wenn diese Art von Angriff nicht erkannt wird, kann dies eine Gefahr für die Gesundheit und das Leben der Menschen darstellen, die das Medikament einnehmen, sagt Marcin Jan Wachowski. - Untersuchungen zu Cyber-Angriffen zeigen, dass das Unternehmen nach durchschnittlich 90 Tagen feststellt, dass es zum Ziel geworden ist. Während dieser Zeit kann ein potenziell gefährliches Medikament bereits den Weg in Apotheken finden, was Risiken und enorme Kosten mit sich bringt.
Eine Richtlinie gegen Hacker
Das Bewusstsein für Cyber-Bedrohungen war die Hauptvoraussetzung für die Schaffung der Richtlinie über Netz- und Informationssicherheit (abgekürzt als NIS) durch das Europäische Parlament, die im Juli 2016 verabschiedet wurde. Vor kurzem war die Europäische Kommission in einem besonderen Aufruf an 17 Länder, einschließlich Polen, verpflichtet, diese Vorschriften vollständig umzusetzen Gewährleistung eines gleichberechtigten Sicherheitsniveaus für Netzwerk- und Informationssysteme in der gesamten Union. Infolgedessen bereitete das polnische Parlament ein Gesetz über das nationale Sicherheitssystem vor, das am 28. August 2018 in Kraft trat. Digitale Dienstleister (Internetbrowser, Clouds, Handelsplattformen), die staatliche Verwaltung und die sogenannte Betreiber von Schlüsseldiensten, d. h. Unternehmen, deren IT-Sicherheit besonders wichtig ist. Schätzungen zufolge sind es in Polen etwas mehr als 300 Unternehmen - darunter Banken, Unternehmen aus der Energie- und Transportbranche. Fast ein Drittel werden Unternehmen und Institutionen aus dem Gesundheitssektor sein: Hersteller und Großhändler von Arzneimitteln, große medizinische Einrichtungen.
- Alle diese Unternehmen müssen eine Reihe kostspieliger und zeitaufwändiger Verpflichtungen erfüllen. Etwa 70 Prozent davon sind technologische Probleme, und die restlichen 30 Prozent sind rechtliche Probleme wie die Erstellung geeigneter Sicherheitsdokumentationen, die Behandlung von Vorfällen, das Risikomanagement und die Schulung des Personals - sagt Marcin Jan Wachowski.
Die Umsetzung des Gesetzes in Polen tritt gerade in die Umsetzungsphase ein - am 9. November ist die Frist für die Anzeige der Betreiber von Schlüsseldiensten abgelaufen, und derzeit werden Verwaltungsentscheidungen getroffen. Im Gesundheitswesen werden die Betreiber der Schlüsseldienste vom Gesundheitsminister angegeben.
- Jedes der angegebenen Unternehmen kann natürlich gegen diese Entscheidung Berufung einlegen, z. B. wenn es der Ansicht ist, dass es falsch eingestuft wurde. Die Verpflichtungen im Zusammenhang mit der Anpassung an die NUS wurden in drei mehrmonatige Phasen unterteilt. Nach einem Jahr wird es durch ein Sicherheitsaudit abgeschlossen, das alle zwei Jahre wiederholt wird - erklärt Marcin Jan Wachowski.
Hohe Kosten, wenige Spezialisten
Die Anpassung an die Vorschriften zur IT-Sicherheit ist eine finanzielle und organisatorische Herausforderung. Experten zufolge sollten die Vertreter der in Polen tätigen Pharmaunternehmen damit die geringsten Probleme haben. Dies sind in der Regel globale High-Tech-Unternehmen mit Zugriff auf Cloud-basierte Tools. Daher ist die Implementierung von NIS hier relativ einfach. Großhändler und Apothekenketten, die normalerweise externe Netzwerkadministratoren einsetzen, stehen vor einer etwas größeren Herausforderung. Dieser Prozess wird sicherlich das größte Problem für Krankenhäuser und medizinische Einrichtungen sein, hauptsächlich aus finanziellen Gründen.
- Wir haben kürzlich eine Studie für diese Art von Unternehmen vorbereitet, um bei der Beschaffung von Finanzmitteln zur Gewährleistung der Cybersicherheit zu helfen, und es stellte sich heraus, dass es keine Mittel für Innovationen oder Branchen gibt, die diesen Bereich abdecken würden. Die Situation ist also ziemlich schwierig. Der Staat verlangt von Krankenhäusern, dass sie dies tun, aber das Geld muss in ihrem eigenen Budget gefunden werden. Mittlerweile wissen wir alle, dass die finanzielle Situation des polnischen Gesundheitswesens nicht rosig ist, sagt Marcin Jan Wachowski
Selbst für Unternehmen, die keine Angst vor Kosten von mehreren hunderttausend Zloty haben, kann es jedoch ein Problem sein, Cybersicherheitsspezialisten zu finden. Die in Polen verfügbaren sind seit langem von wohlhabenden westlichen Unternehmen gefragt. Der Zugang zu Rechtsberatung, die bei der Erstellung von Dokumentationen oder speziellen Betriebszentren erforderlich ist, in denen CSIRT (Computer Security Incident Response Team) Vorfalldaten erfasst und verarbeitet, ist weniger problematisch.
Das Fehlen von Unterlagen und rechtlichen Verfahren, die an die Anforderungen des Gesetzes angepasst sind, setzt den Betreiber von Schlüsseldiensten Strafen aus, die bis zu zwei Millionen Zloty (oder bis zu das Doppelte der Vergütung für Personen, die solche Organisationen verwalten) erreichen können. Einer der ersten Fälle dieser Art, der ebenfalls mit einem Verstoß gegen die DSGVO zusammenhängt, wurde kürzlich in Portugal gemeldet, wo das Barreiro-Montijo-Krankenhauszentrum mit einer Geldstrafe von 400.000 EUR belegt wurde, weil vielen Menschen, die dies nicht taten, fahrlässig Zugang zu medizinischen Daten gewährt wurde sollte einen solchen Zugang haben.
