Gesundheit-ISAC Hacking Healthcare 5

In dieser Woche konzentriert sich Hacking Healthcare™ auf neue Entwicklungen rund um KI-Risiken, Sicherheit und Schutz. Insbesondere analysieren wir die Einrichtung des neuen Department of Homeland Security (DHS) Sicherheitsgremium für künstliche Intelligenz und überprüfen Sie dann die neuen DHS-Richtlinien Sicherheitsrichtlinien für Eigentümer und Betreiber kritischer Infrastrukturen.

Zur Erinnerung: Dies ist die öffentliche Version des Hacking Healthcare-Blogs. Für weitere ausführliche Analysen und Meinungen werden Sie Mitglied von H-ISAC und erhalten Sie die TLP Amber-Version dieses Blogs (verfügbar im Mitgliederportal).

Willkommen zurück bei Hacking Healthcare™.

Gesundheit-ISAC Americas Hobby-Übung 2024

Das Health-ISAC bereitet sich erneut auf unsere jährliche Americas Hobby Exercise vor! Für neue Health-ISAC-Mitglieder ist die Hobby Exercise eine jährliche Veranstaltung zum Thema Gesundheitswesen und öffentliche Gesundheit (HPH), die den Gesundheitssektor und strategische Partner mit wichtigen Sicherheits- und Resilienzherausforderungen konfrontiert. Das übergeordnete Ziel besteht darin, zu informieren und Möglichkeiten für eine kontinuierliche organisatorische Verbesserung zu bieten und gleichzeitig die Resilienz des Gesundheitssektors zu erhöhen.

Der folgende Link zum After-Action-Bericht zur Hobby-Übung vom letzten Jahr bietet einen guten Überblick über die Art der Interaktion und den Mehrwert, den Sie von der diesjährigen Veranstaltung erwarten können:

https://h-isac.org/hobby-exercise-2023-after-action-report/

Die diesjährige Übung findet am 6. Juni im Büro von Venable LLP in Washington, DC statt. Mitglieder werden gebeten, ihr Interesse an der Teilnahme unter dem folgenden Link zu bekunden:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

Nationales Sicherheitsmemorandum 22 überarbeitet US-Ansatz zu kritischer Infrastruktur

Am 30. April veröffentlichte die Biden-Regierung die Nationales Sicherheitsmemorandum 22 (NSM-22): zur Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen.^[I] Dieses Memorandum ist die jüngste Überarbeitung einer Reihe von Exekutivmemoranden, die definieren sollen, was kritische Infrastruktur in den USA ist, und darlegen, wie die Regierung die Sicherheit und Belastbarkeit dieser kritischen Infrastruktur verbessern soll. Wie zu erwarten, wird NSM-22 direkte und indirekte Auswirkungen auf den Gesundheits- und öffentlichen Gesundheitssektor haben.

Was ist NSM-22 und was ersetzt es? 

Seit 2013 gilt für die US-Bundesregierung die Presidential Policy Directive 21 (PPD-21) als ständige Richtlinie dafür, was in den USA als kritische Infrastruktur gilt, wie die US-Regierung diese Infrastruktur sichern soll und welche Rolle dabei der Privatsektor spielen soll. Obwohl dieses Executive Memorandum keine Gesetzeskraft besitzt, wurde es bis letzte Woche weder aufgehoben noch ersetzt.

Diese Aktualisierung wurde mit der Verabschiedung von HR6395, dem William M. (Mac) Thornberry National Defense Authorization Act für das Haushaltsjahr 2021, in Gang gesetzt, der den Minister des DHS verpflichtet, in Absprache mit den Leitern der Sector Risk Management Agencies (SRMAs) „den aktuellen Rahmen für die Sicherung kritischer Infrastrukturen zu überprüfen…“ und einen Bericht zu möglichen Änderungen vorzulegen.^[Ii] Der Inhalt dieses Berichts wurde von Präsident Biden unterzeichnet und es entstand das, was später NSM-22 werden sollte.

NSM-22 Inhalt

Das etwa 35 Seiten lange NSM-22 sieht Folgendes zur „Förderung der nationalen Einheit der Bemühungen [der Vereinigten Staaten] zur Stärkung und Aufrechterhaltung einer sicheren, funktionierenden und widerstandsfähigen kritischen Infrastruktur vor“:^[Iii]

• Acht politische Grundsätze;
• Acht Ziele;
• Klarstellung der Rollen und Verantwortlichkeiten der Bundesministerien und -behörden;
• Die Förderung des Risikomanagements und eines alle Bedrohungen/Gefahren berücksichtigenden Ansatzes hinsichtlich Sicherheit und Widerstandsfähigkeit;
• Die verbindliche Festlegung von Mindestanforderungen an die Sicherheit und Belastbarkeit kritischer Infrastruktursektoren;
• Die Leitung eines nationalen Infrastrukturrisikomanagementplans;
• Die erneute Erwähnung systemrelevanter Unternehmen (SIEs);
• Eine Stärkung des Informationsaustauschs und der Weitergabe von Erkenntnissen;
• Eine Wiederholung der Definition kritischer Infrastrukturen, der ausgewiesenen kritischen Infrastruktursektoren und der zuständigen SRMAs; und
• Ein Implementierungsplan für Bundesbehörden zur Umsetzung der oben beschriebenen Ziele.

Aktion & Analyse
**In der Health-ISAC-Mitgliedschaft enthalten**

Bevorstehende internationale Anhörungen/Treffen

• EU
  1. Zurzeit keine relevanten Meetings
• US
  1. Zurzeit keine relevanten Meetings
• Rest der Welt
  1. Zurzeit keine relevanten Meetings

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[Iii]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[IV] Präsidentenentscheidungsrichtlinie/NSC-63

^[V] Präsidialrichtlinie 21

^[Vi] „Systeme und Vermögenswerte, ob physisch oder virtuell, die für die Vereinigten Staaten so wichtig sind, dass die Ausfallzeit oder Zerstörung dieser Systeme und Vermögenswerte schwerwiegende Auswirkungen auf die nationale Sicherheit, die nationale wirtschaftliche Sicherheit, die nationale öffentliche Gesundheit oder Sicherheit oder eine Kombination dieser Angelegenheiten hätte.“

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[VIII]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[Ix] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Verwandte Ressourcen und Neuigkeiten
• Krankenhaus in Massachusetts weist nach Cyberangriff Krankenwagen ab
• Podcast: Phil Englert über Cybersicherheit von Medizinprodukten
• Die Bedrohung durch Insider nimmt wieder zu.
• „Verpasste Gelegenheit“: Die Abwesenheit der US-Regierung von der RSAC-Konferenz hinterlässt eine deutliche Lücke.
• Gesundheit-ISAC Hacking Healthcare 3
• Gesundheit-ISAC Hacking Healthcare 3
• Health-ISAC Monatsnewsletter – April 2026
• Abschlussbericht: Health-ISAC-Resilienzübungsreihe 2025
• Warum die Rolle von Microsoft Intune beim Stryker-Cyberangriff eine beängstigende Aussicht ist
• Der Gouverneur von Texas ordnet eine staatliche Überprüfung chinesischer Medizintechnik an.