Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

KRITIS-Pflichten für Apotheken

Strengere Cyberauflagen und Versicherungsschutz für größere Betriebe

Mit der geplanten Anpassung der KRITIS-Verordnung rückt die Cybersicherheit für Apotheken stärker in den Fokus. Künftig gelten Apotheken ab einer bestimmten Betriebsgröße als kritische Infrastrukturen, was sie zur Umsetzung umfassender IT-Schutzmaßnahmen verpflichtet. Neben strengen Melde- und Dokumentationspflichten müssen sie nun ein Risikomanagement etablieren und ihre Mitarbeiter regelmäßig schulen. Angesichts wachsender Cyberbedrohungen und der Verantwortung für sensible Gesundheitsdaten wird für viele Apotheken auch die Absicherung durch eine Cyberversicherung unerlässlich, um Vermögensschäden abzufedern. Die Branche steht vor der Herausforderung, Cybersicherheit fest in den Apothekenalltag zu integrieren.

Mit dem Voranschreiten der Digitalisierung werden Apotheken zunehmend zur Zielscheibe für Cyberkriminalität. Durch die Einführung des E-Rezepts und die Verknüpfung zur Telematikinfrastruktur sind Apotheken nicht nur technologisch aufgerüstet, sondern auch weitaus stärker auf vernetzte Systeme angewiesen als früher. Diese Abhängigkeit von digitalen Netzwerken macht Apotheken zu einem potenziellen Einfallstor für Hacker, die es zunehmend auf Gesundheitsdaten abgesehen haben. Cyberangriffe auf Apotheken könnten erhebliche wirtschaftliche Schäden verursachen und das Vertrauen der Patienten in die Versorgung erschüttern. Um dieser Bedrohung entgegenzuwirken, hat die Europäische Union den Schutz kritischer Infrastrukturen, zu denen auch das Gesundheitswesen zählt, weiter verstärkt.

In Deutschland definiert die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV), welche Einrichtungen besonderen Schutzmaßnahmen unterliegen. Bisher waren Apotheken jedoch nur dann als kritische Infrastruktur eingestuft, wenn sie jährlich mehr als 4.650.000 verschreibungspflichtige Arzneimittel-Packungen abgeben – ein Schwellenwert, den kaum eine Apotheke erreicht. Jetzt plant der deutsche Gesetzgeber eine Überarbeitung der KRITIS-Verordnung, die ab März 2025 in Kraft treten soll. Künftig gelten Apotheken bereits dann als „wichtige Einrichtungen“, wenn sie mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz von über zehn Millionen Euro aufweisen. Dies bedeutet für viele große Apotheken eine neue und umfangreiche Verpflichtung zur Cybersicherheit, da sie durch die neue Regelung zusätzliche Schutzanforderungen erfüllen müssen.

Betroffene Apotheken sind ab März verpflichtet, ein umfassendes Risikomanagement für ihre IT-Systeme zu etablieren. Dies umfasst die fortlaufende Identifikation, Bewertung und Steuerung von Risiken, die von Cyberbedrohungen ausgehen. Dabei reicht es nicht mehr, nur einfache Sicherheitsmaßnahmen zu implementieren; vielmehr sollen Apotheken sicherstellen, dass ihre Systeme auch in kritischen Situationen widerstandsfähig bleiben. Neben der Einrichtung eines IT-Risikomanagements sieht die Verordnung eine detaillierte Dokumentationspflicht vor. So müssen Maßnahmen zur Abwehr digitaler Bedrohungen kontinuierlich aktualisiert und überprüft werden. Sollte dennoch ein IT-Sicherheitsvorfall eintreten, sind Apotheken verpflichtet, diesen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Diese Meldepflicht dient dazu, die Gefahrenlage im Gesundheitswesen besser zu erfassen und gezielte Präventionsmaßnahmen zu entwickeln.

Eine besondere Herausforderung besteht in der Schulung des Apothekenpersonals. Die neuen KRITIS-Regeln verlangen von den betroffenen Apotheken, dass ihre Mitarbeiter regelmäßig für Cybersicherheit sensibilisiert und geschult werden. Dies ist wichtig, um sicherzustellen, dass das Personal Risiken erkennt und im Ernstfall angemessen reagiert. Apotheken, die diesen Anforderungen nicht nachkommen, drohen empfindliche Bußgelder, was den Druck erhöht, die neuen Pflichten sorgfältig und fristgerecht umzusetzen.

