Gesundheitsdienstleister in ganz Europa stehen vor verbindlichen Verpflichtungen im Rahmen der Richtlinie über die Sicherheit von Netz- und Informationssystemen. Die NIS-2-Sicherheitsanforderungen verpflichten Gesundheitsorganisationen zur Einführung robuster Cybersicherheitsmaßnahmen, zur Etablierung von Governance-Strukturen und zum Nachweis kontinuierlicher Compliance durch dokumentierte Richtlinien und revisionssichere Nachweise. Für Sicherheitsverantwortliche und IT-Entscheidungsträger gehen diese Anforderungen weit über den Perimeterschutz hinaus und verlangen einen umfassenden Ansatz zum Schutz sensibler Daten während der Übertragung, zur Steuerung von Drittanbieterrisiken und zur Integration von Sicherheitskontrollen in klinische Arbeitsabläufe.

Die Herausforderung besteht nicht allein darin, regulatorische Mindestanforderungen zu erfüllen. Gesundheitsorganisationen arbeiten in Umgebungen, in denen die Patientenversorgung vom Echtzeit-Datenaustausch zwischen Krankenhäusern, Laboren, Fachärzten und Versicherern abhängt. Jede E-Mail mit Testergebnissen, jede Dateiübertragung mit diagnostischen Bildern und jeder API-Aufruf zum Abruf elektronischer Patientenakten stellt eine potenzielle Schwachstelle dar. Die NIS-2-Sicherheitsmaßnahmen verpflichten Gesundheitsdienstleister dazu, diese Risiken durch technische Kontrollen, organisatorische Governance und kontinuierliches Monitoring zu adressieren.

Dieser Artikel erläutert, welche Sicherheitsmaßnahmen unmittelbar für Gesundheitsdienstleister gelten, wie diese in bestehende Infrastrukturen operationalisiert werden können und wie die für den Compliance-Nachweis erforderlichen Prüfnachweise erzeugt werden.

Zusammenfassung

NIS 2 legt rechtlich verbindliche Cybersicherheitsanforderungen für Gesundheitsdienstleister fest, die als wesentliche oder wichtige Einrichtungen eingestuft sind. Diese Organisationen müssen verhältnismäßige technische und organisatorische Maßnahmen umsetzen, Incident-Response-Fähigkeiten etablieren, Lieferketten absichern und Nachweise für eine kontinuierliche Compliance erbringen. Sicherheitsverantwortliche müssen regulatorische Anforderungen in konkrete Kontrollen übersetzen, die Identitätsmanagement, Verschlüsselung, Schwachstellenmanagement und sicheren Datenaustausch abdecken. Gesundheitsdienstleister, die keine angemessenen Maßnahmen einführen, riskieren Durchsetzungsmaßnahmen, einschließlich Bußgelder und persönlicher Haftung der Leitungsorgane. Dieser Artikel bietet handlungsorientierte Empfehlungen für Sicherheitsteams, die NIS-2-Sicherheitsmaßnahmen operationalisieren und gleichzeitig die klinische Versorgung aufrechterhalten müssen.

Key Takeaways:

Takeaway 1: Gesundheitsdienstleister, die als wesentliche oder wichtige Einrichtungen eingestuft sind, müssen im Rahmen von NIS 2 verhältnismäßige technische und organisatorische Sicherheitsmaßnahmen einführen, wobei Leitungsorgane persönlich für die Genehmigung und Überwachung des Cybersicherheits-Risikomanagements verantwortlich sind.

Takeaway 2: Compliance erfordert eine klare Abgrenzung der in den Anwendungsbereich fallenden Systeme und Datenflüsse, einschließlich elektronischer Patientenakten, Diagnoseplattformen und Drittanbieterabhängigkeiten in der gesamten Lieferkette des Gesundheitswesens.

Takeaway 3: Der Schutz sensibler Daten während der Übertragung erfordert zentrale Transparenz, konsistente Verschlüsselung und manipulationssichere Prüfprotokolle über alle Kommunikationskanäle hinweg, die für den Austausch von Patientendaten mit externen Parteien genutzt werden.

Takeaway 4: Gesundheitsdienstleister müssen Fähigkeiten zur Erkennung und Reaktion auf Vorfälle aufbauen, die mit den NIS-2-Meldefristen vereinbar sind und gleichzeitig die Koordination mit der klinischen Leitung zur Aufrechterhaltung der Patientensicherheit während Sicherheitsvorfällen ermöglichen.

