DQS im Dialog
DQS Website Abonnieren

B3S für die Gesundheitsversorgung im Krankenhaus

Krankenhäuser als Betreiber Kritischer Infrastrukturen sind verpflichtet, gegenüber dem Bundesamt für die Sicherheit in der Informationstechnik (BSI) bis zum 30.06.2019 nachzuweisen, dass IT-Systeme und IT-Prozesse abgesichert sind. Das Grundlagenpapier dafür ist verfügbar. Mehr dazu in unserem Whitepaper.
B3S

Schon seit Ende 2018 liegt dem BSI der sog. Branchenspezifische Sicherheitsstandard – B3S – für die Gesundheitsversorgung im Krankenhaus zur Prüfung vor. Die Veröffentlichung steht aktuell noch aus, doch bietet das Dokument schon jetzt jedem KRITIS-Krankenhaus eine geeignete Orientierungshilfe zum Aufbau eines angemessenen IT-Sicherheitsniveaus nach dem IT-Sicherheitsgesetz KRITIS.

B3S: Informationssicherheits-Managementsystem als Basis

Die Grundlage des B3S ist die Einführung eines Informationssicherheits-Managementsystems (ISMS), das grundlegende Vorteile für die Umsetzung eines transparenten Sicherheitsstandards bietet. Die aufgeführten Handlungsempfehlungen richten sich nach den Vorgaben des BSI und orientieren sich eng an den Anforderungen der internationalen Normen für Informationssicherheit ISO 27001 (Anhang A) und ISO 27799.

Der neue B3S befindet sich beim BSI noch in der Eignungsprüfung. Dennoch bietet das Gesamtdokument eine geeignete Orientierungshilfe zur Einhaltung der gesetzlich vorgeschriebenen Maßnahmen und zur Nachweisführung. Der Entwurf steht auf der Internetseite der Deutschen Krankenhausgesellschaft kostenfrei als Download zur Verfügung.

Zum Hintergrund von KRITIS: den digitalen Wandel sicher gestalten

Das Gesundheitswesen steht vor einer neuen, äußerst anspruchsvollen Aufgabe: der sinnvollen Gestaltung der Digitalisierung ihrer Branche. Die Digitalisierung ist die Zukunft – daran besteht kein Zweifel! Aber sie birgt auch Risiken, was zahlreiche Vorfälle aus den letzten Jahren verdeutlichen. Besonders anfällig sind so genannte Kritische Infrastrukturen (KRITIS). Hier hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen.

IT-Sicherheitsgesetz: Krankenhäuser als Kritische Infrastrukturen

Auch Krankenhäuser gehören ab einer gewissen Größe (30.000 vollstationäre Behandlungsfälle pro Jahr) zu den Kritischen Infrastrukturen des Landes. Das IT-Sicherheitsgesetz verlangt deshalb angemessene Schutzmaßnahmen. Es verpflichtet KRITIS-Betreiber, technische und organisatorische Maßnahmen zu ergreifen, um ihre IT-Systeme und IT-Prozesse nach dem „Stand der Technik“ abzusichern und bis 30. Juni 2019 dem BSI gegenüber entsprechende Umsetzungsnachweise zu erbringen.

KRITIS-Prüfung: Wie kann ein BSI-konformer Nachweis erfolgen?

Der Umsetzungsnachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Als Prüfgrundlage sind entweder anerkannte Normen, z.B. ISO 27001, oder alternativ B3S zugelassen, die von KRITIS-Betreibern und ihren Verbänden erarbeitet wurden.

Die DQS ist vom BSI anerkannte Prüfstelle mit spezieller Prüfverfahrenskompetenz und akkreditierte Zertifizierungsstelle, u.a. für ISO 27001. Aufbauend auf unseren Erfahrungen aus anderen KRITIS-Sektoren wie z. B. Wasser, Energie und Transport, bieten wir Ihnen eine BSI-konforme Prüfung im Rahmen eines zweistufigen Verfahrens. In Stufe 1 erfolgen die Eignungsprüfung des Geltungsbereiches sowie die Abstimmung und Erstellung des Prüfplans. Die weiteren Prüfschritte erfolgen in der Stufe 2. Nach der Prüfung erhalten Sie die entsprechenden Nachweise für das BSI. Der Ablauf der KRITIS-Prüfung basiert auf der BSI-Orientierungshilfe zu Nachweisen gemäß § 8a BSIG.

Kritis-Prüfung durch die DQS

Whitepaper

Digitalisierung im Gesundheitswesen – Der sichere Weg mit KRITIS

  • Das IT-Sicherheitsgesetz im Gesundheitswesen
  • Aktueller Stand der Digitalisierung in Krankenhäusern
  • Relation zwischen ISO 27001 und DS-GVO
  • Lösungen für einen BSI-konformen Umsetzungsnachweis
Jetzt herunterladen!