Um den Übergang zu erleichtern, stellt die Bundesvereinigung Deutscher Apothekerverbände (ABDA) ein Informationsblatt bereit und arbeitet zusammen mit dem Bundesverband Deutscher Apotheken-Softwarehäuser (ADAS) an einem maßgeschneiderten IT-Sicherheitskonzept für Apotheken. In der Praxis bleibt die Umsetzung jedoch für viele Apothekenbetreiber herausfordernd, da diese Anforderungen in eine Zeit fallen, in der die Apothekenbranche ohnehin mit einer Vielzahl von Schwierigkeiten zu kämpfen hat. Neben steigendem Kostendruck und dem Mangel an qualifiziertem Personal wächst die Konkurrenz durch Online-Apotheken stetig, was viele Betreiber bereits an ihre Grenzen bringt.

Vor diesem Hintergrund wird auch der Abschluss einer Cyberversicherung zunehmend relevant. Angesichts der zunehmenden Häufigkeit und der potenziell hohen Schäden durch Cyberangriffe erkennen Apothekenbetreiber die Notwendigkeit, sich gegen Vermögensschäden abzusichern, die durch Cybervorfälle entstehen können. Eine solche Versicherung kann finanzielle Schäden, die durch Datenverluste, Erpressung oder Betriebsunterbrechungen entstehen, abdecken und Apothekenbetreiber vor existenziellen Verlusten bewahren. Dies gilt besonders für Apotheken, die künftig unter die neuen KRITIS-Kriterien fallen und mit erhöhten Sicherheitsanforderungen konfrontiert werden.

Kommentar:

Die Aktualisierung der KRITIS-Verordnung bringt notwendige Schritte zur Absicherung kritischer Infrastrukturen wie Apotheken mit sich. In einer zunehmend vernetzten und digitalisierten Welt ist der Schutz sensibler Daten im Gesundheitswesen unerlässlich. Cyberangriffe auf Apotheken gefährden nicht nur die IT-Systeme, sondern können tiefgreifende Folgen für die Patientenversorgung und das Vertrauen in das Gesundheitswesen haben. Die neuen gesetzlichen Anforderungen setzen deshalb ein wichtiges Zeichen, dass Cybersicherheit im Gesundheitssektor Priorität hat.

Für Apothekenbetreiber bedeutet dies jedoch auch, dass ein beträchtlicher administrativer Aufwand auf sie zukommt. Die Anforderungen an ein IT-Risikomanagement, die Meldepflichten an das BSI und die Pflicht zu regelmäßigen Schulungen verlangen von Apotheken, dass sie ihr IT-Sicherheitsniveau auf ein neues, anspruchsvolles Level heben. Gerade für Apotheken, die sich ohnehin in einem wirtschaftlich angespannten Umfeld befinden, wird dies zur Belastungsprobe. Neben der Kernaufgabe der Patientenversorgung und dem alltäglichen Kampf gegen Kostensteigerungen wird nun die Cybersicherheit zu einem unverzichtbaren Faktor. Hier ist die Unterstützung durch die ABDA und ADAS, die praxisnahe IT-Sicherheitskonzepte und Schulungsangebote entwickeln, von entscheidender Bedeutung, um die Apotheken nicht zu überfordern und gleichzeitig die Sicherheit zu gewährleisten.

Die Cyberversicherung spielt in diesem Zusammenhang eine bedeutende Rolle und wird künftig für Apotheken ein zentrales Element des Risikomanagements darstellen. In Zeiten zunehmender Cyberbedrohungen ist der finanzielle Schutz vor Vermögensschäden für Apotheken unerlässlich, um die Geschäftskontinuität zu gewährleisten und existenzielle Verluste abzufedern. Neben den Maßnahmen zur Cybersicherheit bildet die Cyberversicherung somit eine wichtige zweite Schutzebene, die sicherstellt, dass betroffene Apotheken finanzielle Schäden auffangen können, wenn Angriffe dennoch erfolgreich sind.

Letztlich stellt die neue Verordnung sowohl Herausforderung als auch Chance dar: Die Einhaltung der KRITIS-Vorgaben erfordert einen strukturellen und kulturellen Wandel in Apotheken, weg von traditionellen Ansätzen hin zu einer digital abgesicherten Organisation. Entscheidend wird sein, dass die Branche Cybersicherheit nicht nur als lästige Pflicht ansieht, sondern als zentralen Bestandteil des modernen Apothekenbetriebs. Nur so können die Apotheken langfristig eine starke und vertrauenswürdige Säule im deutschen Gesundheitswesen bleiben.

Von Engin Günder, Fachjournalist

Zurück zur Übersicht