Takeaway 5: Einheitliche Plattformen zum Schutz sensibler Daten ermöglichen es Gesundheitsorganisationen, datenbewusste Richtlinien durchzusetzen, Compliance in bestehende Sicherheitsoperationen zu integrieren und automatisierte revisionssichere Nachweise für behördliche Kontrollen zu erzeugen. 

Welche Gesundheitsdienstleister zur NIS-2-Compliance verpflichtet sind

Die Richtlinie über die Sicherheit von Netz- und Informationssystemen gilt für Gesundheitsdienstleister, die als wesentliche oder wichtige Einrichtungen eingestuft werden. Die Mitgliedstaaten legen fest, welche Organisationen in den Anwendungsbereich fallen, und zwar durch nationale Umsetzungsgesetzgebung, die in der Regel Krankenhäuser, Primärversorger und Betreiber kritischer Gesundheitsinfrastruktur einschließt.

Sicherheitsverantwortliche müssen zunächst prüfen, ob ihre Organisation formell nach nationalem Recht eingestuft wurde. Die Einstufung löst spezifische Verpflichtungen in Bezug auf Risikomanagement, Vorfallmeldung und Compliance-Dokumentation aus. Organisationen, die Dienstleistungen in mehreren Mitgliedstaaten erbringen, können je nach Tätigkeitsort und Sitz ihrer juristischen Personen überschneidenden Verpflichtungen unterliegen.

Sobald die Einstufung bestätigt ist, besteht der nächste Schritt darin, die Systeme, Netzwerke und Datenflüsse zu erfassen, die in den Anwendungsbereich fallen. Gesundheitsdienstleister betreiben häufig hybride Umgebungen, die lokale elektronische Patientenaktensysteme, cloudbasierte Diagnoseplattformen und Legacy-Infrastruktur für medizinische Geräte kombinieren. Die Richtlinie verlangt, dass Organisationen alle Netz- und Informationssysteme schützen, die für die Leistungserbringung wesentlich sind, unabhängig vom Bereitstellungsmodell oder der technischen Architektur.

Abgrenzung des NIS-2-Compliance-Geltungsbereichs

Gesundheitsdienstleister müssen klare Grenzen festlegen, welche Systeme, Datentypen und Arbeitsabläufe im Rahmen der NIS-2-Sicherheitsmaßnahmen schutzpflichtig sind. Diese Scoping-Übung bestimmt, wo Investitionen zu priorisieren sind, welche Drittparteien einer Sorgfaltsprüfung bedürfen und welche Nachweise Prüfer erwarten werden.

Beginnen Sie mit der Identifizierung von Systemen, die die Patientenversorgung direkt unterstützen oder die Verfügbarkeit klinischer Dienste gewährleisten. Elektronische Patientenaktensysteme, Laborinformationsmanagementsysteme, Radiologienetzwerke und Apothekensysteme fallen in der Regel in den Anwendungsbereich. Auch Verwaltungssysteme können schutzpflichtig sein, wenn ihre Beeinträchtigung die Versorgung wesentlich beeinflussen würde.

Erfassen Sie anschließend die Datenflüsse zwischen den in den Anwendungsbereich fallenden Systemen und externen Parteien. Gesundheitsdienstleister tauschen routinemäßig Patientendaten mit Spezialisten, Versicherern, öffentlichen Gesundheitsbehörden und Forschungseinrichtungen aus. Jeder Kommunikationskanal stellt einen potenziellen Angriffsvektor und eine Compliance-Verpflichtung dar. Sicherheitsteams müssen dokumentieren, wie Daten zwischen Einrichtungen übertragen werden, welche Kontrollen sie während der Übertragung schützen und wie der Zugriff authentifiziert und autorisiert wird.

Bewerten Sie abschließend Drittanbieterabhängigkeiten. NIS 2 verpflichtet Organisationen ausdrücklich dazu, Cybersicherheitsrisiken in ihren Lieferketten zu managen. Gesundheitsdienstleister sind auf Softwareanbieter, Cloud-Dienstleister, Hersteller medizinischer Geräte und Dienstleister für Geschäftsprozesse angewiesen. Jede Beziehung muss hinsichtlich Cybersicherheitsrisiken, vertraglicher Schutzmaßnahmen und der eigenen Compliance-Position des Lieferanten bewertet werden.

