#Cybersicherheit ist nicht nur eine Aufgabe für #Kritische #Infrastrukturen! Gerade den #Gesundheitssektor trifft einerseits besondere Verantwortung für die #Patientenversorgung, andererseits steht er aber vor besonderen wirtschaftlichen und personellen Herausforderungen in der Umsetzung von Maßnahmen – und das in der Praxis mehr als manch anderer #KRITIS-Sektor. Heute war ich deshalb zu Gast im #Klinikum #Osnabrück, um zum Thema Cybersecurity in der #Gesundheitsversorgung zu sprechen – und insbesondere, um #ITSiG und #NIS2 einmal gegenüberzustellen, was #Anwendungsbereich und #Risikomanagement angeht. Fazit: Bestandskliniken sollten sich erst einmal weiterhin an den aktuellen #B3S „Medizinische Versorgung“ von der Deutschen Krankenhaus Gesellschaft (#DKG) halten, der im Gegensatz zu manch anderem B3S nicht nur viele Details enthält, sondern auch zahllose Entwicklungen von NIS2 schon jetzt einbezieht und daher vermutlich nur punktuell ergänzt werden muss. Und auch da zeigt sich wieder einmal: NIS2 macht nicht alles neu, sondern basiert auf #NIS1. Hier sollte zunächst die Verbesserung der #Reifegrade im Fokus stehen. Kleinere Häuser und Kliniken können diesen B3S jedoch ebenso als solide #Orientierungshilfe verwenden, um ihr #Informationssicherheitsmanagementsystem aufzubauen – natürlich gemessen an den zur Verfügung stehenden limitierten Ressourcen, die vermutlich die größten Herausforderungen mit sich bringen werden. Wie auch im Gesundheitssektor gilt aber überall: Es gibt für die allermeisten durch NIS2 neu betroffenen Branchen weder beim #BSI noch sonst anderswo eine sofort verfügbare #Blaupause zur Umsetzung von #Cybersecurity #Compliance, die automatisch mit Umsetzung von #NIS2UmsuCG allgemein zur Verfügung steht. Wichtig ist deshalb, zunächst vor allem dokumentiert nachweisen zu können, Prozesse zur #Risikoanalyse und #Risikomitigation angestoßen zu haben, um die erste Schritte in Richtung NIS2-Compliance zu tun.