HHS schlägt Änderungen zur Stärkung der HIPAA-Sicherheitsvorschriften vor

Erhebliche Änderungen der HIPAA-Sicherheitsvorschriften könnten zum ersten Mal seit zwei Jahrzehnten bevorstehen – mit Auswirkungen auf alle HIPAA-regulierten Einrichtungen. Das Ministerium für Gesundheit und Soziales (HHS) hat einen Entwurf für eine neue Verordnung (Proposed Rule) veröffentlicht, der darauf abzielt, die Cybersicherheit zu verbessern und das US-Gesundheitssystem besser vor Cyberbedrohungen zu schützen. Die Frist für Stellungnahmen endet am 7. März 2025 (60 Tage nach Veröffentlichung des Entwurfs im Federal Register).

Dieser Vorschlag zur Stärkung der gemäß der HIPAA-Sicherheitsvorschrift erforderlichen Sicherheitsvorkehrungen ist die Reaktion des HHS auf die erhebliche Zunahme von Cyberangriffen im Gesundheitswesen. Konkret gab das HHS an, dass von 2018 bis 2023 die Meldungen über schwerwiegende Verstöße aufgrund von Hacker- und Ransomware-Angriffen um 102 Prozent gestiegen sind und die Zahl der von diesen Verstößen betroffenen Personen um 1.002 Prozent zugenommen hat.

Zusammenfassung der vorgeschlagenen Regelung

Der Regelungsvorschlag zielt darauf ab, die Anforderungen der Sicherheitsvorschrift zu verschärfen, indem Definitionen präzisiert und überarbeitet und die Unterscheidung zwischen „erforderlichen“ und „adressierbaren“ Implementierungsspezifikationen aufgehoben werden. Der Regelungsvorschlag fügt neue Implementierungsanforderungen hinzu, um besser sicherzustellen, dass HIPAA-regulierte Unternehmen Compliance-Maßnahmen im Einklang mit branchenüblichen Best Practices, wie dem NIST Cybersecurity Framework, umsetzen.

Regulierte Unternehmen wären verpflichtet, alle Richtlinien und Verfahren der Sicherheitsvorschriften schriftlich zu dokumentieren, darunter:

Erstellung und Pflege eines schriftlichen Verzeichnisses der Technologie-Assets und einer Netzwerkkarte. Regulierte Unternehmen müssen ihr Asset-Verzeichnis und ihre Netzwerkkarte kontinuierlich überprüfen und aktualisieren, mindestens jedoch einmal alle 12 Monate und bei Änderungen in der Umgebung oder im Betrieb, die sich auf elektronisch geschützte Gesundheitsdaten (ePHI) auswirken können.
Jährliche Risikoanalysen mit höherer SpezifitätDie Risikoanalysen bestehen aus einer schriftlichen Bewertung, die unter anderem Folgendes umfasst:
- Identifizierung aller vernünftigerweise zu erwartenden Bedrohungen für die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI.
- Identifizierung potenzieller und bestehender Schwachstellen in relevanten IT-Systemen.
- Bewertung und Dokumentation der Sicherheitsmaßnahmen zum Schutz von ePHI.
- Eine angemessene Einschätzung der Wahrscheinlichkeit, dass jede identifizierte Bedrohung die identifizierten Schwachstellen ausnutzen würde.
- Eine Bewertung der Risiken für ePHI, die von aktuellen oder potenziellen Geschäftspartnern ausgehen.
Einführung von Kontrollen für das Änderungsmanagement. Der Regelungsvorschlag enthält Anforderungen für technische und nichttechnische Bewertungen vor Änderungen in der Umgebung des Unternehmens.
Richtlinien und Verfahren für das Patch-Management. HIPAA-regulierte Unternehmen wären verpflichtet, ihre Patch-Management-Prozesse mindestens einmal alle 12 Monate zu überprüfen und die Prozesse in angemessener und geeigneter Weise anzupassen. Ein „angemessener und geeigneter” Zeitraum für das Patchen kritischer Schwachstellen wäre innerhalb von 15 Kalendertagen nach deren Identifizierung.
Robuste Risikomanagementplanung. Der Regelungsvorschlag enthält strengere Anforderungen für die Erstellung und Umsetzung eines Risikomanagementplans zur Verringerung der Risiken, die durch die vorgeschriebene Risikoanalyse ermittelt wurden.
Strenge Anforderungen an Überwachungs- und Vorfallreaktionsrichtlinien und -verfahren. Die vorgeschlagene Regelung würde Folgendes vorschreiben:
- Eine Überprüfung der Aktivitäten der relevanten IT-Systeme, die an die Risikomanagementstrategie angepasst werden sollten, sowie die Förderung des Bewusstseins für alle Aktivitäten, die auf einen Sicherheitsvorfall hindeuten könnten.
- Ein Notfallplan, der Verfahren zur Notfallwiederherstellung umfasst, mit denen ausgefallene IT-Systeme innerhalb von 72 Stunden wiederhergestellt werden können.
- Eine jährliche Compliance-Prüfung zur Sicherstellung der Einhaltung der Sicherheitsvorschriften.