Umsetzung verhältnismäßiger technischer und organisatorischer Maßnahmen

NIS 2 verlangt von Gesundheitsdienstleistern die Einführung von Sicherheitsmaßnahmen, die den bestehenden Risiken angemessen sind. Die Richtlinie schreibt keine spezifischen Technologien vor, legt jedoch Kategorien von Kontrollen fest, die Organisationen durch technische Umsetzung, Governance-Prozesse und betriebliche Verfahren adressieren müssen.

Sicherheitsverantwortliche im Gesundheitswesen müssen diese Kategorien in konkrete Kontrollen übersetzen, die sich in klinische Arbeitsabläufe integrieren lassen. Verhältnismäßigkeit bedeutet, Kontrollen auf die spezifischen Bedrohungen auszurichten, denen Gesundheitsdienstleister ausgesetzt sind, auf die Sensibilität der verarbeiteten Daten und auf die möglichen Auswirkungen von Dienstunterbrechungen auf die Patientenversorgung.

Technische Maßnahmen umfassen Verschlüsselung, Zugriffskontrolle, Netzwerksegmentierung, Schwachstellenmanagement und sichere Entwicklung. Organisatorische Maßnahmen umfassen Governance-Strukturen, Schulungsprogramme, Incident-Response-Verfahren und Business-Continuity-Planung. Beide Kategorien müssen dokumentiert, regelmäßig getestet und auf der Grundlage von Bedrohungsinformationen und Erkenntnissen aus Vorfällen kontinuierlich verbessert werden.

Schutz sensibler Daten während der Übertragung in klinischen Arbeitsabläufen

Gesundheitsdienstleister tauschen kontinuierlich sensible Daten aus. Überweisungen, Entlassungsberichte, diagnostische Bilder, Laborbefunde und Versicherungsansprüche werden zwischen Systemen und Organisationen übertragen. Die NIS-2-Sicherheitsmaßnahmen verlangen von Gesundheitsdienstleistern, diese Daten während der Übertragung zu schützen und dabei Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.

Transportverschlüsselung ist eine Grundvoraussetzung. Gesundheitsorganisationen haben jedoch häufig Schwierigkeiten, Verschlüsselung über verschiedene Kommunikationskanäle hinweg konsistent durchzusetzen. Kliniker übermitteln Patientendaten per E-Mail, über Dateifreigabeplattformen, sichere Messaging-Apps und proprietäre klinische Netzwerke. Jeder Kanal weist unterschiedliche Sicherheitseigenschaften und Compliance-Anforderungen auf.

Sicherheitsteams müssen eine zentrale Übersicht darüber schaffen, wie sensible Daten zwischen internen Systemen und externen Parteien fließen. Diese Übersicht ermöglicht es Organisationen, unverschlüsselte Kanäle zu identifizieren, anomale Datenübertragungen zu erkennen und datenbewusste Richtlinien durchzusetzen, die sich an der Sensibilität der Inhalte orientieren.

Gesundheitsdienstleister benötigen außerdem manipulationssichere Prüfprotokolle, die dokumentieren, wer auf welche Daten zugegriffen hat, wann und zu welchem Zweck. NIS 2 verlangt von Organisationen den Nachweis der Compliance durch Belege. Audit-Logs müssen ausreichend detaillierte Informationen erfassen, um Datenflüsse bei der Untersuchung von Vorfällen rekonstruieren zu können und gleichzeitig Datenschutz-Folgenabschätzungen sowie Betroffenenanfragen zu unterstützen.

Aufbau von Governance-Strukturen und Führungsverantwortung

NIS 2 verlangt ausdrücklich, dass Leitungsorgane Maßnahmen zum Cybersicherheits-Risikomanagement genehmigen und deren Umsetzung überwachen. Diese Bestimmung verlagert die Verantwortung von IT-Teams auf die Führungsebene. Gesundheitsdienstleister müssen Governance-Strukturen etablieren, die Vorstände und Geschäftsführungen in die Lage versetzen, diesen Verpflichtungen wirksam nachzukommen.

Sicherheitsverantwortliche sollten Risikoberichte erstellen, die technische Schwachstellen in Szenarien mit geschäftlichen Auswirkungen übersetzen. Ein Ransomware-Angriff auf ein elektronisches Patientenaktensystem unterbricht Aufnahmen, verzögert Operationen und zwingt Kliniker zur Rückkehr zu papiergestützten Arbeitsabläufen. Berichte sollten die betrieblichen Folgen und die Auswirkungen auf die Patientensicherheit durch Cyberrisiken quantifizieren.

