Apotheken im Fadenkreuz: Neue Cybersicherheitsvorgaben der EU

Die Digitalisierung macht auch vor Apotheken nicht halt – und damit rücken sie verstärkt ins Visier der Cybersicherheitsvorgaben. Die neuen EU-Richtlinien könnten zahlreiche Apotheken zur „Kritischen Infrastruktur“ (KRITIS) machen. Was das bedeutet und wie sich Betriebe vorbereiten können, erfahren Sie hier.

Warum Apotheken bald als KRITIS gelten könnten

Apotheken spielten bislang eine untergeordnete Rolle in der Definition Kritischer Infrastrukturen. Grund dafür waren hohe Schwellenwerte: Nur Betriebe, die jährlich 4.650.000 verschreibungspflichtige Arzneimittel abgaben, galten bislang als KRITIS. Diese Schwelle wurde in der Praxis von keiner Apotheke erreicht.

Doch das ändert sich. Mit der neuen NIS-2-Richtlinie, die seit 2022 in der EU besteht, wird der Anwendungsbereich erheblich erweitert. Bis März 2025 wird Deutschland die Richtlinie voraussichtlich in nationales Recht umsetzen. Der neue Gesetzentwurf für das Cybersicherheitsstärkungsgesetz sieht deutlich niedrigere Schwellenwerte vor:

• Mindestens 50 Beschäftigte oder
  
• Jahresumsatz und Bilanzsumme über jeweils 10 Millionen Euro.
  

Laut aktuellen Zahlen überschreiten rund 1,5 Prozent der deutschen Apotheken die Umsatzgrenze von 10 Millionen Euro. Eine kleine, aber signifikante Anzahl an Betrieben wird daher künftig als KRITIS eingestuft.

Welche neuen Pflichten auf Apotheken zukommen

Betriebe, die unter die neue KRITIS-Definition fallen, müssen sich auf umfassende Änderungen einstellen:

• Risikomanagement
  
• Jede Apotheke wird verpflichtet, ein Cybersicherheits-Risikomanagement einzuführen. Dazu gehören Schutzmaßnahmen vor Cyberangriffen und eine regelmäßige Evaluierung der IT-Systeme.
  
• Meldepflichten
  
• Sicherheitsvorfälle müssen unverzüglich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
  
• Dokumentation und Schulung
  
• Apotheken müssen alle Sicherheitsmaßnahmen dokumentieren und Mitarbeitende regelmäßig schulen.
  
• Registrierung beim BSI
  
• Betriebe müssen sich als KRITIS-Betreiber beim BSI registrieren lassen und stehen fortan unter dessen Aufsicht.
  

Bußgelder und Haftung

Verstöße können teuer werden: Bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes drohen als Bußgeld. Besonders alarmierend: Auch die persönliche Haftung der Geschäftsleitung ist nicht ausgeschlossen, wenn gesetzliche Vorgaben nicht eingehalten werden.
Ab wann gelten die neuen Regeln?

Das Gesetz wird voraussichtlich im März 2025 in Kraft treten. Danach wird das BSI eine Übergangsfrist von drei Jahren einräumen, bevor erste Prüfungen durchgeführt werden.

Wie Apotheken sich vorbereiten können

Die ABDA (Bundesvereinigung Deutscher Apothekerverbände) arbeitet bereits an einem IT-Sicherheitskonzept, das Apotheken bei der Umsetzung der neuen Vorgaben unterstützen soll. Auch Softwarehersteller im Apothekenbereich sind eingebunden, um branchenspezifische Lösungen zu entwickeln.

Zusätzlich bietet das BSI eine „NIS-2-Betroffenheitsprüfung“ an, mit der Apotheken klären können, ob sie unter die neue KRITIS-Definition fallen.

Handlungsbedarf für Apotheken

Mit den neuen KRITIS-Regeln stehen Apotheken vor einem Paradigmenwechsel. Während bislang nur Großbetriebe betroffen waren, geraten nun auch mittelständische und größere Apotheken in den Fokus. Die Zeit bis März 2025 sollten Apotheken nutzen, um sich auf die neuen Anforderungen vorzubereiten und mögliche Sicherheitslücken zu schließen.

Die Botschaft ist klar: IT-Sicherheit wird Chefsache – und das nicht nur, um Bußgelder zu vermeiden, sondern auch, um die Versorgungssicherheit und das Vertrauen der Patienten zu gewährleisten.