Welche Apotheken gehören künftig zur Kritischen Infrastruktur?

Unsere Welt wird immer digitaler – und damit anfälliger für Cyberangriffe. Es gilt vor allem, die sogenannten Kritischen Infrastrukturen (KRITIS) zu schützen, also jene Einrichtungen, Anlagen oder Systeme, die unsere gesellschaftlichen Strukturen aufrechterhalten. Dazu zählen beispielsweise die Energie- und Wasserversorgung, aber auch die Gesundheitsversorgung. 

Apotheken bislang kaum ein Fall der KRITIS

Schon 2016 gab es eine erste europäische Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-Richtlinie), die der deutsche Gesetzgeber umsetzen musste. Dafür hat er das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) angepasst und die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV) erlassen. In der KritisV ist bestimmt, wer genau unter die Bestimmungen fällt. Apotheken sind hier grundsätzlich genannt – allerdings nur, soweit sie einen gewissen Schwellenwert erreichen: Sie zählen bislang zur Kritischen Infrastruktur, wenn sie pro Jahr 4.650.000 verschreibungspflichtige Arzneimittel-Packungen abgeben. Diesen Wert wird wohl kaum eine Apotheke erreichen. Selbst Krankenhäuser gehören nur dann zu den KRITIS, wenn sie mehr als 30.000 vollstationäre Behandlungsfälle im Jahr aufweisen können – das sind in der Regel nur die großen Universitätskliniken.

Nun steht ein Update der europäischen Vorgaben an. 2022 brachte die EU die NIS-2-Richtlinie auf den Weg, die unter anderem den Anwendungsbereich deutlich ausweitet – und damit auch für mehr Apotheken relevant wird. Eigentlich waren die EU-Mitgliedstaaten aufgefordert, die Richtlinie bis zum 17. Oktober 2024 umzusetzen. Das ist in Deutschland – und viele weiteren EU-Staaten – nicht gelungen. Immerhin läuft hierzulande das parlamentarische Verfahren für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz bereits. Der im Sommer vom Kabinett beschlossene Regierungsentwurf hat schon eine erste Runde im Bundesrat sowie die erste Lesung im Bundestag hinter sich, derzeit wird er federführend im Innenausschuss des Bundestags beraten. Mit einem Inkrafttreten wird im März 2025 gerechnet.

Der Gesetzentwurf setzt die Vorgaben der NIS-2-Richtlinie um – dies geschieht vor allem durch eine grundlegende Überarbeitung des BSIG, aber auch durch Änderungen an einer Reihe von Spezialgesetzen.

Die entscheidenden Kennzahlen

Doch was bedeutet dies konkret für Apotheken? Zunächst einmal, dass mehr Betriebsstätten als bislang als „wichtige“ Einrichtungen gelten werden. Nämlich dann, wenn sie

• mindestens 50 Mitarbeiter beschäftigen oder
• einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

Vor allem größere herstellende Apotheken und Spezialversorger können künftig also durchaus zur KRITIS zählen. Laut ABDA (Zahlen Daten Fakten 2024) überschritten im Jahr 2023 1,5 Prozent der Apotheken hierzulande die Umsatzschwelle von 10 Millionen Euro. Valide Zahlen zu den Beschäftigten gibt es nicht. 

Theoretisch könnten Apotheken sogar eine „sehr wichtige“ Einrichtung sein. Dann müssten sie aber mindestens 250 Beschäftigte oder mindestens 50 Millionen Euro Umsatz und eine Bilanzsumme von 43 Millionen Euro haben.

Apotheken, die unsicher sind, ob sie betroffen sind, können auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Betroffenheitsprüfung durchführen, um sich genauer zu informieren („NIS-2-Betroffenheitsprüfung“).

Neue Pflichten und Bußgeldtatbestände

Wer tatsächlich feststellt, unter die neuen Regelungen zu fallen, auf den oder die kommen einige Pflichten zu. Die wohl umfassendste betrifft das Risikomanagement. Doch es gibt auch spezielle Dokumentation- und Meldepflichten sowie eine Registrierungspflicht beim BSI. Überdies sind regelmäßige Schulungen durchzuführen, um Bewusstsein für das Thema Cybersicherheit bei den Mitarbeitenden zu schaffen

Frühestens drei Jahre nach Inkrafttreten des Gesetzes wird das BSI erste Prüfungen durchführen können. Verstöße gegen die neuen Vorgaben können teuer werden. Bußgelder können in (abgestufter) Höhe von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes verhängt werden. Zu den bußgeldbewährten Pflichten zählen insbesondere die Risikomanagementpflichten, die Melde- und Registrierungspflichten.

Persönliche Haftung bei Pflichtverletzungen

Die ABDA macht in einem Informationsblatt zudem darauf aufmerksam, dass bei Unternehmen, die schlecht oder gar nicht vorbereitet Opfer eines Cyberangriffs werden, die Geschäftsleitung haftet. Die Apothekenleitung haftet also persönlich, wenn Pflichten verletzt werden. IT-Sicherheit ist eindeutig Chefsache.

Zusammen mit dem Bundesverband Deutscher Apotheken-Softwarehäuser (ADAS) erarbeitet die ABDA derzeit ein IT-Sicherheitskonzept für Apotheken. Die AVS-Hersteller würden hierfür vorab informiert und sind für mögliche Fragen und zur Hilfestellung vorbereitet, heißt es seitens der ABDA. Zudem sei eine Abnahme des Sicherheitskonzeptes durch das BSI geplant, um eine größtmögliche Sicherheit für die Apotheken zu erzielen.

Fazit: Jede Apotheke wird für sich selbst prüfen müssen, ob sie künftig unter die KRITIS-Definition fällt. Noch ist Zeit, sich vorzubereiten. Bis März sollten aber alle wissen, woran sie sind.