Governance-Strukturen sollten klare Rollen und Verantwortlichkeiten für Cybersicherheit in klinischen Abteilungen, IT-Betrieb, Rechts- und Compliance-Teams sowie bei Drittdienstleistern definieren. NIS 2 erfordert eine zentralisierte Aufsicht, auch in dezentralen Betriebsmodellen.

Schulungen sind eine weitere Governance-Verpflichtung. Gesundheitsdienstleister müssen sicherstellen, dass Mitarbeiter ihre Cybersicherheitsverantwortung kennen und gängige Angriffsvektoren wie Phishing-E-Mails oder Social-Engineering-Versuche erkennen können. Schulungsprogramme sollten auf verschiedene Rollen zugeschnitten sein, von Klinikern, die auf Patientendaten zugreifen, bis hin zu Verwaltungsmitarbeitern, die Abrechnungsdaten verarbeiten.

Aufbau von Fähigkeiten zur Erkennung, Reaktion und Meldung von Vorfällen

NIS 2 legt spezifische Verpflichtungen zur Meldung von Vorfällen fest. Gesundheitsdienstleister müssen die zuständigen Behörden innerhalb festgelegter Fristen über erhebliche Vorfälle informieren. Die Richtlinie sieht einen abgestuften Melderahmen mit Erstmeldungen, Zwischenupdates und abschließenden Berichten vor, die eine Ursachenanalyse und Abhilfemaßnahmen enthalten.

Sicherheitsteams müssen Erkennungsfähigkeiten implementieren, die Vorfälle früh genug identifizieren, um eine fristgerechte Meldung zu ermöglichen. Dies erfordert eine kontinuierliche Überwachung des Netzwerkverkehrs, des Endpoint-Verhaltens und von Authentifizierungsereignissen. Gesundheitsumgebungen stellen besondere Erkennungsherausforderungen dar, da klinische Arbeitsabläufe häufig ungewöhnliche Zugriffsmuster oder Aktivitäten außerhalb der regulären Arbeitszeiten umfassen.

Incident-Response-Verfahren müssen sowohl mit den NIS-2-Anforderungen als auch mit klinischen Sicherheitsprotokollen abgestimmt sein. Während eines Ransomware-Angriffs müssen Sicherheitsteams mit der klinischen Leitung koordinieren, um zu entscheiden, welche Systeme isoliert werden sollen, welche Dienste durch Notlösungen aufrechterhalten werden können und wie mit Patienten kommuniziert wird. Reaktionspläne sollten die Entscheidungskompetenz in Krisenzeiten festlegen und Kommunikationskanäle zwischen dem Sicherheitsbetrieb, klinischen Abteilungen und externen Behörden definieren.

Gesundheitsdienstleister sollten sich auch darauf vorbereiten, Vorfälle zu melden, die Drittanbieter betreffen. Wenn eine cloudgehostete Diagnoseplattform einen Sicherheitsvorfall erleidet, können den Gesundheitsdienstleister je nach Auswirkung auf seine eigenen Dienste dennoch Meldepflichten treffen.

Aufbau revisionssicherer Nachweise durch kontinuierliche Compliance

Compliance im Rahmen von NIS 2 ist kein einmaliges Projekt. Gesundheitsdienstleister müssen kontinuierlich Nachweise aufrechterhalten, die belegen, dass Sicherheitsmaßnahmen im Zeitverlauf wirksam bleiben. Diese Nachweise unterstützen behördliche Kontrollen, Prüfungen durch Dritte und interne Governance-Reviews.

Sicherheitsteams sollten überall dort eine automatisierte Nachweiserhebung einführen, wo dies möglich ist. Manuelle Compliance-Prozesse skalieren in großen Gesundheitsorganisationen nicht und bieten Anlass für Lücken oder Inkonsistenzen. Die automatisierte Nachweiserhebung erfasst Richtlinienkonfigurationen, Zugriffsprotokolle, Ergebnisse von Schwachstellenscans und Incident-Response-Aktivitäten, ohne auf manuelle Dokumentation angewiesen zu sein.

Die Nachweise müssen manipulationssicher sein, um einer regulatorischen Prüfung standzuhalten. Prüfer benötigen die Gewissheit, dass Protokolle nicht verändert wurden und dass Compliance-Berichte die Systemkonfigurationen korrekt wiedergeben. Gesundheitsdienstleister sollten kryptografische Kontrollen einführen, die unbefugte Änderungen an Prüfprotokollen erkennen.

