Das IT-Sicherheitsgesetz im Gesundheitswesen

ANFORDERUNGEN UND CHANCEN

DAS IT-SICHERHEITSGESETZ IM GESUNDHEITSWESEN
ANFORDERUNGEN UND CHANCEN

Das Gesundheitswesen steht vor einer neuen, äußerst anspruchsvollen Aufgabe: der sinnvollen Gestaltung der Digitalisierung ihrer Branche. Die Digitalisierung ist die Zukunft – daran besteht kein Zweifel! Aber sie birgt auch Risiken, was zahlreiche Vorfälle aus den letzten Jahren verdeutlichen. Besonders anfällig sind so genannte Kritische Infrastrukturen (KRITIS). Hier hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen.

Auch Krankenhäuser, Pharma- oder Medizinprodukte-Hersteller gehören zu den Kritischen Infrastrukturen des Landes. Das IT-Sicherheitsgesetz verlangt deshalb angemessene Schutzmaßnahmen. Es verpflichtet KRITIS-Betreiber, technische und organisatorische Maßnahmen zu ergreifen, um ihre IT-Systeme und IT-Prozesse nach dem „Stand der Technik“ abzusichern und erhebliche IT-Sicherheitsvorfälle an das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu melden.

Das Gesundheitswesen steht vor einer neuen, äußerst anspruchsvollen Aufgabe: der sinnvollen Gestaltung der Digitalisierung ihrer Branche. Die Digitalisierung ist die Zukunft – daran besteht kein Zweifel! Aber sie birgt auch Risiken, was zahlreiche Vorfälle aus den letzten Jahren verdeutlichen. Besonders anfällig sind so genannte Kritische Infrastrukturen (KRITIS). Hier hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen.

Auch Krankenhäuser, Pharma- oder Medizinprodukte-Hersteller gehören zu den Kritischen Infrastrukturen des Landes. Das IT-Sicherheitsgesetz verlangt deshalb angemessene Schutzmaßnahmen. Es verpflichtet KRITIS-Betreiber, technische und organisatorische Maßnahmen zu ergreifen, um ihre IT-Systeme und IT-Prozesse nach dem „Stand der Technik“ abzusichern und erhebliche IT-Sicherheitsvorfälle an das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu melden.

KRITIS Sektoren

ZÄHLT MEINE ORGANISATION ZU DEN KRITISCHEN INFRASTRUKTUREN?

Wer genau von den gesetzlichen Anforderungen und somit von der Umsetzung betroffen ist und wer nicht, regelt die BSI-Kritis-Verordnung (Korb 1) und die 1. Änderungsverordnung (Korb 2). Die Verordnungen definieren anhand transparenter Kriterien und Schwellenwerte, für welche Betreiber und Anlagen Nachweispflichten gemäß BSI-Gesetz (§ 8a) gegenüber dem BSI bestehen. Im Sektor Gesundheit gilt aktuell ein Krankenhaus mit mehr als 30.000 vollstationären Fällen pro Jahr als Betreiber „Kritischer Infrastrukturen“ (KRITIS).


STICHTAG 30. JUNI 2019; WELCHE MASSNAHMEN SIND ZU TREFFEN?

Als KRITIS-Betreiber stehen Sie vor der Aufgabe, die gesetzlichen Anforderungen in zuverlässige und sichere Prozesse zu integrieren und dies dem BSI gegenüber bis Mitte 2019 nachzuweisen. Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Als Prüfstandards sind entweder anerkannte Normen, z. B. ISO 27001, oder alternativ vom BSI anerkannte „Branchenspezifische Sicherheitsstandards“ (B3S) zugelassen.

KRITIS Sektoren

ZÄHLT MEINE ORGANISATION ZU DEN KRITISCHEN INFRASTRUKTUREN?

Wer genau von den gesetzlichen Anforderungen und somit von der Umsetzung betroffen ist und wer nicht, regelt die BSI-Kritis-Verordnung (Korb 1) und die 1. Änderungsverordnung (Korb 2). Die Verordnungen definieren anhand transparenter Kriterien und Schwellenwerte, für welche Betreiber und Anlagen Nachweispflichten gemäß BSI-Gesetz (§ 8a) gegenüber dem BSI bestehen. Im Sektor Gesundheit gilt aktuell ein Krankenhaus mit mehr als 30.000 vollstationären Fällen pro Jahr als Betreiber „Kritischer Infrastrukturen“ (KRITIS).


STICHTAG 30. JUNI 2019; WELCHE MASSNAHMEN SIND ZU TREFFEN?

Als KRITIS-Betreiber stehen Sie vor der Aufgabe, die gesetzlichen Anforderungen in zuverlässige und sichere Prozesse zu integrieren und dies dem BSI gegenüber bis Mitte 2019 nachzuweisen. Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Als Prüfstandards sind entweder anerkannte Normen, z. B. ISO 27001, oder alternativ vom BSI anerkannte „Branchenspezifische Sicherheitsstandards“ (B3S) zugelassen.

ANFORDERUNGEN AN DIE PRÜFENDE STELLE

Für die „prüfende Stelle“ und deren Auditoren empfiehlt das BSI eine sogenannte „Spezielle Prüfverfahrenskompetenz für § 8a BSIG“ als Qualifikationsnachweis. Die DQS ist anerkannte Prüfstelle und akkreditierte Zertifizierungsstelle, u. a. für ISO 27001. Gerne stellen wir Ihnen alle geforderten Kompetenzen für eine BSI-konforme Prüfung gemäß § 8a (3) BSIG zur Verfügung:

1. spezielle Prüfverfahrenskompetenz

2. Auditkompetenz

3. IT-Sicherheitskompetenz

4. Branchenkompetenz

 


VORTEILE EINER KRITIS PRÜFUNG

  • BSI-konformer Nachweis über die Erfüllung der gesetzlichen Anforderungen

  • erhöhte Sicherheit Ihrer IT-Systeme und -Prozesse durch branchenspezifische Ausrichtung nach dem Stand der Technik

  • optional Verknüpfung mit einer Zertifizierung gemäß ISO 27001 und dem Erlangen eines entsprechenden Zertifikats

  • Gewährleistung einer verbesserten  Versorgungssicherheit der kritischenDienstleistung

KOSTENFREIES WHITEPAPER 

Digitalisierung im Gesundheitswesen –
Der sichere Weg mit KRITIS

 ✓ Das IT-Sicherheitsgesetz im Gesundheitswesen

 ✓ Aktueller Stand der Digitalisierung in Krankenhäusern

 ✓ Relation zwischen ISO 27001 und DS-GVO

 ✓ Lösungen für einen BSI-konformen Umsetzungsnachweis

 

 TEILEN SIE DIESEN ARTIKEL MIT IHREN KONTAKTEN:

© 2019 DQS GmbH. Alle Rechte vorbehalten.