Über die schriftlichen Richtlinien und Verfahren hinaus versucht die vorgeschlagene Regelung, die technischen Sicherheitsvorkehrungen der Sicherheitsvorschrift zu erweitern, wodurch regulierte Unternehmen verpflichtet würden:

Verschlüsseln Sie ePHI im Ruhezustand und während der Übertragung, vorbehaltlich begrenzter Ausnahmen.
Verwenden Sie die Multi-Faktor-Authentifizierung, vorbehaltlich begrenzter Ausnahmen.
Technische Kontrollen für die einheitliche Konfiguration relevanter IT-Systeme einrichten und einsetzen.
Implementieren Sie die erforderlichen Konfigurationsmanagementkontrollen, einschließlich der Bereitstellung von Anti-Malware-Schutz, der Entfernung überflüssiger Software und der Deaktivierung von Ports gemäß der Risikoanalyse.
Führen Sie mindestens alle sechs Monate Schwachstellenscans und mindestens einmal alle 12 Monate Penetrationstests durch.
Verwenden Sie Netzwerksegmentierung.
Technische Kontrollen einsetzen, um Backups relevanter IT-Systeme zu erstellen und zu pflegen und die Wirksamkeit dieser Kontrollen alle sechs Monate zu überprüfen und zu testen.

Darüber hinaus fügt die vorgeschlagene Regelung Anforderungen für Vereinbarungen mit Geschäftspartnern hinzu (was bedeutet, dass Vereinbarungen mit Geschäftspartnern aktualisiert werden müssen, wenn die vorgeschlagene Regelung in Kraft tritt). Insbesondere muss eine Vereinbarung mit einem Geschäftspartner eine Bestimmung enthalten, die den Geschäftspartner verpflichtet, die betroffenen Stellen (und Subunternehmer, die Geschäftspartner zu benachrichtigen haben) bei Aktivierung seines Notfallplans ohne unangemessene Verzögerung, spätestens jedoch 24 Stunden nach der Aktivierung, zu benachrichtigen. Darüber hinaus stellt die vorgeschlagene Regelung zusätzliche Anforderungen an die Zusammenarbeit mit Geschäftspartnern, darunter die Verpflichtung für betroffene Einrichtungen, von ihren Geschäftspartnern jährlich eine schriftliche Analyse und Bescheinigung über die Einhaltung der technischen Sicherheitsvorkehrungen der Sicherheitsvorschrift einzuholen. Die Analyse müsste von „einer Person mit entsprechenden Kenntnissen und Erfahrungen“ im Bereich der Cybersicherheit von ePHI durchgeführt werden. Der Regelungsvorschlag stellt klar, dass ein HIPAA-reguliertes Unternehmen, das die von der Sicherheitsvorschrift geforderten Compliance-Aktivitäten an einen Geschäftspartner delegiert, weiterhin für die Einhaltung der Sicherheitsvorschrift verantwortlich ist.