Nachweise müssen zudem einfach abrufbar sein. Bei einer Kontrolle können Behörden detaillierte Dokumentationen zu bestimmten Vorfällen, Zugriffsentscheidungen oder Richtlinienänderungen anfordern. Gesundheitsdienstleister müssen in der Lage sein, Nachweise zu filtern, zu korrelieren und in Formaten bereitzustellen, die regulatorische Fragen direkt beantworten.

Management von Cybersicherheitsrisiken in Lieferketten des Gesundheitswesens

Gesundheitsdienstleister sind auf komplexe Lieferketten angewiesen, die Softwareanbieter, Cloud-Dienstleister, Hersteller medizinischer Geräte und Dienstleister für Geschäftsprozesse umfassen. NIS 2 verlangt von Organisationen, Cybersicherheitsrisiken in diesen Beziehungen durch Sorgfaltsprüfungen, vertragliche Schutzmaßnahmen und kontinuierliches Monitoring zu adressieren.

Sicherheitsteams sollten Prozesse zur Lieferantenbewertung etablieren, die Anbieter anhand der Sensibilität der Daten, auf die sie zugreifen, der Kritikalität der von ihnen erbrachten Dienste und ihrer eigenen Cybersicherheitsreife bewerten. Vertragliche Schutzmaßnahmen sollten Cybersicherheitsverpflichtungen, Anforderungen zur Vorfallmeldung, Prüfungsrechte und Haftungsregelungen festlegen.

Kontinuierliches Monitoring ist ebenso wichtig. Eine initiale Sorgfaltsprüfung erfasst nur eine Momentaufnahme. Gesundheitsdienstleister benötigen Transparenz darüber, ob Lieferanten ihre Sicherheitslage über den gesamten Vertragszeitraum aufrechterhalten, durch regelmäßige Neubewertungen oder die kontinuierliche Überwachung von Sicherheitsbewertungen der Lieferanten.

Integration der Compliance in bestehende Sicherheitsoperationen

Gesundheitsdienstleister betreiben bereits Sicherheitsprogramme, die Datenschutzanforderungen, die Sicherheit medizinischer Geräte, klinische Sicherheitsstandards und Informations-Governance-Richtlinien adressieren. NIS-2-Sicherheitsmaßnahmen müssen in diese bestehenden Programme integriert werden, anstatt parallele Compliance-Stränge zu schaffen.

Sicherheitsverantwortliche sollten NIS-2-Anforderungen mit bestehenden Kontrollen abgleichen, um Lücken zu identifizieren und Doppelarbeit zu vermeiden. Gesundheitsdienstleister, die Zero-Trust-Architekturen zum Schutz elektronischer Patientenakten einführen, können dieselben Identitäts- und Zugriffsmanagement-Kontrollen nutzen, um die NIS-2-Authentifizierungsanforderungen zu erfüllen.

Integration erfordert auch die Abstimmung von NIS-2-Sicherheitsmaßnahmen mit klinischen Arbeitsabläufen. Kontrollen, die die Patientenversorgung stören, werden nicht konsistent angewendet. Sicherheitsteams müssen gemeinsam mit der klinischen Leitung Kontrollen entwerfen, die sensible Daten schützen und gleichzeitig eine effiziente Versorgungserbringung ermöglichen. Dies kann die Einführung adaptiver Authentifizierung umfassen, die stärkere Kontrollen basierend auf dem Risikokontext anwendet.

Integration bedeutet schließlich auch die Verknüpfung von Sicherheitstools mit dem übergeordneten IT-Betrieb. Gesundheitsdienstleister nutzen Service-Management-Plattformen zur Nachverfolgung von Vorfällen, Change-Management-Systeme zur Steuerung von Konfigurationsänderungen und Monitoring-Tools zur Aufrechterhaltung der Dienstverfügbarkeit. Die NIS-2-Nachweiserhebung sollte in diese bestehenden Systeme einfließen.

NIS-2-Compliance operationalisieren mit einer einheitlichen Lösung zum Schutz sensibler Daten

Gesundheitsdienstleister benötigen einen einheitlichen Ansatz, um sensible Daten über alle Kommunikationskanäle hinweg zu sichern, datenbewusste Richtlinien durchzusetzen und Compliance-Nachweise zu generieren. Fragmentierte Einzellösungen schaffen Lücken in der Transparenz, eine inkonsistente Richtliniendurchsetzung und Prüfprotokolle, die systemübergreifend nicht korreliert werden können.

