Seit dem 1. Januar 2022 sind Krankenhäuser in Deutschland gemäß §75c SGB V verpflichtet, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Kurz gesagt: Sie müssen ein Informationssicherheitsmanagementsystem (ISMS) einführen und betreiben.
Anforderungen an die IT-Sicherheit in Krankenhäusern
mehr...
Der §75c SBG V wird in seinem 2. Absatz noch etwas konkreter und formuliert, dass Krankenhäuser dieser Verpflichtung insbesondere nachkommen können indem Sie einen Branchenspezifischen Sicherheitsstandard (B3S) umsetzen, welcher explizit für die Gesundheitsversorgung im Krankenhaus zur Verfügung steht.
Der B3S medizinische Versorgung wurde von der Deutschen Krankenhaus Gesellschaft entwickelt und steht bereits seit 2019, nach vorheriger Prüfung und Freigabe durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), für die KRITIS-Häuser zur Verfügung. Er dient der Etablierung eines angemessenen Sicherheitsniveaus und gibt den Rahmen zur Einführung und zum Betrieb eines ISMS in Form von insgesamt über 200 Anforderungen vor, ergänzt um weitere technische und organisatorische Maßnahmen. Die Anforderungen basieren auf meist international anerkannten Standards und Best Practices wie bspw. der ISO 27001 als Grundlage für die Erstellung eines ISMS, OCTAVE als Basis für die Etablierung des Risikomanagements oder ITIL als Ausgangsrahmenwerk in Bezug auf die IT-Service-Management-Anforderungen des B3S. Für eine ggf. angestrebte Zertifizierung ist der B3S als Prüfgrundlage geeignet und kann durch eine zugelassene Akkreditierungsstelle begutachtet werden, wenngleich dies durch den Gesetzgeber aktuell nicht vorgeschrieben wird. Der Nachweis, dass sich ein Krankenhaus mit dem Thema Informationssicherheit intensiv auseinandergesetzt hat fällt jedoch mit dem Audit-Nachweis deutlich leichter, sodass eine Ausrichtung an den Vorgaben des Branchenspezifischen Sicherheitsstandard bereits zu Beginn der Umsetzung absolut empfehlenswert ist.
Der §75c SGB im Wortlaut
(1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.
(2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.
(3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben
Ihr Weg zu mehr Informationssicherheit
Bestandsaufnahme
GAP-Analyse
Organisatorische Gundlagen
Inventarisierung und Bewertung
Maßnahmenplanung und -umsetzung
kontinuierlicher Verbesserungs-Prozess
aktuelle Kennzahlen aus der IT-Sicherheit
394000
Neue Schadprogramm-Varianten pro Tag 2021
322000
Neue Schadprogramm-Varianten pro Tag 2020
144
Zuwachs Schadprogramm-Varianten 2021
+22
Veränderung im letzten Jahr
117
Zuwachs Schadprogramm-Varianten 2020
Quelle: Lagebericht zur IT-Sicherheit 2021 (BSI)
Auszug aus unserem IT-Security Portfolio
Workshop Informationssicherheit
Wer sich mit dem Themengebiet der Informationssicherheit das erste Mal auseinander setzt ist vor allem eins: Überwältigt von der Informationsflut. Unser Vorort-Workshop hilft ihnen mit dem Thema Fahrt auf zu nehmen, sorgt für ein tiefes Verständnis hinsichtlich der anstehenden Aufgaben und bildet gleichzeitig eine gemeinsame Wissensbasis bei den projektbeteiligten Entscheidungsträgern bezüglich der Anforderungen des B3S und der zu ergreifenden Maßnahmen.
Bestandsaufnahme mit Reifegradbestimmung
Anhand eines komprimierten Fragenkatalogs wird durch Interviews mit den internen Entscheidungsträgern der aktuelle Informationssicherheits-Reifegrad bestimmt und in einem ausführlichen Bericht zusammengefasst. Die Datenerhebung dient dabei als Grundlage für die Ableitung weiterer Projektschritte sowie deren Priorisierung, aber auch als Grundlage für die Erstellung eines detaillierten Angebots.
Identifizierung geeigneter Maßnahmen zur Steigerung der IT-Sicherheit
Nach Rom führen bekanntlich viele Wege, aber manche sind steinig und andere sind es weniger… Und so verhält es sich auch bei der IT-Sicherheit! Wir unterstützen Sie bei der Auswahl und der richtigen Priorisierung geeigneter Maßnahmen zur kurz- und langfristigen Steigerung der Informationssicherheit innerhalb ihrer Organisation.
Konzeptionierung ihres Informationssicherheitsmanagementsystem (ISMS)
Bei der Konzeptionierung eines Informationssicherheitsmanagementsystem sind viele einzelne Schritte zu gehen und eine Menge zu beachten. Bei den über 200 Anforderungen des B3S medizinische Versorgung kann man schnell schon mal den Überblick verlieren. Wir stehen ihnen mit unserem geballten Wissen bei der ISMS-Einführung zur Seite und unterstützen Sie bei der Auswahl der richtigen Vorgehensweise und Priorisierung.
Erarbeitung notwendiger Leitlinien, Richtlinien, Konzepte und Notfallpläne
Neben der Vielzahl an prozessualen Anforderungen an die IT-Sicherheit in einem Krankenhaus fordert der B3S vor allem eins: DOKUMENTATION! Wir unterstützen Sie bei der Erstellung der Notwendigen Leitlinien, Richtlinien, Konzepte und auch Notfallpläne sowie bei Nachweisdokumentation gelebter Sicherheitsprozesse.
Unterstützung bei der Auswahl eines geeigneten ISMS Tool
Hinsichtlich einer angestrebten Zertifizierung ist es wichtig den Umsetzungsnachweis stetig im Blick zu haben. Aufgrund der Vielzahl an unterschiedlichen Anforderungen und daraus resultierenden Aufgaben ist der Einsatz eines unterstützenden Tools uneingeschränkt empfehlenswert. Wir helfen ihnen den richtigen Anbieter für ihr Anforderungsprofil zu finden.
Sprechen Sie jetzt mit unserem Experten
Wir sichern Ihre Krankenhaus-IT