Anfrage zu neuen und aufkommenden Technologien

Mit dem Regelungsvorschlag bittet das HHS um Stellungnahmen zu neuen Technologien wie künstlicher Intelligenz, Quantencomputern sowie virtueller und erweiterter Realität und zur Rolle der HIPAA bei der Regulierung dieser neuen Technologien. Der Regelungsvorschlag weist darauf hin, dass vor der Implementierung dieser neuen und aufkommenden Technologien durch HIPAA-regulierte Unternehmen eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen für ePHI erfolgen sollte.

Was kommt als Nächstes für HIPAA-regulierte Unternehmen?

Derzeit ist die Zukunft der vorgeschlagenen Regelung unklar, da die neu gewählte Regierung wahrscheinlich darüber entscheiden wird, ob der Regelungsprozess fortgesetzt wird. Obwohl Cybersicherheitsmaßnahmen parteiübergreifende Unterstützung erfahren haben und während der ersten Amtszeit von Trump ein Schwerpunkt auf Informationssicherheit lag, wird erwartet, dass die Trump-Regierung sich gegen eine Verschärfung der Vorschriften aussprechen wird. Daher sollten HIPAA-regulierte Unternehmen diese Entwicklungen weiterhin beobachten. Angesichts der kurzen Bearbeitungszeit sollten Unternehmen jedoch auch die vorgeschlagene Regelung prüfen, um zu entscheiden, ob sie Stellungnahmen einreichen möchten, falls die vorgeschlagene Regelung in ihrer aktuellen Form vorangetrieben wird.

Der Datenschutz im Gesundheitswesen entwickelt sich weiterhin rasant, weshalb Unternehmen, die den HIPAA-Vorschriften unterliegen, alle neuen Entwicklungen genau beobachten und weiterhin die notwendigen Schritte zur Einhaltung der Vorschriften unternehmen sollten. Wenn Sie Fragen zur Einhaltung der HIPAA-Vorschriften oder zu den Auswirkungen der vorgeschlagenen Regelung und anderen aktuellen Änderungen der Datenschutzgesetze im Gesundheitswesen haben – oder Unterstützung bei der Einreichung von Stellungnahmen zur vorgeschlagenen Regelung wünschen –, wenden Sie sich bitte an einen der Autoren oder einen der Partner oder Senior Counselder Cybersecurity and Data Privacy Groupoderder Health Care Practice Group von Foley.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

Milwaukee 414.297.5339

[email protected]

New York 813.225.4194

[email protected]

Madison 608.250.7420

Ein Mann in dunklem Anzug und roter Krawatte steht lächelnd in einem hell erleuchteten, modernen Büroflur, der die Professionalität der Top-Anwälte in Chicago widerspiegelt.

[email protected]

Tampa 813.225.4129

HHS schlägt Änderungen zur Stärkung der HIPAA-Sicherheitsvorschriften vor

Zusammenfassung der vorgeschlagenen Regelung

Anfrage zu neuen und aufkommenden Technologien

Was kommt als Nächstes für HIPAA-regulierte Unternehmen?

Autor(en)

Lauren L. Hudon

Michaela L. Wiese

Jennifer J. Hennessy

Aaron T. Maguregui

Verwandte Einblicke

How Following “Doctors’ Orders” Provided a Defense in a First Circuit FCA Case

Einsatz digitaler Gesundheitstechnologien in klinischen Studien: Unterstützung durch MAHA und definierte Erwartungen aus der endgültigen Leitlinie der FDA

Fusionen und Übernahmen in der GLP-1-Technologie: Praktische Empfehlungen und Best Practices