Ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz wird die neue Richtlinie auch für Apotheken relevant. Genauso wie alle anderen großen und mittelständischen Unternehmen sowie Versorger aus dem Kritis-Bereich, müssen sie sich dann an die neue europäische Richtlinie halten.

Neben Energie- und Wasserversorgern, der Verwaltung, IT- und Telekommunikationsunternehmen sowie weiteren Bereichen zählt auch der Gesundheitssektor zum engeren Kritis-Bereich. Hinzu kommen nun „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“, also alle ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz, sofern sie einem der definierten, schützenswerten Sektoren angehören.

Per Definition sind Kritis-Unternehmen solche, die kritische Dienstleistungen bieten und deren Ausfall „zu erheblichen Versorgungsengpässen, zu Gefährdungen der öffentlichen Sicherheit oder zu vergleichbaren Folgen führen“ könnte, so das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe.

Damit sollen gefährdete und wichtige staatliche und wirtschaftliche Angriffsziele besser geschützt werden. Bei den Ärzt:innen sind beispielsweise große MVZ von der neuen Regelung betroffen. Laut EU-Recht muss die europäische Vorgabe zum 17. Oktober in nationales Recht umgesetzt werden. Experten halten ein Inkrafttreten noch in diesem Jahr für unwahrscheinlich.

Besondere Vorkehrungen nach NIS2UmsuCG

Per „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, auch NIS2UmsuCG) sollen wichtige Einrichtungen besser vor Cyberangriffen geschützt werden. Unter anderem werden für betroffene Unternehmen dann Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management, und Konzepte zum Einsatz von Verschlüsselung nötig.

Bußgelder bei Nichtbeachtung möglich

Ob die eigene Apotheke unter die Richtlinie fällt, muss jede:r Inhaber:in selbst einschätzen; Kontrollen sind hier (noch) schwierig. Bei wem es aber Vorfälle gibt, ohne das entsprechend vorgesorgt wurde, dem drohen empfindliche Strafen. Zudem wird künftig eine Registrierungspflicht bei der neuen Meldestelle des Bundesamts für Sicherheit in der Informationstechnik (BSI) eingeführt. Hier wird auch ein Tool bereitgestellt, bei dem anhand eines Fragenkatalogs festgestellt werden kann, ob man betroffen ist der nicht.

Sollte das eigene Unternehmen als „besonders wichtige Einrichtung“ oder als „wichtige Einrichtung“ im Sinne des NIS2UmsuCGG gelten, muss innerhalb von drei Monaten nach Inkrafttreten des Gesetzes eine Meldung beim BSI erfolgen.

Ende Juli hat das Bundeskabinett den entsprechenden Entwurf beschlossen; rund 29.500 Unternehmen in Deutschland sollen betroffen sein, so BSI-Präsidentin Claudia Plattner. Das BSI bekommt in diesem Zusammenhang weitere Kompetenzen – auch was das Erteilen von Bußgeldern angeht.

Sicherheitsvorfälle müssen auch heute schon an das BSI gemeldet werden. Kommen soll nun ein dreistufiges Meldesystem: Eine erste Meldung innerhalb von 24 Stunden, ein Update innerhalb von 72 Stunden sowie ein Abschlussbericht, der innerhalb eines Monats übermittelt werden muss.

„Kritis-Dachgesetz“ steht noch aus

Im Koalitionsvertrag von SPD, Grünen und FDP findet sich zudem das „Kritis-Dachgesetz“ (Gesetz zur Stärkung der Resilienz von Betreibern kritischer Anlagen), das aber noch aussteht. Hier sollen auch Vorgaben für einen besseren physischen Schutz wichtiger Einrichtungen enthalten sein. Laut EU-Vorgaben muss es hier zum 18. Oktober ebenfalls ein Gesetz geben, es soll „in Kürze vorgelegt“ werden, hieß es im Juli aus dem Innenministerium.

Abda warnt vor Zusatzkosten

Die Abda hatte bereits im Mai zum Referentenentwurf Stellung bezogen und vor den zu erwartenden Kosten gewarnt. „Diese Verpflichtungen bringt für die betroffenen Apotheken (mittlere Unternehmen bzw. wenige Großunternehmen) durch die derzeitige bedrohliche wirtschaftliche Situation (steigende Inflation, dadurch steigende Mitarbeiterkosten und steigende laufende Kosten, Wegfall von Einmalleistungen in der Pandemie, Erhöhung des Kassenabschlages, für die Apotheken einschneidende höchstrichterliche Entscheidungen, z.B. Skonto etc.) eine enorme Belastung mit sich.“

Die nötigen Maßnahmen würden „einen erheblichen administrativen und monetärer Aufwand von den betroffenen Apotheken abverlangt. [...] Damit die Belastung nicht zu einer existenziellen wird, sind Förderprogramme zur Unterstützung der mittleren Unternehmen und damit der betroffenen Apotheken erforderlich.“ Die sehr kurzen Meldefristen und der hohe Aufwand beim Risikomanagement seien „für die betroffenen Apotheken nicht leistbar und bedürfen einem standarisierten Meldeweg ohne nennenswerten zusätzlichen Mehraufwand“.

„Apotheke in der Krise: Handel oder Heilberuf?!“ – dieses Thema steht bei VISION.A 2024 im Mittelpunkt. Die Zukunftskonferenz für Pharma und Apotheke, powered by APOTHEKE ADHOC, ARZ Haan AG, PTA IN LOVE und APOTHEKENTOUR präsentiert am 10. September in Berlin die Antworten. Hier geht es zum Programm.