- Cybersicherheit BVMed informiert über neue Vorschriften zur Cybersicherheit
Auf die Hersteller von Medizinprodukten kommen neue Vorschriften zur Cybersicherheit zu, über die der Bundesverband Medizintechnologie (BVMed) mit einem neuen Informationsblatt informiert. Grundlage ist die europäische NIS-2-Richtlinie (Netzwerk- und Informationssicherheit) aus dem Jahr 2023, die deutliche Verschärfungen der EU-Vorschriften zur Cybersicherheit enthält. Sie muss bis 17. Oktober 2024 in nationales Recht umgesetzt werden. Seit Ende Juni 2024 liegt dazu in Deutschland der vierte Referentenentwurf zu einem NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz (NIS2UmsuCG) vor. Das BVMed-Informationsblatt zu den neuen Anforderungen an die Cybersicherheit, das in Zusammenarbeit mit der Kanzlei reuschlaw erarbeitet wurde, kann unter www.bvmed.de/cybersicherheit heruntergeladen werden.
PressemeldungBerlin, 22.07.2024, 63/24
Mit der NIS-2-Richtlinie werden die Anforderungen an die Cybersicherheit in der Medizinprodukte- und In-vitro-Diagnostika-Branche deutlich verschärft. Betroffen sind dabei Unternehmen ab 50 Beschäftigten oder einem Jahresumsatz von über 10 Millionen Euro. Aus den Vorgaben der NIS-2-Richtlinie ergeben sich unter anderem folgende Anforderungen:
- Governance und Awareness: Die Geschäftsführung muss Maßnahmen zur Cybersicherheit ergreifen und überwachen sowie sämtliche Mitarbeiter:innen zur Cybersicherheit schulen.
- Management von Cybersicherheits-Risiken: Die Unternehmen müssen Risikoanalysen durchführen und dokumentieren. Identifizierte Risiken müssen durch technische und organisatorische Maßnahmen beherrschbar gemacht werden. Die Cybersicherheit muss hierbei nicht nur im Unternehmen selbst, sondern auch in der Lieferkette gewährleistet werden.
- Berichtspflichten: Erhebliche Cybersicherheits-Vorfälle müssen in einem gestuften Meldesystem an die zuständige Aufsichtsbehörde gemeldet werden. Je nach Vorfall sind bis zu 5 Meldungen erforderlich. Im Falle von erheblichen Cyberbedrohungen sind zudem die Empfänger:innen der Dienste zu unterrichten. Die datenschutzrechtlichen Meldepflichten bleiben daneben bestehen.
Erst mit der Umsetzung der NIS-2-Richtlinie in deutsches Recht werden die Vorgaben zur Cybersicherheit für Unternehmen in Deutschland verbindlich. Im Rahmen der Verbändeanhörung hat das für das NIS2UmsuCG federführende Bundesinnenministerium angekündigt, bis Herbst 2024 einen Kabinettsentwurf vorzulegen und das parlamentarische Verfahren einzuleiten, sodass das Gesetz spätestens im Frühjahr 2025 ohne Übergangsfristen in Kraft treten soll.
Zu der NIS-2-Richtlinie zur Cybersicherheit bietet die BVMed-Akademie am 9. September 2024 ein Webinar an. Dabei geht es neben einem tiefgreifenden Verständnis der rechtlichen Vorgaben insbesondere um praktische Lösungen, wie die neuen Vorgaben effektiv in Unternehmen umgesetzt werden können. Programm, Konditionen und Anmeldung unter: www.bvmed.de/nis2-24
Der BVMed repräsentiert über 300 Hersteller und Zulieferer der Medizintechnik-Branche, Hilfsmittel-Leistungserbringer und Homecare-Versorger sowie den medizinischen Fach- und Großhandel. Die MedTech-Branche (Hersteller inkl. Kleinstunternehmen) beschäftigt in Deutschland insgesamt rund 265.000 Menschen und erwirtschaftet einen Gesamtumsatz von 55 Mrd. Euro. Nach der Wirtschaftsstatistik gibt es 1.480 MedTech-Hersteller mit mehr als 20 Beschäftigten, die über 161.000 Mitarbeitende und einen Gesamtumsatz von über 40 Milliarden Euro haben. 68 Prozent des MedTech-Umsatzes werden im Export erzielt. Rund 9 Prozent des Umsatzes werden in Forschung und Entwicklung investiert. 93 Prozent dieser Unternehmen sind KMU. Der BVMed ist die Stimme der deutschen MedTech-Branche und vor allem des MedTech-Mittelstandes.