Die Herausforderung besteht darin, NIS-2-Sicherheitsmaßnahmen in Umgebungen zu operationalisieren, in denen Daten kontinuierlich zwischen internen Systemen, externen Spezialisten, Versicherern und Gesundheitsbehörden ausgetauscht werden. Gesundheitsdienstleister benötigen eine zentrale Kontrolle darüber, wie sensible Daten geteilt werden, wer darauf zugreifen kann und wie jede Interaktion dokumentiert wird.

DRACOON unterstützt Gesundheitsdienstleister dabei, diese Anforderungen zu erfüllen, indem eine einheitliche Plattform für den sicheren Austausch sensibler Daten bereitgestellt wird. Mit DRACOON können Organisationen konsistente Verschlüsselung, Authentifizierung und Richtliniendurchsetzung über E-Mail und Dateifreigabe-Kanäle hinweg gewährleisten und dabei manipulationssichere Prüfprotokolle erzeugen, die sich direkt den NIS-2-Compliance-Anforderungen zuordnen lassen.

Die clientseitige Ende-zu-Ende-Verschlüsselung von DRACOON stellt sicher, dass sensible Patientendaten, Forschungsinformationen und administrative Unterlagen ausschließlich von autorisierten Empfängern eingesehen werden können. Mit DRACOON for Outlook lässt sich die E-Mail-Kommunikation nahtlos verschlüsseln, ohne klinische Arbeitsabläufe zu unterbrechen. Das integrierte Benutzer- und Rechtemanagement sowie die Multifaktor-Authentifizierung ermöglichen eine granulare Zugriffskontrolle basierend auf Nutzeridentität und Datensensibilität.

Sicherheitsverantwortliche erhalten durch die umfassenden Audit-Logs von DRACOON zentrale Transparenz darüber, wie Patientendaten zwischen Organisationen fließen, welche Kontrollen jede Übertragung schützen und wie sich Zugriffsmuster im Zeitverlauf verändern. Diese Transparenz ermöglicht es Organisationen, anomale Datenflüsse zu erkennen, Datenverlust-Präventionsrichtlinien durchzusetzen und Compliance durch automatisierte Nachweiserhebung nachzuweisen.

DRACOON lässt sich über API-Integrationen in bestehende SIEM-, SOAR- und ITSM-Systeme einbinden und ermöglicht es Gesundheitsdienstleistern, den Schutz sensibler Daten in den übergeordneten Sicherheitsbetrieb zu integrieren. Prüfprotokolle fließen in Compliance-Dashboards ein, Richtlinienverstöße können über Integrationen mit Orchestrierungsplattformen automatisierte Abhilfemaßnahmen auslösen.

Der integrierte Virenschutz von DRACOON sowie die Funktion zur digitalen Signatur ergänzen das Sicherheitsportfolio und unterstützen Gesundheitsdienstleister dabei, Integrität und Authentizität ausgetauschter Dokumente nachzuweisen. Darüber hinaus ermöglicht DRACOON die Einrichtung sicherer Kollaborationsbereiche mit Drittanbietern und Lieferanten, mit granularer Zugriffskontrolle und lückenloser Protokollierung aller Interaktionen mit sensiblen Daten.

Für Gesundheitsorganisationen, die sich auf den Nachweis ihrer NIS-2-Compliance vorbereiten, bietet DRACOON eine belastbare Grundlage zur Absicherung sensibler Daten während der Übertragung, zur Durchsetzung verhältnismäßiger technischer Kontrollen und zur Erzeugung revisionssicherer Nachweise. Sicherheitsverantwortliche können die Audit-Logs, Richtlinienkonfigurationen und Zugriffskontrollen von DRACOON spezifischen NIS-2-Anforderungen zuordnen und so regulatorische Kontrollen vereinfachen und den Aufwand für manuelle Compliance-Dokumentation reduzieren.

Testen Sie DRACOON 14 Tage lang kostenlos oder kontaktieren Sie uns für ein unverbindliches Beratungsgespräch, um zu erfahren, wie DRACOON Gesundheitsdienstleister dabei unterstützt, NIS-2-Sicherheitsmaßnahmen zu operationalisieren, datenbewusste Richtlinien über alle Kommunikationskanäle hinweg durchzusetzen und manipulationssichere Prüfprotokolle zu erzeugen, die regulatorischen Anforderungen standhalten und klinische Arbeitsabläufe unterstützen.