NIS2: Betroffenheitsprüfung für Apotheken

NIS2UmsuCG bezieht sich auch auf den Gesundheitssektor. Apotheken sollten deshalb prüfen, ob sie von den Vorgaben der EU-Richtlinie betroffen sind. Entscheidend ist die Größe der Apotheke und/oder der Jahresumsatz – die Schwellenwerte liegen für eine „wichtige Einrichtung“ bei mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mindestens zehn Millionen Euro – bezogen auf das Gesamtunternehmen also inklusive der Filialen. Apotheken, die die Schwellenwerte nicht erreichen, sollten trotzdem aktiv werden und die Betroffenheitsprüfung nach NIS2 für Apotheken durchführen.

Betroffenheitsprüfung nach NIS2

Bei der Betroffenheitsprüfung sind verschiedene Fragen zu beantworten. Los geht es mit: Ist das Unternehmen Betreiber einer kritischen Anlage? Das sind unter Umständen auch kleinere Apotheken, weil sie zum Gesundheitssektor gehören. Es gilt jedoch die Vorgabe für eine „kritische Anlage“, dass mindestens 4.650.000 verschreibungspflichtige Arzneimittelpackungen pro Jahr abgegeben werden müssen. Erreichen Apotheken den Wert, gelten folgende Pflichten:

• Kontaktstelle für die betriebene kritische Infrastruktur benennen
• IT-Störungen oder erhebliche Beeinträchtigungen melden
• IT-Sicherheit auf dem Stand der Technik umsetzen.

Darüber ist alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Nachweis zu erbringen.

Erreichen Apotheken den Wert an abgegebenen Rx-Packungen nicht, geht es weiter zur nächsten Frage: Bietet das Unternehmen entgeltlich Waren oder Dienstleistungen an und ist einer der in Anlage 1 des BSIG bestimmten Einrichtungsarten zuzuordnen? Dies ist mit Ja zu beantworten. Die nächste Frage lautet: Beschäftigt das Unternehmen mindestens 250 Mitarbeitende? Bei der Berechnung der Zahl der Angestellten, müssen Inhaber:innen alle Mitarbeitenden in ihren Apotheken berücksichtigen, und zwar unabhängig von der Funktion. Entscheidend sind Vollzeitäquivalente, daher werden Teilzeitkräfte anteilig berechnet. Es zählt die Gesamtanzahl der Mitarbeitenden aller unter einem Inhaber/einer Inhaberin oder einer OHG geführten Apotheken.

Bei weniger als 250 Mitarbeitenden sind der Jahresumsatz und die Jahresbilanzsumme entscheidend. Hier gelten Schwellenwerte von einem Jahresumsatz von mehr als 50 Millionen Euro und eine Jahresbilanzsumme von mehr als 43 Millionen Euro.

Liegen Apotheken unter den Schwellenwerten, gilt es die Frage zu beantworten, ob mindestens 50 Mitarbeitende beschäftigt werden. Auch hier sind wieder alle Mitarbeitenden in allen eigenen Apotheken zu berücksichtigen. Apotheken mit kleinerem Team, die die Schwellenwerte von zehn Millionen Euro Jahresumsatz und Jahresbilanzsumme zehn Millionen Euro unterschreiten, sind nicht von NIS2 betroffen – Sonderfälle wie beispielsweise Zytostatikaherstellung oder Heimversorgung gibt es nicht.

Apotheken, die einen Jahresumsatz von mehr als 50 Millionen Euro und eine Jahresbilanzsumme von mehr als 43 Millionen Euro haben oder mehr als 50 Mitarbeitende beschäftigen oder im weiteren Verlauf der Betroffenheitsprüfung die Frage nach dem Jahresumsatz von mehr als von zehn Millionen Euro und der Jahresbilanzsumme von mehr als zehn Millionen Euro mit Ja beantworten, sind von NIS2 betroffen und müssen die entsprechenden Pflichten erfüllen. Das sind die Vorgaben:

• Registrierung beim BSI nach § 33 BSIG – innerhalb von drei Monaten nach Feststellung der Betroffenheit; Apotheken müssen ein zentrales digitales Unternehmenskonto für Verwaltungs- und Meldeprozesse erstellen (Mein Unternehmenskonto/MUK). Mit diesem registrieren sich Apotheken im nächsten Schritt im BSI-Portal. Achtung, die Portalfreischaltung erfolgt erst ab dem 6. Januar. Für die Registrierung sind folgende Angaben zu machen:
  • Name der EinrichtungRechtsform
  • Handelsregisternummer
  • Anschrift
  • Kontaktdaten (E-Mail, Telefonnummer, öffentliche IP-Adressbereiche (Dynamische IP-Adressen – wie bei DSL-Anschlüssen – müssen nicht angegeben werden, es sei denn, sie stammen aus einem fest zugeordneten IP-Adressbereich der Einrichtung. In diesem Fall wäre dieser Bereich anzugeben.))
  • relevanter Sektor oder Branche
  • Auflistung der EU-Mitgliedsstaaten, in denen Dienste nach Anlage 1 und 2 erbracht werden
  • zuständige Aufsichtsbehörde des Bundes und/oder der Länder
• Cybersicherheitsrisikomanagementmaßnahmen nach § 30 BSIG umsetzen. Hierunter fallen beispielsweise ein Backup-Management, Konzepte für Zugriffskontrollen oder Multi-Faktor-Authentifizierung.
• erhebliche Sicherheitsvorfällen gemäß § 32 BSIG unverzüglich, spätestens nach 24 Stunden an das BSI melden.Dabei soll auch eine Ersteinschätzung angegeben werden, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte. Innerhalb von 72 Stunden müssen eine Bestätigung der Meldung sowie eine Bewertung des Vorfalls in Bezug auf den Schweregrad und dessen Auswirkungen erfolgen. Spätestens einen Monat nach Übermittlung dieser Meldung ist gemäß den geltenden Anforderungen eine Abschlussmeldung einzureichen.
• Schulungspflichten nach § 38 BSIG. Inhaber müssen zudem regelmäßig an Schulungen teilnehmen, um die notwendigen Kenntnisse und Fähigkeiten zu erlangen, Risiken im Bereich der Informationstechnik zu erkennen, zu bewerten und entsprechende Risikomanagementpraktiken anzuwenden

Auch wenn Apotheken die IT komplett ausgelagert haben, liegt die Verantwortung beim Inhaber/der Inhaberin. Die Apotheke muss dafür sorgen, dass der Dienstleister die nötigen NIS2-Vorgaben umsetzt, diese regelmäßig überprüft werden und dass Vorfälle ordnungsgemäß gemeldet werden.

Unter anderem die Apothekerkammer Sachsen-Anhalt empfiehlt auch Inhaber:innen, die nicht unter die NIS2-Richtlinie fallen, ihre IT-Sicherheitsmaßnahmen zu überprüfen und ein Sicherheitskonzept zu erstellen.