DQS im Dialog
DQS Website Abonnieren

B3S für die Gesundheitsversorgung im Krankenhaus

Krankenhäuser als Betreiber Kritischer Infrastrukturen sind dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) gegenüber verpflichtet, einen Nachweis zu erbringen, dass ihre IT-Systeme und IT-Prozesse abgesichert sind. Stichtag war der 30. Juni 2019. Das Grundlagenpapier dafür ist verfügbar. Mehr dazu in unserem Whitepaper.
B3S

Der seit Ende 2018 von der Deutschen Krankenhausgesellschaft veröffentlichte Branchenspezifische Sicherheitsstandard – B3S – für die Gesundheitsversorgung im Krankenhaus bietet dem betroffenen KRITIS-Krankenhaus eine geeignete Orientierungshilfe zur Einhaltung der gesetzlich vorgeschriebenen Maßnahmen und zur Nachweisführung nach dem IT-Sicherheitsgesetz. Nun wurde die Eignung des B3S vom BSI festgestellt.

B3S: Informationssicherheits-Managementsystem als Basis

Die Grundlage des B3S ist die Einführung eines Informationssicherheits-Managementsystems (ISMS), das grundlegende Vorteile für die Umsetzung eines transparenten Sicherheitsstandards bietet. Die aufgeführten Handlungsempfehlungen richten sich nach den Vorgaben des BSI und orientieren sich eng an den Anforderungen der internationalen Normen für Informationssicherheit ISO 27001 (Anhang A) und ISO 27799.

Damit steht der nun anerkannte B3S für die medizinische Versorgung auch „den kleineren Kliniken, die nicht als KRITIS-Betreiber reguliert sind, zur Verfügung und sollte als Maßstab für die Umsetzung angemessener IT-Sicherheitsmaßnahmen dienen“, so das BSI in seiner Presseerklärung vom 23.10.2019. Der B3S steht auf der Internetseite der Deutschen Krankenhausgesellschaft (DKG) kostenfrei als Download zur Verfügung.

Zum Hintergrund von KRITIS: den digitalen Wandel sicher gestalten

Das Gesundheitswesen steht vor einer neuen, äußerst anspruchsvollen Aufgabe: der sinnvollen Gestaltung der Digitalisierung ihrer Branche. Die Digitalisierung ist die Zukunft – daran besteht kein Zweifel! Aber sie birgt auch Risiken, was zahlreiche Vorfälle aus den letzten Jahren verdeutlichen. Besonders anfällig sind so genannte Kritische Infrastrukturen (KRITIS). Hier hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen.

IT-Sicherheitsgesetz: Krankenhäuser als Kritische Infrastrukturen

Auch Krankenhäuser gehören ab einer gewissen Größe (30.000 vollstationäre Behandlungsfälle pro Jahr) zu den Kritischen Infrastrukturen des Landes. Das IT-Sicherheitsgesetz verlangt deshalb angemessene Schutzmaßnahmen. Es verpflichtet KRITIS-Betreiber, technische und organisatorische Maßnahmen zu ergreifen, um ihre IT-Systeme und IT-Prozesse nach dem „Stand der Technik“ abzusichern und bis 30. Juni 2019 dem BSI gegenüber entsprechende Umsetzungsnachweise zu erbringen.

Whitepaper

Digitalisierung im Gesundheitswesen – Der sichere Weg mit KRITIS

  • Das IT-Sicherheitsgesetz im Gesundheitswesen
  • Aktueller Stand der Digitalisierung in Krankenhäusern
  • Relation zwischen ISO 27001 und DS-GVO
  • Lösungen für einen BSI-konformen Umsetzungsnachweis
Jetzt herunterladen!

KRITIS-Prüfung: Wie kann ein BSI-konformer Nachweis erfolgen?

Der Umsetzungsnachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Als Prüfgrundlage sind entweder anerkannte Normen, z.B. ISO 27001, oder alternativ B3S zugelassen, die von KRITIS-Betreibern und ihren Verbänden erarbeitet wurden.

Die DQS ist vom BSI anerkannte Prüfstelle mit spezieller Prüfverfahrenskompetenz und akkreditierte Zertifizierungsstelle, u.a. für ISO 27001. Aufbauend auf unseren Erfahrungen aus anderen KRITIS-Sektoren wie z.B. Wasser, Energie und Transport, bieten wir Ihnen eine BSI-konforme Prüfung im Rahmen eines zweistufigen Verfahrens.

Kritis-Prüfung durch die DQS

In Stufe 1 erfolgen die Eignungsprüfung des Geltungsbereiches sowie die Abstimmung und Erstellung des Prüfplans. Die weiteren Prüfschritte erfolgen in der Stufe 2. Nach der Prüfung erhalten Sie die entsprechenden Nachweise für das BSI. Der Ablauf der KRITIS-Prüfung basiert auf der BSI-Orientierungshilfe zu Nachweisen gemäß § 8a BSIG.

DQS. The Audit Company.

Die DQS wurde im Jahr 1985 als erste Zertifizierungsgesellschaft Deutschlands gegründet. Seit dieser Zeit zählen wir zu den führenden Auditspezialisten und Zertifizierern weltweit. Die Gründungsgesellschafter DGQ (Deutsche Gesellschaft für Qualität e.V.) und DIN (Deutsches Institut für Normung e.V.) sind wichtige Partner für die Aus- und Weiterbildung sowie die Normungsarbeit. So arbeiten wir aktiv für unsere Kunden in Ausschüssen und Gremien mit und bringen unser Expertenwissen in unsere Audits ein. Der Grundstein für unseren Ruf als kompetenter Partner im Gesundheits- und Sozialwesen wurde mit der ersten erfolgreichen Zertifizierung im Jahr 1993 gelegt.